Cyber Resilience Act

Fra den 11. december 2027 må kun produkter, der opfylder kravene i Cyber Resilience Act (CRA), markedsføres i EU. CRA indeholder krav til cybersikkerhed for produkter med digitale elementer.

Hvilke nye krav medfører Cyber Resilience Act? Hvilke produkter er omfattet af CRA? Hvad skal virksomheder gøre? Vi har opsummeret de vigtigste fakta for dig.

Hvad er Cyber Resilience Act?

Cyber Resilience Act (CRA) er en EU-forordning, der definerer krav til produkter med digitale elementer i forbindelse med Industrial Security. Der skal foretages en grundlæggende gennemgang og tilpasning af de berørte produkter. Dette er absolut nødvendigt, fordi kun produkter i overensstemmelse med CRA må markedsføres fra december 2027!

Hvornår træder Cyber Resilience Act i kraft?

CRA blev offentliggjort i Den Europæiske Unions Tidende den 20. november 2024. Den trådte i kraft den 10. december 2024 og skal anvendes bindende i EU fra den 11. december 2027. Producenternes forpligtelse til at indberette udnyttede svage punkter gælder dog i henhold til CRA allerede fra den 11. september 2026.

Hvad kræves der helt præcist i CRA?

Formålet med CRA er at beskytte forbrugere og virksomheder bedre mod cyberangreb. CRA indeholder derfor mange krav til producenter, importører og forhandlere af produkter med digitale elementer, som er i stand til at kommunikere med andre produkter. Dette omfatter også hard- og softwareprodukter. CRA gælder gennem hele produktets livscyklus, dvs. udformning, udvikling, fremstilling, levering og vedligeholdelse af produktet samt i hele dets driftsperiode hos kunden.

Er Cyber Resilience Act en forordning eller et direktiv?

Cyber Resilience Act er en EU-forordning og gælder derfor i alle medlemslande i den Europæiske Union uden at blive omsat til national lovgivning.

Hvilke produkter er omfattet af CRA?

CRA vedrører komponenter, især produkter med digitale elementer, for hvilke der kræves en overensstemmelseskontrol.

Cyber Resilience Act (CRA) gælder for alle produkter, der indeholder digitale komponenter – såsom software eller højrisiko-AI-systemer – og som er forbundet med netværk eller andre enheder. Derfor er CRA's gyldighedsområde meget omfattende og indeholder bl.a. følgende produktgrupper:

• Industriel hard- og software som f.eks. IoT-enheder, programmerbare, logiske styringer (PLC'er) og sensorer
• Softwareløsninger som f.eks. desktop-, web- og mobile applikationer samt operativsystemer
• Intelligente enheder til privat brug, både hard- og software

Disse produkter kategoriseres efter deres risikopotentiale. Især systemer, der bruges i kritiske infrastrukturer, industriproduktion eller i energi- og industrisektoren, klassificeres som tilhørende højere risikoklasser. For disse produkter ændrer kravene til overensstemmelsesvurderingsproceduren sig, fordi de kan have en betydelig indvirkning på den offentlige sikkerhed og den økonomiske stabilitet.

Hvad skal der gøres? Hvad er kravene til virksomheder?

En producent af produkter med digitale elementer skal overholde Security-kravene i CRA. De opgaver, der følger heraf, er udarbejdelse af en risikoanalyse samt definition og implementering af foranstaltninger til reduktion af eventuelle risici. Det er også obligatorisk at oprette og vedligeholde dokumentation om risikovurderingen (og også de foranstaltninger, der er gennemført for at reducere Security-risici), som skal opbevares i mindst 10 år. Fortløbende overvågning for mulige svage Security-punkter, gratis tilrådighedsstillelse af Security-opdateringer i et produkts typiske levetid (mindst 5 år) samt indberetning af konstaterede svage Security-punkter til ENISA og om nødvendigt nationale organer inden for 24 timer er ligeledes obligatorisk.

