26. februar 2025
Mange af de produkter, vi bruger til daglig – fra smarture til industrimaskiner – indeholder digitale komponenter i form af både software og hardware, hvilket gør dem sårbare over for cyberangreb. For at øge sikkerheden vedtog Europa-Parlamentet og Rådet i december 2023 Cyber Resilience Act (CRA), der stiller krav til producenter, importører og distributører om at sikre, at digitale produkter lever op til cybersikkerhedsstandarder gennem hele deres livscyklus. Formålet er at gøre det nemmere for forbrugerne at vurdere sikkerheden i de produkter, de køber og bruger. For at understøtte loven har Europa-Kommissionen bedt de europæiske standardiseringsorganisationer CEN, CENELEC og ETSI om at udvikle konkrete standarder, der skal hjælpe virksomheder med at forbedre sikkerheden i deres digitale produkter.
Én af dem, der er med til at udvikle standarderne, er Michael Bladt Stausholm, der er Principal Security Architect hos Alexandra Instituttet. Michael er med i det danske standardiseringsudvalg for cyber- og informationssikkerhed i Dansk Standard, hvorigennem han deltager i det europæiske projektteam, der udvikler standarden for sårbarhedsvurderinger ift. kravene i Cyber Resilience Act.
- I loven står der, at man skal sørge for, at der ikke er en kendt sårbarhed i ens produkt. Men hvad betyder det helt præcist?, eksemplificerer Michael Bladt Stausholm, og fortsætter:
- Det kan man med fordel finde ud af ved at følge en standard.
Forordningen skelner mellem kritiske og ikke-kritiske produkter, som har betydning for, hvordan man i praksis skal leve op til kravene. Et kritisk produkt kan fx være et antivirusprogram eller firewalls til industriel brug. Ved ikke-kritiske produkter er der krav om selvevaluering. De kritiske produkter er delt op i to risikoklasser, klasse I (lavere risiko) og klasse II (højere risiko). De kritiske produkter med lavere risiko er underlagt krav om at anvende standarder for cybersikkerhed eller tredjepartsvurderinger, mens produkterne i klassen med højere risiko er underlagt krav om tredjepartsvurdering.
Det er kun de mest kritiske produkter, der er forpligtet til at følge de kommende harmoniserede standarder eller få deres sikkerhed vurderet af en såkaldt ’notified body’. For de resterende 90-95 % er brugen af standarder frivillig, men fordelagtig, understreger Michael Bladt Stausholm:
- Hvis man følger en harmoniseret standard, må man formode, at éns produkt overholder loven. Og hvis der efterfølgende under en kontrol opdages mangler, er det standardens skyld, ikke virksomheden.
Harmoniserede standarder beskriver detaljeret, hvordan direktivets overordnede krav kan opfyldes. De gælder i alle EU-lande og afløser eventuelle nationale standarder. De europæiske harmoniserede standarder relaterer sig direkte til direktiverne og er med til at sikre produkternes frie bevægelighed. Ved at følge de harmoniserede standarder er producenterne sikre på, at de opfylder de tilsvarende væsentlige sikkerheds- og sundhedskrav i direktiverne.
Når EU vedtager et direktiv, og det efterfølgende bliver gjort til national lovgivning, skal alle, der markedsfører produkter/ydelser i Europa, kunne dokumentere, at de opfylder kravene i direktivet.
Da forordningen dækker bredt, vil de kommende krav ramme både producenter, importører og distributører af hardware- og/eller softwareprodukter med digitale elementer. Producenterne har pligt til at sikre sig, at de digitale produkter opfylder kravene til cybersikkerhed og gennemgår overensstemmelsesvurderinger, før de sættes på markedet. Producenterne er også ansvarlige for cybersikkerheden gennem produktets livscyklus. Derudover skal de registrere teknisk dokumentation og overholde kravene til rapportering af brud i cybersikkerheden. Importører må kun markedsføre produkter med digitale elementer, der opfylder de væsentlige cybersikkerhedskrav og er CE-mærket. Distributører har ansvar for at sikre, at producenter og importører har overholdt deres forpligtelser i henhold til forordningen og skal bekræfte, at de digitale produkter er CE-mærket.
