Cybersikkerhet:
Navigering i EUs Cyber Resilience Act – sett fra en produsents perspektiv
Ettersom EUs Cyber Resilience Act (CRA) introduserer nye cybersikkerhetskrav for tilkoblede produkter, står produsenter overfor komplekse, nye forpliktelser. Cedric Vincent, leder av Software Technology Lab ved Tria Technologies, gir et produsent-perspektiv på hvordan bedrifter forbereder seg, og ser på hvordan denne fremtredende loven omformer fremtiden for tilkoblede produkter.
Det er lett å se EUs nye Cyber Resilience Act (CRA) kun som enda et regulatorisk hinder for elektronikkdesignere å navigere i – men det ville i så fall være en stor feil.
Det er ingen overdrivelse å si at CRA kommer til å omdefinere hvordan digitale systemer unnfanges, bygges og vedlikeholdes rundt om i verden. Det er ikke bare samsvarsteam som må bekymre seg om kompleksiteten i den nye lovgivningen; CRA kommer til å utgjøre en grunnleggende forskjell for utformingen av innvevde systemer, IoT-enheter og smart elektronikk i global skala.
Ser vi nærmere på noen av detaljene, vil den største individuelle endringen som den nye EU-loven bringer med seg, være skiftet mot en "security-by-design"-tilnærming. Med andre ord, utviklere og produsenter av originalutstyr (OEM) må helt fra begynnelsen av, lage systemer med cybersikkerhet innebygd. Det kan ikke lenger være noe som er påtenkt i ettertid. En annen nøkkelfaktor er hendelsesberedskap – noe som betyr at designere må inkludere funksjoner som logging, diagnostikk og telemetri i systemene sine, slik at eventuelle sikkerhetsbrudd kan oppdages øyeblikkelig og rapporteres i sanntid. Telemetri er automatisert innsamling og overføring av data fra systemer, enheter eller applikasjoner.
Utilstrekkelige nivåer
Det er også viktig å forstå at CRA ikke bare er enda et lovverk som har blitt introdusert for å gjøre livet til designingeniører vanskelig – det er grunnleggende grunner til at det ble opprettet.
I følge EU-kommisjonen (EC), vil CRA adressere "det utilstrekkelige nivået av cybersikkerhet i mange produkter og mangelen på rettidige sikkerhetsoppdateringer for produkter og programvare". Den vil også ta for seg utfordringene forbrukere og bedrifter står overfor når de prøver å finne ut hvilke produkter som er cybersikre.
CRAs tungtveiende dokument sier at formålet med forskriften er å sikre at maskinvare- og programvareprodukter "blir plassert på markedet med færre sårbarheter og at produsenter tar sikkerhet på alvor gjennom et produkts livssyklus".
Kanskje viktigst av alt, vil loven påføre obligatoriske cybersikkerhetskrav til produsenter og forhandlere i alle ledd i forsyningskjeden – spesielt i planlegging, design, utvikling og vedlikehold av produkter. Det betyr fra silisiumleverandør til sluttmontert produkt, alt må være i samsvar. Noen produkter vil ikke engang kunne selges inn i EU-markedet før en tredjepartsvurdering av dem er utført av et autorisert organ. Produsenter må vite om produktene deres faller inn i den kategorien.
Konsekvenser i morgen
I et nøtteskall kan man si at avgjørelsene som en designingeniør tar i dag når han lager innvevde systemer, kan få juridiske og operasjonelle konsekvenser i morgen. Også økonomisk, fordi med fristen for full implementering ikke så langt unna, må produsenter være klar over at manglende overholdelse kan føre til alvorlige straffer – for tiden 15 millioner euro eller 2,5 % av den globale årlige omsetningen. Det er et stort insentiv for å få alt i orden før loven trer i kraft.
For produsenter som ikke er klar over dette, er det tre viktige datoer de må legge seg på minnet: 11. juni 2026 for godkjenning av samsvarsvurderingsorganer; 11. september 2026 for produsenter å rapportere eventuelle utnyttbare sårbarheter; og 11. desember 2027, når CRA vil bli håndhevet fullt ut.
Er produsentene bekymret for lovverket? Det kan du trygt si. Noen er bekymret for at det kan kvele innovasjon, mens andre frykter at noen mindre virksomheter kan slite med å absorbere kostnadene ved å tilfredsstille denne komplekse lovgivningen. Det er to veldig store grunner til at det er viktig for produsenter å krysse av for hver eneste boks når det gjelder å oppfylle de nye kriteriene. Å bruke all den tiden – og pengene – på å jobbe for å oppnå overholdelse og deretter fortsatt bli rammet av en betydelig avgift fordi et eller annet element bryter med loven, er et dobbelt slag som alle vil unngå.
Ekspertråd
Fra et produksjonsperspektiv har Tria jobbet med sektorledende partnere som Qualcomm, NXP, Intel og Renesas. Vårt fokus har vært å sikre kundenes produkter i samsvar med CRA-regelverket ved å gi ekspertråd om sluttprodukter som faller inn under CRAs regi. Samtidig har vi sørget for at designere og OEM-er har tilgang til de mest avanserte, tilpassede innvevde løsningene for sine produkter.
Det er essensielt at produsenter ikke tror at denne lovgivningen bare handler om Europa, det handler om å skape et tryggere digitalt globalt miljø. Dessuten handler det om langt mer enn overholdelse, den er opptatt av intet mindre enn å bygge tillit til infrastrukturen i vår digitale verden.
Produsenter som omfavner skiftet som er bestemt gjennom CRA nå, vil være bedre posisjonert til å lede i fremtiden. Produsenter må forstå at ved å bygge inn nettsikkerhet i DNAet til alle deres tilkoblede produkter, oppfyller de ikke bare regulatoriske krav, men låser også opp betydelig ny verdi for kunder, partnere og til og med samfunnet generelt.
Cyberangrep er en svøpe, som nådeløst utnytter sårbarheter i globale digitale infrastrukturer og truer integriteten, personvernet og motstandskraften til systemer som mennesker er avhengige av hver dag. CRA er en viktig del av lovgivningen, og produsenter over hele verden har en plikt til å sikre at produktene deres overholder denne.
Flere detaljer finner du på Trias CRA-side: https://www.tria-technologies.com/cyber-resilience-act-tria/.
