Nytt direktiv:

Oppfordring: Det haster med å få godkjent samsvar med cybersikkerhetskravene dersom du ikke hadde alt på plass 1. august i år. – Det viktigste er å bestemme seg, og komme i gang med en behovsanalyse, oppfordrer Geir Hørthe i NEMKO. – Så kan vi eventuelt diskutere den videre veien i en workshop, sier han. Nå kan bekymrede produkteiere og produsenter også bestille en gratis, timinutters konsultasjon via NEMKOs hjemmesider.

Er du klar med cybersikkerhet?

1. august trådte nemlig en ny del av radioutstyrsdirektivet (RED) i kraft, som krever at trådløst utstyr som er koblet til internett må ha dokumentert cybersikkerhet for å bli CE-merket.

Publisert

Som en utvidelse av radioutstyrsdirektivet (RED) må utstyr som kommuniserer trådløst og på en eller annen måte har forbindelse til internettet, være dokumentert i henhold til denne. Alternativet er at man ikke får solgt produktene sine.

Stor interesse

– Cybersikkerhet har vært en del av RED fra før, men til nå har det manglet en standard å forholde seg til, sier leder for NEMKOs cybersikkerhetsavdeling, Geir Hørthe. – Nå er standarden harmonisert, og fra 1. august må utstyr med radiokommunikasjon være i henhold til denne, sier han. Som vanlig med nye forskrifter er det alltid noen som er sent ute, men når det gjelder cybersikkerhet har NEMKO opplevd stor interesse i forkant, ifølge Hørthe. Det forrige nettseminaret de kjørte om cybersikkerhet hadde rundt 300 deltagere.

– Vi ser at cybersikkerhet krever mer involvering av produsenten enn f.eks. tradisjonell EMC-testing, fremholder Hørthe.

Det kommer mer

Litt lenger frem i løypa kommer også EUs Cyber Resiliance Act (CRA) til å gjøres gjeldende, med mer omfattende krav til sikkerhet i design: Ting skal være trygt å bruke, uten at brukeren skal kjenne til sikkerhetsstandardene. CRA vil blant annet inneholde krav til innebygd sikkerhet og sikre oppdateringer, og ikke minst krav om rapportering av svakheter som kan bli eller blir utnyttet. Rapporteringen kan bli gjeldende allerede fra neste år, men foreløpig er ikke standardene på plass. Mer om CRA i neste utgave av Elektronikk.

Cybersikkerhet i RED

Først og fremst, og ganske plutselig, er det cybersikkerhet i RED de fleste må forholde seg til, ifølge Hørthe. Kravene er formulert i punktene d, e og f under RED artikkel 3.3. – Utstyret må ikke nødvendigvis være tilkoblet internett hele tiden for å komme inn under kravet, sier Hørthe. Samtidig er det unntak for noen typer utstyr, som militært, medisinsk, luftfart, bil og veiprising, som har sine egne forskrifter.

Farene truer

Det er viktig at utstyret ikke skal kunne skade annet utstyr eller selv være sårbart for påvirkning, ref. punkt d). Om utstyret kan påvirke personvern, f.eks. ved at det har et kamera eller overfører følsomme opplysninger, trer punkt e) i kraft. Punkt f) dreier seg om pengeoverføringer og muligheten for svindel. – Det er blitt demonstrert at fremmede har kunnet koble seg til et leketøy og kommunisert med barn, så det er mye å være oppmerksom på, understreker Hørthe.

Harmonisert standard

For å kunne påberope seg samsvar med RED kan man benytte den harmoniserte standarden som foreligger (EN 18031) og selvdeklarere produktet. Kan man ikke bruke standarden, må man trekke inn et akkreditert organ (notified body) som kan sertifisere produktet.

– Vi får mye spørsmål nettopp om omfang og anvendelser, bekrefter Hørthe. – Derfor tilbyr vi nå gratis og uforpliktende ti minutters konsultasjoner, der vi kan gjøre en innledende vurdering for de som lurer på noe. Det er bare å gå inn på nettsiden vår og bestille tid, opplyser han.

Informasjon på avveie

Andre sårbarheter man har oppdaget omfatter bl.a. et produkt som sendte kryptert informasjon til skyen. Det fungerte helt greit, men så viste det seg at produktet av og til sendte en ukryptert fil til en server i Kina.

Nå haster det

Det haster å få ting i orden. Norsk fellesferie betyr i praksis at de fleste burde hatt tingene på plass 1. juli – ikke 1. august! Hos NEMKO har man merket at tingenes realiteter har gått opp for mange. – På få måneder har vi firedoblet aktiviteten innen cybersikkerhet, sier Hørthe som bemerker at det er sent å begynne nå, spesielt hvis man plutselig må bytte en komponent og gjøre redesign for å oppfylle kravene. Men mest sannsynlig vil det være «innafor» å få ordnet ting i løpet av året.

– Det viktigste er å bestemme seg, komme i gang og sette i gang en behovsanalyse, oppfordrer Hørthe.

Radioutstyrsdirektivet (RED) - Artikkel 3.3 d, e og f

Artikkel 3.3 d: Internett-tilkoblet radioutstyr skal ikke skade nettverket eller dets funksjon, eller misbruke nettverksressurser. Med internett-tilkoblet radioutstyr menes radioutstyr som kan kommunisere selv over internett, enten det kommuniserer direkte eller via annet utstyr.

Artikkel 3.3 e: Internett-tilkoblet radioutstyr, radioutstyr som er leketøy eller er beregnet for barnepass samt radioutstyr som er beregnet på å bæres på, festes til eller henges fra kroppen skal inneholde sikkerhetstiltak for å beskytte personopplysninger og personvernet til brukeren. Dette vil bare gjelde dersom utstyret kan behandle personopplysninger, trafikkdata eller lokasjonsdata.

Artikkel 3.3 f: Internett-tilkoblet radioutstyr som gjør det mulig for innehaveren eller brukeren å overføre penger, pengeverdi eller virtuell valuta skal støtte funksjoner som sikrer beskyttelse mot svindel.

Lenker:

https://nkom.no/frekvenser-og-elektronisk-utstyr/import/cyber

https://nkom.no/frekvenser-og-elektronisk-utstyr/import/sporsmal-og-svar-nye-cybersikkerhetskrav-til-utstyr-red-og-cra

https://www.nemko.com/no/product-certification/radio-equipment-directive-red

 

 

 

 

 

 

 

 

 

 

Powered by Labrador CMS