Sikkerheden skal gælde både nye og gamle produkter I CEN og CENELEC arbejder Michael og en lang række andre europæiske eksperter med at definere, hvordan virksomheder kan håndtere sårbarheder i praksis. Et centralt fokusområde er at sikre, at både nye og eksisterende produkter opfylder kravene. Det er en udfordring, især for ældre produkter.
- Det kan godt ske, at man har lavet et produkt på en gammel måde, men så skal det tilpasses og rettes til. Det betyder ikke nødvendigvis, at hele produktet skal genbygges, men man skal lave en ny trusselsvurdering og adressere de problemer, man finder, fortæller Michael Bladt Stausholm.
Et af de komplekse aspekter ved Cyber Resilience Act er, hvordan loven interagerer med den eksisterende produktlovgivning. Som Michael Bladt Stausholm påpeger, er dette område særligt udfordrende for software, hvor en række eksisterende fortolkninger af loven er udfordret:
- Hvis du laver et stykke software, der ligger til download, hvornår er det så på markedet? Og hvis du laver en opdatering, hvornår er det så en væsentlig ændring, der kræver ny compliance? Det er spørgsmål, vi arbejder på at besvare.
Cyber Resilience Act er en af de første love, der forsøger at regulere det vilde vesten inden for softwareudvikling, understreger Michael Bladt Stausholm. For ham er det essentielt at finde den rigtige balance mellem innovation og regulering:
- Lovgivningen skal ikke skade innovationen i Europa, men af hensyn til brugerne og samfundet som helhed kommer der nu nogle krav, man ikke kan komme udenom.
Arbejdet med at konkretisere Cyber Resilience Act gennem standarder varetages af standardiseringsorganisationerne CEN, CENELEC og ETSI, og derigennem har Danmark mulighed for at følge og bidrage til arbejdet.
- Gennem Dansk Standards udvalg er der en unik mulighed for at danske virksomheder og organisationer kan følge og præge arbejdet med udviklingen af standarderne for cybersikkerhed, der skal understøtte Cyber Resilience Act. Vi har en håndfuld danske eksperter repræsenteret i det europæiske arbejde, hvilket er enormt vigtigt for at sikre størst mulig dansk indflydelse, udtaler Berit Aadal, chefkonsulent i Dansk Standard og ansvarlig for Dansk Standards udvalg for cyber- og informationssikkerhed.
Michael Bladt Stausholm og de øvrige ekspertkolleger fra resten af Europa skriver i øjeblikket de første udkast til standarderne. Når standarderne er klar, sendes de videre til de nationale udvalg i Europa (i Danmark er det Dansk Standard), som vurderer standardernes kvalitet og anvendelighed.
- Det er et omfattende arbejde. Men når standarderne er på plads, vil de give virksomheder en konkret vejledning til at overholde loven, slutter Michael Bladt Stausholm.
Dansk Standard er vært for en europæisk workshop den 8. april 2025, der netop sætter fokus på Cyber Resilience Act og de kommende horisontale standarder. Her har du mulighed for at komme med konkrete input til de kommende standarder, herunder bl.a. standarden for sårbarhedshåndtering.
Læs mere om workshoppen her: https://www.ds.dk/en/our-services/workshop-cyber-resilience-act
Vil du vide mere om CRA?: https://www.ds.dk/da/i-fokus/lovgivning/lovgivning-paa-det-digitale-omraade-og-standarder/cyber-resilience-act
For at hjælpe SMV’er med at navigere i det komplekse landskab af cybersikkerhed og de europæiske lovkrav har Dansk Standard udarbejdet en guide i samarbejde med Alexandra Instituttet, Force Technology, som du frit kan downloade her: https://www.ds.dk/da/download/ds-inf-21007-2024
Ny og opdateret standardpakke for IEC 62443-serien giver bedre overblik til arbejdet med cybersikkerhed for operationel teknologi.
Gennem Q&A's får du indblik i, hvordan fire helt forskellige virksomheder har implementeret cyber- og informationssikkerhedsstandarder, samt hvilken effekt det har haft.
Få en introduktion til en helt ny guide, der skal hjælpe SMV’er med at håndtere de lovkrav, der kommer fra EU i forhold til cyber- og informationssikkerhed.
Med de mange cyberangreb på virksomheder, der har digitaliseret deres forretning, er cybersikkerhed blevet en nødvendig faktor. Alligevel mangler mange små og mellemstore virksomheder ressourcer og ekspertise til at tackle emnet, især med de nye l...
