För att minska riskerna för säkerhetsincidenter och stärka cybersäkerheten för digitala produkter och tjänster har EU introducerat Cyber Resilience Act (CRA), en ny lag som träder i kraft den 1 januari 2025. CRA syftar till att höja säkerhetsstandarden för digitala produkter och lagen innebär bland annat att alla nätverksanslutna produkter måste uppfylla bindande säkerhetskrav och erhålla CE-märkning för att säljas på den europeiska marknaden. Med dessa krav sätter CRA en ny standard för cybersäkerhet.
Snart träder CRA-lagen i kraft – så kan ditt företag påverkas
Cybersäkerhet
EU:s nya lag Cyber Resilience Act börjar gälla vid årsskiftet. Här reder vi ut vad du som vd behöver veta.
Någonting är fel
Läs vidare – starta din prenumeration
- Strategiska artiklar med tips och analyser.
- 6 fullmatade magasin årligen.
- Tillgång till premiumnyheter på vdtidningen.se.
- 100 procents fokus på vd-rollen.
Vad innebär lagen för vd:n och vilka saker behöver man ha koll på? Per-Erik Eriksson på Dataföreninegn Västra och Olle E. Johansson på Edvina hjälper oss att reda ut.
Fakta
Huvuddrag i CRA
- Säkerhetskrav: CRA fastställer bindande säkerhetskrav som inkluderar åtkomstskydd, sekretess, integritet och tillgänglighet. Dessa krav måste integreras i hela produktens livscykel, från design och utveckling till produktion och underhåll.
- CE-märkning: För att få säljas inom EU måste produkter uppfylla CRA:s säkerhetskrav och erhålla CE-märkning, vilket indikerar att de är säkra att använda.
- Sårbarhetshantering: Tillverkare är skyldiga att övervaka sina produkter för sårbarheter och tillhandahålla kostnadsfria säkerhetsuppdateringar under en period av fem år efter lansering. Det finns även krav på snabb rapportering av säkerhetsincidenter till relevanta myndigheter.
CRA börjar gälla i hela EU, inklusive Sverige, den 1 januari 2025. Alla företag och organisationer som är verksamma inom EU måste ha anpassat sig till de nya reglerna innan detta datum.
- 21 månader efter att lagen publicerats blir det krav på att rapportera sårbarheter och säkerhetsincidenter, som ransomware-attacker eller fysiska intrång.
- 36 månader efter publiceringen börjar CRA gälla fullt ut.
- 42 månader efter publiceringen måste alla produkter omcertifieras enligt de nya reglerna, då tidigare certifieringar inte längre gäller.
Hur vet man om företaget omfattas av CRA-lagen?
– Det är sannolikt lättast att säga vad CRA inte omfattar: ett antal sektorer som redan har likadana eller kraftfullare krav, som militär utrustning, medicinsk utrustning, fordon och flyg. Rena software-as-a-service program i molnet utan lokal programvara eller utrustning exkluderas också. Tillverkar, distribuerar eller importerar man “produkter med digitala komponenter”, det vill säga någon form av programvara eller hårdvara med inbyggd programvara, så är huvudregeln att man omfattas av CRA-lagen.
Vilka specifika krav ställs på vd/styrelse?
– CRA har inte i själva texten direkt riktade krav på vd/styrelse, men både bötesbeloppets storlek och den förändring som krävs gör det mycket tydligt att företagsledningen måste vara involverad i förändringen lagen medför för dom flesta företag som påverkas. Krav som fria säkerhetsuppdateringar under produktens livstid, 24-timmars gräns för rapportering av intrång och mycket mer påverkar affärsmodellen ganska kraftigt, vilket gör det till en klar och tydlig fråga för företagsledning.
– Man bör också tänka på att CRA-lagen, NIS2-direktivet och övriga EU-lagar står över svensk lag och är skrivna så att en verksamhets högsta ledning och förvaltning är ansvariga för att ta emot, tolka och anpassa verksamhetens organisation, struktur och teknik utifrån vad lagen säger.
Hur påverkar CRA produktutvecklingsprocessen och vilka förändringar kan behöva implementeras?
– CRA är direkt riktad mot produktutvecklingsprocessen och kan i korthet förklaras med att tillverkare måste ha löpande utveckling för att se till att produkten med alla ingående komponenter inte har kända utnyttjade fel. Löpande uppdateringar måste göras och distribueras till kunder, utan extra kostnad. Själva tillverkningssystemet måste också säkras för att motverka ”supply chain security”-problem – att skadlig programvara inkluderas i leverans till kund.
Vad blir konsekvenserna om kraven inte följs i tid?
– CRA har både bötesbelopp vid grova förseelser, max 15 000 000 EUR eller 2,5 % på föregående års globala omsättning, samt möjlighet till stopp av försäljning och även möjlighet för kunder att begära skadestånd. Detta kan slå hårt mot företagets verksamhet.
Hur ska man agera?
– Utvärdera, planera och agera snarast. Då stora delar av CRA kommer att gälla om tre år så är det hög tid att utnyttja tiden för att analysera gapet i alla produkter – hur långt är dom från där dom borde vara när CRA träder i full kraft?
Ett tips är att räkna baklänges och ställa frågor som:
- När måste vi senast inventera vilka produkter, och de i produkterna ingående komponenterna, som är berörda?
- Klarar produkterna kraven eller behövs uppdatering?
- För de produkter som behöver uppdateras: Är det lönsamt och hinner vi uppdatera i tid?
- Behöver vi lägga ner/fasa ut produkter?
- Ska dessa ersättas av nyutvecklade produkter?
- När måste vi i så fall senast starta utvecklingen?
- Vilka medarbetare behöver utbildas?
- Vad ska utbildningen omfatta?
- När måste vi vara klara med utbildningen?
Vilka resurser och kompetenser kan vara värda att investera i?
– Den enskilt viktigaste frågan att börja med är att utbilda ledningen. Ledningen behöver inte bli experter på säkerhet men de behöver förstå risk, säkerhet och sitt ansvar så att de kan ställa rätt krav och följa upp.
– En annan resurs och kompetens som behöver ses över är hur företaget bygger/utvecklar programvara med egna resurser eller genom köp. Vilka hjälpmedel och metoder som företaget använder kan vara klokt att se över och åtgärda där så behövs. De egna utvecklarna behöver ha hjälpmedel och kunskap/få kunskap för att bygga säker programvara. De underleverantörer man anlitar kommer man behöva ställa krav på så att dessa i sin tur lever upp till det som krävs. Även andra grupper behöver kompetens anpassad efter respektive grupps behov t.ex. produktansvariga och marknad respektive sälj.
Bästa tips till företag som kommer att omfattas av lagen?
– Ta vara på affärsmöjligheten och konkurrensmöjligheten som uppstår i och med CRA. En fråga för vd och styrelsen torde vara att besluta huruvida företaget vill satsa på att ta hjälp av CRA-lagen som affärsmöjlighet och konkurrensmedel. De företag som kan leva upp till lagens krav har ett tidsfönster där de kan skaffa sig en väsentlig affärsmöjlighet och konkurrensfördel.