Cyber Resilience Act

I december 2023 nåede Europa-Parlamentet og Rådet til enighed om en ny forordning om horisontale cybersikkerhedskrav til produkter med digitale elementer (Cyber Resilience Act).

Forordningen

Forordningen er et led i den europæiske strategi for cybersikkerhed, og ambitionen er at styrke cybersikkerheden i produkter med digitale elementer og dermed øge tilliden og samtidig sikre retssikkerheden.

Med forordningen følger fælleseuropæiske cybersikkerhedskrav for alle, der fremstiller og udvikler produkter med digitale elementer, herunder både software og hardware.

Forordningen forventes at træde i kraft i første kvartal 2024 og reglerne finder anvendelse 36 måneder efter.

Baggrund og formål

Formålet er at sikre, at de digitale produkter, der kommer på markedet, har færre sårbarheder. Samtidig er det ambitionen at gøre det lettere for forbrugerne at gennemskue cybersikkerheden, når de vælger og bruger produkter med digitale elementer.

Forordningen skelner mellem kritiske og ikke-kritiske produkter, som har betydning for, hvordan man i praksis skal leve op til kravene (se figur). Et kritisk produkt kan fx være et antivirusprogram eller firewalls til industriel brug. Ved ikke-kritiske produkter er der krav om selvevaluering. De kritiske produkter er delt op i to risikoklasser, klasse I (lavere risiko) og klasse II (højere risiko). De kritiske produkter med lavere risiko er underlagt krav om at anvende cybersikkerhedsstandarder eller tredjepartsvurderinger, mens produkterne i klassen med højere risiko er underlagt krav om tredjepartsvurdering.

Med forordningen følger også krav om, at virksomheder skal rapportere eventuelle sikkerhedsbrud til EU's cybersikkerhedsmyndighed, ENISA, inden for 24 timer. Overtrædelse af reglerne i forordningen kan medføre betydelige bøder på op til 15 millioner euro eller 2,5 procent af en virksomheds globale omsætning. Derudover kan fabrikanter, hvis de ikke lever op til kravene, blive pålagt at fjerne eller tilbagekalde produkter fra markedet.

Forslaget dækker ikke produkter, som allerede er underlagt cybersikkerhedskrav i eksisterende sektorspecifikke EU-regler, fx medicinsk udstyr, luftfart og køretøjer. Forslaget dækker heller ikke produkter, der alene er udviklet til nationale sikkerhedsformål eller militære formål.

Nye standarder under Cyber Resilience Act

Vil du følge arbejdet med udviklingen af de nye standarder under Cyber Resilience Act? Så bliv en del af Dansk Standards udvalg for cyber- og informationssikkerhed, hvor der direkte mulighed for at involvere sig i arbejdet.

Læs mere om udvalget

Hvem gælder lovgivningen for?

Da forordningen dækker bredt, vil de kommende krav ramme både producenter, importører og distributører af hardware- og/eller softwareprodukter med digitale elementer. Producenterne har pligt til at sikre sig, at de digitale produkter opfylder cybersikkerhedskrav og gennemgår overensstemmelsesvurderinger, før de sættes på markedet. Producenterne er også ansvarlige for cybersikkerheden gennem produktets livscyklus. Derudover skal de registrere teknisk dokumentation og overholde kravene til rapportering af cybersikkerhedsbrud. Importører må kun markedsføre produkter med digitale elementer, der opfylder de væsentlige cybersikkerhedskrav og er CE-mærket. Distributører har ansvar for at sikre, at producenter og importører har overholdt deres forpligtelser i henhold til forordningen og skal bekræfte, at de digitale produkter er CE-mærket.

Koblingen til standarder

Cyber Resilience Act har en tæt kobling til standarder, da Europa-Kommissionen beder de formelle europæiske standardiseringsorganisationer (CEN og CENELEC) om at udarbejde en række standarder, der skal hjælpe virksomhederne med at leve op til lovgivningen.

Det betyder, at virksomheder, der skal leve op til lovgivningen, kan dokumentere at de gør det ved at følge disse harmoniserede standarderne. Dette kan de dokumentere via selvevaluering eller tredjepartsevalueringer.

De standarder, der skal støtte op om den kommende lovgivning, vil blive udarbejdet fra 2024-2026 og skal dække de 40+ krav der er nedfældet i forordningen. Nogle af de standarder, man regner med, kommer til at gælde, findes allerede, men vil i forbindelse med standardiseringsanmodningen fra Europa-Kommissionen sandsynligvis blive justeret.

Arbejdet med at udvikle standarder for produkter, der er koblet til internettet, har allerede været i gang i et par år ifm. radioudstyrsdirektivet, hvor man er i gang med at udvikle cyberstandarder ift. produkter udstyret med radiosendere. Konkret udvikles der tre standarder med cybersikkerhedskrav, der færdiggøres i løbet af 2024, så de er klar til at lovgivningen træder i kraft 2025:

  • CEN/CLC 18031-1 Generelle sikkerhedskrav til radioudstyr – Del 1: Radioudstyr med internetforbindelse
  • CEN/CLC 18031-2 Generelle sikkerhedskrav til radioudstyr – Del 2: Radioudstyr, der behandler data, herunder radioudstyr med internetforbindelse, radioudstyr til brug i forbindelse med børneomsorg, radioudstyr til legetøj og bærbart radioudstyr
  • CEN/CLC 18031-3 Generelle sikkerhedskrav til radioudstyr – Del 3: Radioudstyr med internetforbindelse, der anvendes til virtuel valuta eller valutaværdi

Disse tre standarder kommer også til at spille en aktiv rolle i forbindelse med de standrder der skal udvikles under Cyber Resilience Act.

Danmark bidrager aktivt til at udvikle de kommende standarder under Cyber Resilience Act, og arbejdet kan følges via Dansk Standards udvalg for cyber- og informationssikkerhed.

Kontakt

Berit Aadal
Berit Aadal Chefkonsulent | Chief Consultant
Standardisering | Digital & Bæredygtighed
E: baa@ds.dk
T: 39 96 62 96