Cyber Resilience Act

Från och med 11 december 2027 får endast produkter som uppfyller kraven i Cyber Resilience Act (CRA) släppas ut på marknaden inom Europeiska unionen. CRA innehåller riktlinjer för cybersäkerheten hos produkter med digitala komponenter.

Vilka nya krav medför Cyber Resilience Act? Vilka produkter omfattas av CRA? Vad behöver företag göra? Vi har sammanfattat den viktigaste informationen för dig.

Vad är Cyber Resilience Act?

Cyber Resilience Act (CRA) är en EU-förordning som definierar krav på produkter med digitala element med avseende på industrial security. En grundläggande granskning och anpassning måste genomföras för berörda produkter. Detta är helt nödvändigt eftersom endast produkter som uppfyller kraven i CRA får släppas ut på marknaden från och med december 2027!

När träder Cyber Resilience Act i kraft?

CRA publicerades i EU:s officiella tidning den 20 november 2024. Den trädde i kraft 10 december 2024 och måste tillämpas inom EU från och med den 11 december 2027. Enligt CRA gäller dock tillverkarnas anmälningsskyldighet för utnyttjade sårbarheter redan från och med den 11 september 2026.

Vad exakt krävs i CRA?

Målet med CRA är att bättre skydda konsumenter och företag mot cyberattacker. CRA omfattar en mängd krav för tillverkare, importörer och återförsäljare av produkter med digitala element som kan kommunicera med andra produkter. Detta innefattar maskin- och programvara. Detta omfattar hela produktens livscykel, det vill säga ända från produktens utformning till dess utveckling, tillverkning, leverans och underhåll samt hela drifttiden hos kunden.

Är Cyber Resilience Act en förordning eller ett direktiv?

Cyber Resilience Act är en EU-förordning och gäller därmed i alla medlemsländer i Europeiska unionen utan att den behöver införlivas i nationell lagstiftning.

Vilka produkter omfattas av CRA?

CRA gäller för komponenter, i synnerhet produkter med digitala element, för vilka en överensstämmelsekontroll kommer att krävas.

Cyber Resilience Act (CRA) gäller för alla produkter som innehåller digitala komponenter – till exempel programvara eller AI-system med hög risk – och som är anslutna till nätverk eller andra enheter. Detta innebär att CRA:s tillämpningsområde är mycket brett och bland annat omfattar följande produktgrupper:

• Industriell hårdvara och programvara såsom IoT-enheter, programmerbara styrningar (PLC) och sensorer
• Programvarulösningar såsom dator-, webb- och mobilapplikationer samt operativsystem
• Intelligenta enheter för privat bruk, både hårdvara och programvara

Dessa produkter delas in i olika kategorier beroende på deras riskpotential. I synnerhet system som används i kritisk infrastruktur, industriproduktion eller inom energi- och industrisektorn hamnar i högre riskklasser. För dessa produkter ändras kraven på förfarandet för bedömning av överensstämmelse, eftersom de kan ha en avgörande påverkan på den allmänna säkerheten och den ekonomiska stabiliteten.

Vad behöver göras? Vilka krav ställs på företag?

En tillverkare av produkter med digitala element måste uppfylla securitykraven i CRA. Detta innebär att man måste utarbeta en riskanalys och definiera samt genomföra åtgärder för att minska eventuella risker. Man ska dessutom upprätta och underhålla dokumentation om riskbedömningen (och även de åtgärder som vidtagits för att minska securityriskerna), som måste behållas i minst 10 år. Kontinuerlig övervakning av eventuella securitysårbarheter, kostnadsfritt tillhandahållande av securityuppdateringar under produktens normala livslängd (minst 5 år) samt rapportering av upptäckta securitysårbarheter till ENISA och eventuellt till nationella organ inom 24 timmar är också obligatoriskt.

