Cyber Resilience Act – lagkrav för säkrare produkter 

Cyber Resilience Act (CRA) är en ny lag som träder i kraft på EU-nivå den 10 december 20241. Lagen ställer krav på cybersäkerhet för produkter som innehåller digitala komponenter, det vill säga produkter som innehåller mjukvara. Omfattningen av den traditionella CE-märkningen2 där fysiska produkter behöver överensstämma med de europeiska säkerhets-, hälso- och miljöskyddstandarderna ökas därmed till att även mjukvaran i produkter behöver certifieras.

Syftet med införandet av CRA är att öka säkerheten i produkter som omfattas av lagen genom att ställa krav på hanteringen av sårbarheter och säkerhetsuppdateringar, samt krav på säkerhetsfunktioner i produkterna såsom exempelvis autentisering, secure by default-konfiguration och tillgänglighet. Vidare är syftet att skydda konsumenter av produkter med mjukvara och möjliggöra att säkerheten blir en aspekt som vi kan betrakta när vi väljer produkt. Produkter som berörs av den nya lagen kallas för produkter med digitala element (PDEer), vilket kan beskrivas som produkter som innehåller mjukvara (till exempel IoT-enheter, lösenordshanterar och operativsystem). Produkternas applikationer på server-sidan (backend) innefattas även av lagen.  

Införande i fyra steg

CRA kommer att implementeras iterativt med fyra olika hållpunkter. 

I det första steget ska Europeiska kommissionen tillhandahålla tekniska beskrivningar för produkter som kommer kräva granskning av externa parter för att uppnå certifieringen. Majoriteten av de produkter som omfattas behöver utföra en självskattning för bedömningen om kraven uppfylls.  

Nästa steg som påverkar tillverkare av produkter med digitala element är den 11 september 2026. Efter det datumet kommer det att krävas att det finns en process för sårbarhets- och incidenthantering, samt rapportering av dessa. Därefter gäller alla krav på funktionalitet, säkerhetsmekanismer, dokumentering och dylikt från och med den 11 december 2027. Dessa krav kommer beröra alla nya produkter som omfattas av CRA som distribueras på marknaden samt alla nuvarande produkter där det sker en signifikant förändring efter datum för verkställande av lagen.  

Cyber Resilience Act – tidslinje

Denna bild har ett alt-attribut som är tomt. Dess filnamn är Slide1-1024x576.jpg

Vad kan du göra? 

Är du tillverkare, återförsäljare eller distributör av produkter som innehåller mjukvara föreslår vi att du börjar med följande: 

  • Begränsa antalet produkter i din produktkatalog
  • Skapa en process för sårbarhetshantering inklusive tillhandahållning av säkerhetsuppdateringar, vilket förmodligen kommer vara en utmaning då detta krav börjar gälla redan efter 21 månader 
  • Utvärdera din mognadhetsgrad i din utvecklingslivscykel.  
  • Skapa en Software Bill of Materials (SBOM), det vill säga en innehållsdeklaration för din produkts tredjepartsberoenden på åtminstone högsta nivån 
  • Gör en gapanalys mot de cybersäkerhetskrav som presenteras i CRA 

I några av våra tidigare artiklar visar vi hur du ska gå tillväga för att säkra dina produkter: 

Vill du ha hjälp med att hantera implementationerna av kraven som ställs i Cyber Resilience Act? Tveka inte att kontakta oss

Skribent:

Linnéa Oxenwaldt, IT-konsult på Omegapoint 

  1. https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=OJ:L_202402847 ↩︎
  2. https://single-market-economy.ec.europa.eu/single-market/ce-marking_en  ↩︎

,