Cybersikkerhet:
Mens vi venter på Cyber Resilience Act
Tidligere har vi sett på de nye cybersikkerhetskravene i det utvidede radioutstyrsdirektivet (RED). Men allerede nå bør man løfte blikket videre til EUs Cyber Resilience Act – CRA.
Hensikten med CRA er å sikre at produktene er trygge å bruke gjennom hele sin levetid, og at det er et tydelig rammeverk for cybersikkerhet som både maskinvare- og programvareprodusenter kan forholde seg til.
Gjennomsyret av sikkerhet
– Det er viktig at nye produkter skal være «secure by design & secure by default». Ting skal være trygt å bruke, uten at brukeren nødvendigvis skal kjenne til sikkerhetsstandardene bak, sier leder for NEMKOs cybersikkerhetsavdeling, Geir Hørthe. Sikkerheten må vurderes både med hensyn til tiltenkt bruk og «rimelig forutsigbart» bruk.
Design – og oppdatering
Nedslagsfeltet for CRA er «produkter med digitale elementer, hvis tiltenkte formål eller rimelig forutsigbare bruk omfatter en direkte eller indirekte logisk eller fysisk datatilkobling til en enhet eller et nettverk». Forskriften dekker de fleste produktområder, mens enkelte anvendelser er holdt utenfor, slik som:
| Medisinsk (MDR) | (EU) 2017/745 |
| In Vitro (IVDR) | (EU) 2017/746 |
| Kjøretøy | (EU) 2019/2144 |
| Luftfart | (EU) 2018/1139 |
| Maritim (MED) | 2014/90/EU |
| Åpen kildekodebasert SW | (gratis) |
| Software as a service - skytjenester, etc. |
I tillegg til designkravene vil CRA også omfatte krav til sikre oppdateringer, både med hensyn til å håndtere tilbakemeldinger, og påfølgende oppdateringer/forbedringer av produktene.
Nye krav – og ris bak speilet
CRA kommer nemlig med en del nye ting, foruten de «vanlige» kravene til CE-merking. Noen av de mest fremtredende er materiallister (BOM) for programvare, som antydet, krav om sikkerhetsoppdateringer i minst fem år, og tilgjengelige sikkerhetsoppdateringer i minst 10 år. Et nytt moment er også at produkteiere pålegges å rapportere svakheter som blir utnyttet. Og ikke minst: Kraftige bøter for brudd på forskriften – opp til 15 millioner Euro, eller kanskje enda verre, 2.5% av fjorårets brutto omsetning - globalt!
Pålagt rapportering
Rapporteringskravet trer i kraft allerede i september 2026, altså et år før CRA forventes å tre i kraft. Men foreløpig er ikke de underliggende standardene på plass, og det er ikke uvanlig at det blir utsettelser. Det er likevel ingen grunn til å vente med å ta tak. – Etter at det har vært mye aktivitet rundt RED tidligere i år, har vi også begynt å få mye spørsmål om CRA. Men tommelfingerregelen er at dersom du lurer på om produktet ditt er omfattet av CRA, så er det sannsynligvis det, poengterer Hørthe.
Selvdeklarering
Det er i hovedsak 4 produktkategorier i CRA. De aller fleste produktene vil havne i den første kategorien, «Produkter med digitale elementer. Da kan stort sett selvdeklarere produktet, men helst i henhold til en harmonisert standard. Den neste klassen, «Viktige produkter, klasse I», kan også selvdeklareres HVIS man bruker en harmonisert standard, eller- man kan bruke et Teknisk Kontroll Organ (notified body – NB) som f.eks. Nemko. Denne gruppen omfatter f.eks. rutere, modem, smartlåser, kamera og kroppsnær elektronikk for helse eller barn.
Teknisk Kontroll Organ (TKO)
For «Viktige produkter, klasse 2» er det ingen vei utenom godkjenning gjennom en TKO. I denne kategorien finner vi f.eks. brannmurer, innbruddssystemer og manipulasjonssikre mikroprosessorer og -kontrollere. Den siste kategorien, «Kritiske produkter», har det samme kravet til godkjenning gjennom sertifisert organ, og kan omfatte ting som gateways til smartmålere, og smarte betalingskort.
EUCC
Under Cyber Security Act (CSA) finnes også EU Cybersecurity Certification Scheme on Common Criteria (EUCC), som tilbyr et frivillig, EU-omfattende sertifiseringsrammeverk basert på den etablerte Common Criteria-standarden. Produkter som er sertifisert under EUCC antas å oppfylle de grunnleggende cybersikkerhetskravene fra CRA, noe som forenkler samsvarsprosessen for produsenter. Men dette er også et tidkrevende løp som stort sett bare er aktuelt for store og kostbare prosjekter hos forsvars- og andre krevende produsenter.
Manglende standarder
Selv om standardene ikke fins ennå, jobbes det for harde livet i standardiseringsorganisasjonene CEN, CENELEC og ETSI. Fremtidige standarder vil uansett være basert på eksisterende standarder (per i dag 15 horisontale og 26 vertikale standarder), så Hørthes råd er å orientere seg best mulig i dagens standarder for å ha sitt på det tørre. Det vil neppe bli «funnet opp» mye nytt.
Knapp tidslinje
Tidslinjen er uansett knapp. CRA skal etter planen gjøres obligatorisk fra 11. desember 2027. Problemet er at de horisontale standardene, etter samme plan, blir harmonisert først 20. oktober 2027. Dermed blir det knapt med tid for å gjennomgå produktene før fristen. Men: – Er du innenfor RED-direktivet er det dette som gjelder (fra 1. august i år), så du trenger ikke bekymre deg veldig om CRA foreløpig. Det skjer endringer der hele tiden. Like fullt bør du ha det i bakhodet, og tenke «høst 2027». Det er lurt – og mulig – å være tidlig ute, påpeker Hørthe.