Även produkter som redan uppfyller kraven i CRA och inte ändras måste ändå kontrolleras och utvärderas enligt tydliga regler. Dokumentation för resultatet av kontrollen skapas, som i sin tur måste behållas i tio år. Dessutom måste en programvaruförteckning upprättas och man måste kunna bevisa att utveckling och testning har genomförts på ett säkerhet sätt med avseende på industrial security.

Vad innebär EU-försäkran om överensstämmelse i samband med CRA?

EU:s försäkran om överensstämmelse utfärdas fortsättningsvis av tillverkarna och intygar att de grundläggande kraven på cybersäkerhet har uppfyllts. För tillverkarna innebär detta att uppfyllandet av kraven med avseende på riskbedömning, sårbarhetshantering och dokumentation kontrolleras genom en bedömning av överensstämmelse. Om alla krav uppfylls utfärdas en försäkran om överensstämmelse. 

Finns det fortfarande en EU-försäkran om överensstämmelse för alla unionsrättsakter?

Om en produkt med digitala element omfattas av flera EU-rättsakter som var och en kräver en EU-försäkran om överensstämmelse utfärdas en enda EU-försäkran om överensstämmelse för alla unionsrättsakter. I denna försäkran ska de relevanta unionsrättsakterna anges tillsammans med deras hänvisningar i Europeiska unionens officiella tidning.

Hur länge måste EU-försäkran om överensstämmelse vara tillgänglig?

Tillverkaren ska utfärda en skriftlig försäkran om överensstämmelse för varje produktmodell och se till att den finns tillgänglig för de nationella myndigheterna i tio år efter det att produkten med digitala element har släppts ut på marknaden eller så länge produkten stöds, beroende på vilken av dessa perioder som är längst. Det måste framgå i försäkran om överensstämmelse för vilken produktmodell den har utfärdats. Ett exemplar av försäkran om överensstämmelse ska på begäran tillhandahållas de berörda myndigheterna.

Vad är skillnaden mellan Cyber Resilience Act och NIS 2?

• CRA innehåller grundläggande cybersäkerhetskrav för utformning, utveckling och tillverkning av produkter med digitala komponenter samt skyldigheter för ekonomiska aktörer vad gäller cybersäkerheten för dessa produkter.
• NIS 2-direktivet riktar sig till företag och kräver att dessa vidtar organisatoriska och tekniska åtgärder för att minska industrial security-risker inom företaget.
• Stärka cybersäkerheten inom EU: Båda regelverken – CRA och NIS 2-direktivet – kompletterar varandra genom att de behandlar olika nivåer inom cybersäkerhet: CRA:s fokus ligger på produktsäkerhet, medan NIS 2 är inriktad på säkerhet kopplad till infrastruktur och samhällsviktiga tjänster. Tillsammans bidrar de på ett viktigt sätt till att förbättra cybersäkerheten inom Europeiska unionen överlag.

Pilz har redan sedan flera år tillbaka strukturerat sin utvecklingsprocess i enlighet med standarden IEC 62443-4-1. Denna standard definierar som ”grundläggande standard för industrial security” säker utveckling av produkter, den så kallade ”Security Development Lifecycle”-processen. TÜV Süd har bekräftat att våra utvecklingsprocesser uppfyller kraven i en granskning. Pilz utvecklar inte bara safe, utan även secure!

Detta är viktigt för våra kunder, eftersom förordning (EU) 2024/2847 – Cyber Resilience Act (CRA) – innebär att ytterligare en förordning kopplad till security måste tillämpas från och med 2027, utöver den nya maskinförordningen (förordning (EU) 2023/1230).

Konkret innebär detta att befintliga produkter vid behov rustas upp, att nya produkter utvecklas så att de lever upp till kraven i CRA och att överensstämmelsen (CE-märkning) anpassas i enlighet med gällande föreskrifter. Produkter som inte längre uppfyller kraven utgår antingen ur sortimentet eller finns fortsatt tillgängliga som reservdelar. I det senare fallet får de dock inte längre användas i nya anläggningar.