14 oktober 2024

Hvordan kan bedrifter forberede seg på Cyber Resilience Act (CRA)?

Cyber Resilience Act (CRA).jpg

Vi ser en verden hvor stadig flere produkter er koblet til internett, enten det gjelder smartklokker, kjøleskap, alarmer, rutere eller avanserte tekniske løsninger for bedrifter. Selv om dette gir muligheter for effektivisering, øker det også risikoen for cyberangrep og sikkerhetsbrudd. For å møte denne utviklingen kommer EU med Cyber Resilience Act (CRA), som er forventet å tre i kraft mot slutten av 2025. CRA er laget for å øke sikkerheten i produkter som inneholder digitale elementer – alt fra mikroprosessorer med nettverkstilkobling til innebygde systemer – og gjøre dem tryggere å bruke, både for forbrukere og virksomheter.

Hva betyr CRA for bedrifter?

Cyber Resilience Act ble foreslått i 2022 som en del av EUs strategi for å styrke cybersikkerhet. Loven kommer som et svar på den økende bruken av digitale produkter, som varierer mye i innebygd sikkerhet. Dette skaper et fragmentert landskap der manglende sikkerhet gir hackere flere innganger til å utnytte sårbarheter.

CRA setter derfor strenge krav til cybersikkerheten i produkter med digitale komponenter, fra designfasen til hele produktets levetid. Loven krever at produsenter både lanserer sikre produkter og fortsetter å oppdatere dem i opptil fem år etter lansering. Dette sikrer at sikkerheten kontinuerlig vedlikeholdes.

Hvordan påvirker CRA norske selskaper?

For norske selskaper, særlig de som selger produkter i EU eller EØS, vil denne loven ha stor betydning. Produsenter, importører og distributører må sørge for at deres produkter oppfyller de nye kravene. Dette innebærer samsvarsvurderinger for å verifisere at produktene møter kravene før de kan selges. For kritiske produkter, som antivirus eller IoT-enheter som styrer kritisk infrastruktur, kan det være krav om ekstern revisjon.

Viktige prinsipper i CRA

Cyber Resilience Act bygger på fire hovedprinsipper:

  1. Sikkerhet fra ende til ende: Sikkerhet skal være en integrert del av produktets livssyklus, fra design til vedlikehold. Produsenter må kontinuerlig vurdere produktenes sikkerhet og sørge for nødvendige oppdateringer gjennom hele levetiden.
  2. Rapportering av sikkerhetshendelser: Produsenter må rapportere sikkerhetshendelser til nasjonale myndigheter innen 24 timer etter oppdagelsen for å sikre rask respons og minimere skade.
  3. Samsvarsvurdering: Alle produkter med digitale elementer må gjennomgå grundige samsvarsvurderinger for å sikre at de oppfyller cybersikkerhetskravene. For kritiske produkter kan det kreves eksterne revisjoner.
  4. Gjennomsiktighet: CRA krever at produsenter gir klar og lett tilgjengelig informasjon om cybersikkerheten i produktene sine. Dette gjør det enklere for forbrukere og bedrifter å ta informerte valg.

Sanksjoner under CRA

Virksomheter som ikke oppfyller kravene i CRA kan bli pålagt strenge sanksjoner:

  1. Bøter: Bedrifter kan ilegges bøter på opptil 15 millioner euro eller 2,5 % av global omsetning, avhengig av hva som er høyest.
  2. Tilbakekalling av produkter: Myndigheter kan kreve at produkter som ikke oppfyller kravene trekkes tilbake fra markedet.
  3. Korrigerende tiltak: Bedrifter kan bli pålagt å utbedre sårbarheter eller oppdatere programvare for å forbedre produktenes sikkerhet.
  4. Midlertidig forbud mot salg: Myndighetene kan innføre midlertidig forbud mot salg av produkter som ikke oppfyller cybersikkerhetskravene.
  5. Ingen dobbeltstraff: Bedrifter vil ikke bli bøtelagt både under CRA og NIS2 for samme hendelse. CRA har forrang for produkter med digitale elementer.

Hvordan kan bedrifter forberede seg på CRA?

For å møte de nye kravene må norske selskaper starte med en grundig gjennomgang av produktene sine. Dette begynner med risikoanalyser for å identifisere sårbarheter. Sikkerhet bør deretter bygges inn tidlig i utviklingsprosessen. Bedrifter må også etablere rutiner for å håndtere og rapportere sikkerhetshendelser raskt. I tillegg bør det være et tett samarbeid med leverandører for å sikre at hele verdikjeden oppfyller kravene.

Hva dekker CRA?

CRA dekker et bredt spekter av produkter, inkludert datamaskiner, nettverksutstyr, smarthus-teknologi, bedriftsprogramvare og kritisk infrastruktur. Alt som kan kobles til internett, enten direkte eller indirekte, omfattes av regelverket, og det stilles krav til både maskinvare og programvare.

Implementering i Norge

Selv om CRA er et EU-initiativ, vil det bli innført i Norge gjennom EØS-avtalen. Norske selskaper som selger produkter innenfor EU og EØS må derfor oppfylle de samme kravene som selskaper i resten av EU. Myndighetene har allerede begynt å tilpasse regelverket, og norske bedrifter bør forberede seg nå for å møte kravene innen 2025.

Oppsummering

Cyber Resilience Act markerer et viktig skritt mot et sikrere digitalt miljø. For norske selskaper er det viktig å begynne forberedelsene allerede nå, slik at de er klare når de nye kravene trer i kraft i 2025.