Nytt direktiv:

Er du klar med cybersikkerhet?
1. august trådte nemlig en ny del av radioutstyrsdirektivet (RED) i kraft, som krever at trådløst utstyr som er koblet til internett må ha dokumentert cybersikkerhet for å bli CE-merket.
Som en utvidelse av radioutstyrsdirektivet (RED) må utstyr som kommuniserer trådløst og på en eller annen måte har forbindelse til internettet, være dokumentert i henhold til denne. Alternativet er at man ikke får solgt produktene sine.
Stor interesse
– Cybersikkerhet har vært en del av RED fra før, men til nå har det manglet en standard å forholde seg til, sier leder for NEMKOs cybersikkerhetsavdeling, Geir Hørthe. – Nå er standarden harmonisert, og fra 1. august må utstyr med radiokommunikasjon være i henhold til denne, sier han. Som vanlig med nye forskrifter er det alltid noen som er sent ute, men når det gjelder cybersikkerhet har NEMKO opplevd stor interesse i forkant, ifølge Hørthe. Det forrige nettseminaret de kjørte om cybersikkerhet hadde rundt 300 deltagere.
– Vi ser at cybersikkerhet krever mer involvering av produsenten enn f.eks. tradisjonell EMC-testing, fremholder Hørthe.
Det kommer mer
Litt lenger frem i løypa kommer også EUs Cyber Resiliance Act (CRA) til å gjøres gjeldende, med mer omfattende krav til sikkerhet i design: Ting skal være trygt å bruke, uten at brukeren skal kjenne til sikkerhetsstandardene. CRA vil blant annet inneholde krav til innebygd sikkerhet og sikre oppdateringer, og ikke minst krav om rapportering av svakheter som kan bli eller blir utnyttet. Rapporteringen kan bli gjeldende allerede fra neste år, men foreløpig er ikke standardene på plass. Mer om CRA i neste utgave av Elektronikk.
Cybersikkerhet i RED
Først og fremst, og ganske plutselig, er det cybersikkerhet i RED de fleste må forholde seg til, ifølge Hørthe. Kravene er formulert i punktene d, e og f under RED artikkel 3.3. – Utstyret må ikke nødvendigvis være tilkoblet internett hele tiden for å komme inn under kravet, sier Hørthe. Samtidig er det unntak for noen typer utstyr, som militært, medisinsk, luftfart, bil og veiprising, som har sine egne forskrifter.
Farene truer
Det er viktig at utstyret ikke skal kunne skade annet utstyr eller selv være sårbart for påvirkning, ref. punkt d). Om utstyret kan påvirke personvern, f.eks. ved at det har et kamera eller overfører følsomme opplysninger, trer punkt e) i kraft. Punkt f) dreier seg om pengeoverføringer og muligheten for svindel. – Det er blitt demonstrert at fremmede har kunnet koble seg til et leketøy og kommunisert med barn, så det er mye å være oppmerksom på, understreker Hørthe.
Harmonisert standard
For å kunne påberope seg samsvar med RED kan man benytte den harmoniserte standarden som foreligger (EN 18031) og selvdeklarere produktet. Kan man ikke bruke standarden, må man trekke inn et akkreditert organ (notified body) som kan sertifisere produktet.
– Vi får mye spørsmål nettopp om omfang og anvendelser, bekrefter Hørthe. – Derfor tilbyr vi nå gratis og uforpliktende ti minutters konsultasjoner, der vi kan gjøre en innledende vurdering for de som lurer på noe. Det er bare å gå inn på nettsiden vår og bestille tid, opplyser han.
Informasjon på avveie
Andre sårbarheter man har oppdaget omfatter bl.a. et produkt som sendte kryptert informasjon til skyen. Det fungerte helt greit, men så viste det seg at produktet av og til sendte en ukryptert fil til en server i Kina.
Nå haster det
Det haster å få ting i orden. Norsk fellesferie betyr i praksis at de fleste burde hatt tingene på plass 1. juli – ikke 1. august! Hos NEMKO har man merket at tingenes realiteter har gått opp for mange. – På få måneder har vi firedoblet aktiviteten innen cybersikkerhet, sier Hørthe som bemerker at det er sent å begynne nå, spesielt hvis man plutselig må bytte en komponent og gjøre redesign for å oppfylle kravene. Men mest sannsynlig vil det være «innafor» å få ordnet ting i løpet av året.
– Det viktigste er å bestemme seg, komme i gang og sette i gang en behovsanalyse, oppfordrer Hørthe.