Forordning om cybersikkerhetskrav for produkter med digitale elementer (Cyber Resilience Act)

Formål: Cyber Resilience Act har som mål å styrke cybersikkerheten for digitale produkter på det europeiske markedet. De viktigste målene er å:

• Sikre trygge produkter – Pålegge produsenter å integrere sikkerhet gjennom hele produktets livssyklus.
• Øke transparens – Innføre tydelige cybersikkerhetskrav, inkludert sårbarhetshåndtering og rapporteringsplikt.
• Harmonisere regelverket – Etablere felles EU-standarder for cybersikkerhet og redusere regulatorisk fragmentering.
• Beskytte forbrukere og bedrifter – Redusere cybersikkerhetsrisikoer ved å sikre at alle produkter oppfyller minimumssikkerhetskrav før de kommer på markedet.

Ved å redusere cybertrusler og øke tilliten til digitale produkter, styrker CRA den generelle motstandsdyktigheten mot cyberangrep.

Betydning for Norge: Som en del av EØS-avtalen må Norge og norske virksomheter etterleve Cyber Resilience Act, som innfører strengere cybersikkerhetskrav for digitale produkter når loven trer i kraft. Norske virksomheter som utvikler, importerer eller distribuerer programvare og maskinvare, må sikre at produktene oppfyller EU-krav til sikkerhet og sårbarhetshåndtering. Regelverket gir en mer harmonisert tilnærming til cybersikkerhet, men kan også medføre økte etterlevelseskostnader og krav til løpende sikkerhetsoppdateringer.

Omfang: Cyber Resilience Act gjelder for produsenter, importører og distributører av digitale produkter på EUs marked. Regelverket omfatter blant annet:

• Forbrukerenheter: Smarthjem-systemer (f.eks. smarte termostater, dørlåser), wearables (f.eks. smartklokker, treningsarmbånd) og tilkoblede leker.
• Industrielle og bedriftsløsninger: Nettverksrutere, industrielle styringssystemer, medisinsk utstyr og cybersikkerhetsprogramvare.
• Programvare: Operativsystemer, passordhåndteringsverktøy og skytjenester.

CRA stiller krav til cybersikkerhet gjennom hele produktets levetid, fra sikker utvikling til sårbarhetshåndtering. Kritiske produkter, som nettverksinfrastruktur og industrielle kontrollsystemer, vil møte strengere sikkerhetskrav på grunn av høyere risiko

Viktige forpliktelser: Cyber Resilience Act innfører cybersikkerhetsforpliktelser for produsenter, importører og distributører av digitale produkter. De viktigste kravene inkluderer:

• Sikker produktutvikling – Sikkerhet må integreres fra designfasen og opprettholdes gjennom hele produktets livssyklus.
• Håndtering av sårbarheter – Kontinuerlig overvåking, sikkerhetsoppdateringer og obligatorisk utbedring av sårbarheter.
• Rapportering av hendelser – Produsenter må melde om aktivt utnyttede sårbarheter og sikkerhetshendelser til ENISA innen 24 timer.
• Transparens og etterlevelse – Krav til sikkerhetsdokumentasjon, risikovurderinger og overholdelse av EU-standarder for sertifisering.
• Markedstilsyn og håndheving – Myndigheter kan ilegge bøter eller forby produkter som ikke oppfyller kravene.

CRA sikrer at alle digitale produkter oppfyller minimumskrav til cybersikkerhet, noe som styrker digital motstandsdyktighet i EU og EØS.