Cyber Resilience Act: Hvad skal du vide?

CRA er EU’s svar på en voksende udfordring: Digitale produkter indeholder i dag for mange sårbarheder, der kan udnyttes af cyberkriminelle og fjendtlige aktører. CRA skal således sikre, at produkter med digitale elementer: 

• udvikles med sikkerhedsforanstaltninger allerede implementeret 

• vedligeholdes sikkert gennem hele deres levetid 

• lever op til ensartede cybersikkerhedskrav på tværs af EU 

CRA udvider i øvrigt den eksisterende CE-mærkningsordning, så producenter fremover også skal dokumentere, at produkter opfylder grundlæggende cybersikkerhedskrav. Formålet med CRA er derfor sørge for, at både hardware og software, der sælges i EU, udvikles, produceres og vedligeholdes med et dokumenteret højt sikkerhedsniveau. 

Hvilke produkter er omfattet?

De omfattede produkter beskrives i artikel 2, stk. 1 som “produkter med digitale elementer, der gøres tilgængelige på markedet, hvis tilsigtede formål eller rimeligt forudsigelige anvendelse omfatter en direkte eller indirekte logisk eller fysisk dataforbindelse til en enhed eller et netværk.” 

Et produkt med digitale elementer forstås således som: “et software- eller hardwareprodukt og dets fjerndatabehandlingsløsninger, herunder software- eller hardwarekomponenter, der bringes i omsætning separat.” 

Eksempler på de omfattede produkter kan således være alt fra mobilapps, webbrowsere, open source-software, der stilles til rådighed som led i en kommerciel aktivitet, smartphones, smarte køleskabe og meget mere.

Blandt de omfattede produkter, skelnes der i forordningens bilag 3 og 4 mellem  

• ‘produkter med digitale elementer’,  

• ‘vigtige produkter med digitale elementer, klasse 1’ 

• ‘vigtige produkter med digitale elementer, klasse 2’ og  

• ‘kritiske produkter med digitale elementer’.  

Disse klassificeringer ændrer ikke de grundlæggende cybersikkerhedskrav, men bestemmer hvor omfattende dokumentation og ekstern kontrol der kræves.

Hvilke produkter er ikke omfattet?

• Ikke netværksforbundne produkter med indlejret firmware, som ikke kan forbindes til andre enheder eller netværk (f.eks. Simple lommeregnere, elektronisk legetøj, kaffemaskiner og lignende.) 

• Produkter, der allerede er omfattet af udvalgt sektoriel regulering (f.eks. medicinsk udstyr motorkøretøjer og civil luftfart.) 

Hvilke krav stilles der til virksomheder?

CRA indeholder ét fælles regelsæt, men forskellige forpligtelser afhængigt af virksomhedens rolle i forsyningskæden. Producenter har det primære ansvar for cybersikkerheden i produktet, mens importører og distributører har kontrol- og tilsynsforpligtelser. Herunder er udvalgte/centrale forpligtelser beskrevet.

Centrale forpligtelser for fabrikanterne

Fabrikanten har ansvaret for, at produktet lever op til kravene i forordningens bilag 1 og 2, heriblandt:

• at cybersikkerhed indarbejdes i designet,  

• at sårbarheder håndteres gennem hele produktets livscyklus,  

• at der stilles sikkerhedsopdateringer til rådighed

• at man gennemfører relevant overensstemmelsesvurdering og sikrer korrekt CE-mærkning 

•  og derudover har fabrikanterne en rapporteringsforpligtelse.

Fabrikanternes rapporteringsforpligtelser 

CRA indfører krav om, at fabrikanter skal indberette aktivt udnyttede sårbarheder og alvorlige hændelser, der har indvirkning på sikkerheden af produkter med digitale elementer. Indberetning skal ske via en fælleseuropæisk indberetningsplatform, som etableres af ENISA. 

Rapportering følger jf. artikel 14 en fast tidslinje: 

• Tidlig varsling: senest 24 timer efter, at fabrikanten er blevet bekendt med en aktivt udnyttet sårbarhed eller en alvorlig hændelse. 

• Underretning: senest 72 timer efter, med generelle oplysninger og en indledende vurdering.

• Endelig rapport:  

• • for sårbarheder: senest 14 dage efter, at en afhjælpende foranstaltning er tilgængelig. 

• • for hændelser: senest 1 måned efter den indledende underretning. 

Centrale forpligtelser for distributørerne 

Distributører har ansvar for at kontrollere, at produkter er CE-mærket og undlade at gøre et produkt tilgængeligt på markedet, hvis der er formodning om, at produktet ikke lever op til cybersikkerhedskravene i forordningens bilag 1. Hvis distributøren får kendskab til, at et produkt udgør en cybersikkerhedsrisiko eller ikke er i overensstemmelse med CRA, skal distributøren underrette fabrikanten eller importøren og de relevante myndigheder. 

Centrale forpligtelser for importørerne 

Importører har ansvar for at sikre, at producenten har gennemført de relevante overensstemmelsesvurderinger, inden et produkt med digitale elementer bringes i omsætning.  

Importøren må ikke bringe et produkt i omsætning, hvis der er viden om eller begrundet mistanke om, at produktet ikke lever op til kravene i CRA’en. Ved mistanke om, at et produkt kan udgøre en væsentlig cybersikkerhedsrisiko, skal importøren underrette fabrikanten og de relevante myndigheder.

Tidslinje for CRA

CRA indfases gradvist, og forskellige dele kommer til at gælde på forskellige tidspunkter.

Hvad skal din virksomhed gøre nu?

Hvad skal din virksomhed gøre nu? 

1. Afklar jeres rolle i værdikæden (producent, importør eller distributør). 
2. Kortlæg hvilke produkter, som I bringer på markedet, der er omfattet af CRA. 
3. Vurder krav til cybersikkerhed i design, udvikling og vedligehold. 
4. Forbered processer for sårbarhedshåndtering og rapportering. 
5. Planlæg dokumentation og CE-mærkning med cybersikkerhed som krav. 

Tidlig forberedelse reducerer risikoen for hasteløsninger og øgede omkostninger senere. Søg evt hjælp hos en ekspert via Dansk Erhvervs side om, Hvor kan jeg få hjælp til at nå i mål med cybersikkerheden?