Selv produkter, der allerede er i overensstemmelse med CRA og ikke ændres, skal stadig kontrolleres og vurderes i henhold til kontrollerbare regler. Der udarbejdes dokumentation af resultatet af kontrollen, som skal gøres tilgængelig i ti år. Endvidere skal der udarbejdes en Software Bill of Materials, og det skal dokumenteres, at der er udviklet og testet sikkert i overensstemmelse med Industrial Security.

Hvad betyder EU-overensstemmelseserklæringen i forbindelse med CRA?

EU-overensstemmelseserklæringen udstedes fortsat af producenten og angiver, at opfyldelsen af de væsentlige cybersikkerhedskrav er dokumenteret. For producenter betyder det, at opfyldelsen af kravene vedrørende risikovurdering, administration af svage punkter og dokumentation kontrolleres ved hjælp af en overensstemmelsesvurdering. Hvis alle krav er opfyldt, udstedes der en overensstemmelseserklæring. 

Findes der fortsat en EU-overensstemmelseserklæring for alle EU-lovbestemmelser?

Hvis et produkt med digitale elementer er omfattet af flere EU-lovbestemmelser, som hver især kræver en EU-overensstemmelseserklæring, udstedes der én enkelt EU-overensstemmelseserklæring for alle EU-lovbestemmelser. I denne erklæring skal de pågældende EU-retsakter angives sammen med deres offentliggørelsessted i EU-Tidende.

Hvor længe skal EU-overensstemmelseserklæringen være tilgængelig?

Producenten udarbejder en skriftlig overensstemmelseserklæring for hver produktmodel og opbevarer den, så den står til rådighed for de nationale myndigheder i ti år efter, at produktet med digitale elementer er blevet markedsført, eller i supportperioden, alt efter hvilken periode der er længst. Det skal fremgå af overensstemmelseserklæringen, hvilken produktmodel den er udstedt for. Et eksemplar af overensstemmelseserklæringen stilles til rådighed for de relevante myndigheder efter anmodning.

Hvad er forskellen på Cyber Resilience Act og NIS 2?

• CRA indeholder grundlæggende cybersikkerhedskrav til udformning, udvikling og fremstilling af produkter med digitale elementer samt de økonomiske aktørers forpligtelser i forbindelse med disse produkter, hvad angår cybersikkerhed.
• NIS 2-direktivet henvender sig til virksomheder og kræver, at de træffer organisatoriske og tekniske foranstaltninger for at reducere Industrial Security-risici i virksomheden.
• Styrkelse af cybersikkerheden i EU: De to regelsæt – CRA og NIS 2-direktivet – supplerer hinanden ved at adressere forskellige niveauer af cybersikkerheden: CRA fokuserer på produktsikkerhed, mens NIS 2 er rettet mod sikkerheden i infrastrukturer og væsentlige tjenester. Sammen yder de et vigtigt bidrag til en komplet forbedring af cybersikkerheden i den Europæiske Union.

Pilz har allerede i flere år organiseret sin udviklingsproces i overensstemmelse med standarden IEC 62443-4-1. Denne standard definerer som "grundstandard for Industrial Security" sikker udvikling af produkter, "Security Development Lifecycle Process". TÜV Süd har bekræftet vores udviklingsprocessers overensstemmelse i en audit. Pilz udvikler ikke kun Safe, men også Secure!

Det er vigtigt for vores kunder, for med forordningen (EU) 2024/2847 – Cyber Resilience Act (CRA) vil der ud over den nye maskinforordning (forordning (EU) 2023/1230) være endnu en forordning om Security, som bliver obligatorisk i 2027.

Konkret betyder det, at eksisterende produkter opgraderes efter behov, at nye produkter udvikles i overensstemmelse med CRA, og at overensstemmelsen (CE-mærkning) tilpasses i overensstemmelse med de gældende krav. Produkter, der ikke længere opfylder kravene, vil enten blive udfaset eller fortsat være tilgængelige som reservedele. I sidstnævnte tilfælde må de dog ikke længere bruges i nye anlæg.