Cyberresiliensforordningen CRA behöver bli en naturlig del av verksamheters arbetssätt

Har du ett hyfsat nytt kylskåp, en robotgräsklippare eller ett digitalt nyckelsystem, äger en bil eller använder någon form av appar och digitala tjänster? Då är det sannolikt att dessa produkter har en uppkoppling. Ofta är det välkommet, användbart och ger ett mervärde. Tyvärr har dock denna typ av produkter, programvara och tjänster också erbjudit cyberkriminella attraktiva ingångar och många möjligheter att ta sig in i system och nätverk för att komma över personlig och känslig information. Exemplen är många och attackerna väl omskrivna, som Pegasus spyware, WannaCry och Kaseya.

För att råda bot på bristande cybersäkerhet har EU nu tagit fram och infört cyberresiliensförordningen, Cyber Resilience Act, CRA. Syftet är att tillverkare av tjänster, programvara och produkter med någon form av digital komponent också måste ta ansvar för säkerheten i den, att den inte har sårbarheter samt att den går att uppdatera säkerhetsmässigt under hela livscykeln. Lagen ska skydda konsumenter och göra det tydligt vilka produkter och tjänster som är säkra och inte.

Förordning trädde i kraft redan i december 2024, men verksamheter måste säkerställa att lagkraven uppfylls till fullo senast 11 december 2027. De produkter och tjänster som inte uppfyller kraven då kommer inte att kunna lanseras på den europeiska marknaden och redan lanserade produkter och tjänster som inte uppfyller kraven får inte längre säljas.

Förordningen är ett bra initiativ för att lyfta cybersäkerhet i allmänhet samt öka ansvaret och medvetenheten om säkerhet i alla typer av produkter och tjänster i synnerhet. Lagen kan dock komma att kräva omfattande åtgärder, anpassningar och processer för en rad olika verksamheter.

Stora krav på tillverkare, utvecklare, distributörer och återförsäljare

Är du tillverkare, utvecklare, distributör eller återförsäljare av produkter och tjänster som omfattas av cyberresiliensförordningen är det hög tid att sätta sig in i kraven och hur ni ska uppfylla dem för att kunna få eller fortsätta sälja era produkter och tjänster på den europeiska marknaden.

Lagen måste uppfyllas i alla led av värdekedjan och under hela produktens livscykel, varför CRA berör planering, konstruktion, utveckling och underhåll av produkter och tjänster samt möjligheten till service.

Förutom grundkraven i lagen finns utökade krav för produkter som anses ”kritiska”. Det är främst produkter som själva fyller någon typ av säkerhetsfunktion, som ett access- eller behörighetssystem till exempel. Dessa produkter måste förutom att uppfylla grundkraven också verifieras av en oberoende auktoriserande tredje part. För produkter som inte klassas som kritiska räcker det med att tillverkaren intygar att de uppfyller kraven.

De produkter som uppfyller kraven får också en CE-märkning, vilket gör det enkelt för konsumenter att avgöra regelefterlevnaden.

Stora förändringar av arbetssätt och rutiner kan krävas

Kanske har du som producent, utvecklare och tillverkare under lång tid arbetat med att ställa om era processer och utvecklingsmetoder för att kunna uppfylla CRA. Min erfarenhet är dock att många företag fortfarande skjuter de nödvändiga anpassningarna framför sig. Oavsett var du är i processen finns det en rad frågor du måste ställa dig – och givetvis kunna svara på kring uppfyllandet av lagen.

Viktiga frågor:

Hur kategoriseras era produkter? Måste de uppfylla grundkraven eller kategoriseras de som kritiska?

Har ni processer, verktyg och kompetens för att identifiera och testa sårbarheter?

Vilka processer och rutiner måste ni ha för att hantera uppdateringar av dokumentationen under hela produktens livstid?

Vilken kontakt har vi med kunder och konsumenter? Hur kommunicerar och informerar vi dem under hela produktens livscykel?

Förutom att gå igenom och hantera dessa frågor finns det några områden som är bra att kika lite extra på. Att identifiera sårbarheter är inte helt enkelt. Det kan innefatta tuffa PEN-tester (penetrationstest) för att ni ska kunna känna er säkra på att ni kan förhindra intrång. För att säkerställa att säkerheten upprätthålls måste ni också ha processer för att kunna uppdatera programkoden i produkterna på ett enkelt och säkert sätt. När det gäller att hålla dokumentationen uppdaterad, gäller det i åtminstone tio år från det att produkten sålts.

En viktig del i CRA är knyten till kommunikation. Ni måste hitta effektiva och enkla sätt att kunna kommunicera både med EU och med konsumenterna. Relevanta instanser inom EU måste exempelvis informeras inom loppet av tjugofyra timmar från att en sårbarhet upptäckts.

Det är viktigt att poängtera att ansvaret för säkerheten i en produkt inte slutar när den inte används längre, utan ni som producenter har också ett visst ansvar för att stänga ner eller avsluta produkten så att den inte utgör en säkerhetsrisk efter att den blivit ”end-of-life”.

Uppfyller ni inte CRA väntar digra böter på upp till 15 miljoner euro eller 2,5 procent av företagets globala omsättning. Även andra sanktioner kan följa, som näringsförbud för VD.

Som ni säkert förstår är de nödvändiga anpassningarna som måste göras både krävande och ganska snåriga. Till skillnad från andra direktiv finns inte heller någon tydlig standard idag att utgå ifrån. Det kan då vara en stor avlastning och en nödvändig hjälp att samarbeta med en partner som har nödvändig kompetens och erfarenhet inom viktiga områden.

Med en kompetent partner kommer ni snabbare på banan

Vi på CGI har kompetens och erfarenhet av att utveckla och ta fram systematiska sätt att arbeta med interna processer, att identifiera, testa och förebygga sårbarheter samt att skapa digitalt stöd för att hantera stora och komplexa förändringar och regelefterlevnadsprojekt. Det gör att vi kan hjälpa er att utvärdera till vilken grad ni uppfyller CRA idag, göra en GAP-analys över vad som behöver åtgärdas, samt hjälpa er bygga ett effektivt och hållbart systematiskt arbetssätt kring era produkter framöver. Genom att börja redan nu har ni större chans att göra er CRA-efterlevnad till en naturlig del av ert arbetssätt.

Vill ni veta var ni står redan idag? Börja med en genomlysning eller nulägesanalys.
Kontakta Jennie Hagman, Cybersäkerhetsstrateg och Director Consulting Expert, för att ta första steget.

Blogg

Insights you can act on

Tjuvtitt på Dynamics 365 Commerce

Jag vill imorgon igen!

Tjuvtitt på Dynamics 365 Commerce

Den största nationella totalförsvarsövningen i Sverige på mer än 30 år

Inga efterräkningar, ingen integritet

Karriärbloggen

Cyberresiliensforordningen CRA behöver bli en naturlig del av verksamheters arbetssätt

Stora krav på tillverkare, utvecklare, distributörer och återförsäljare

Stora förändringar av arbetssätt och rutiner kan krävas

Viktiga frågor:

Med en kompetent partner kommer ni snabbare på banan

Insights you can act on

Företag

Resurscenter

Support

Följ oss

Blogg

Insights you can act on

Tjuvtitt på Dynamics 365 Commerce

Jag vill imorgon igen!

Tjuvtitt på Dynamics 365 Commerce

Den största nationella totalförsvarsövningen i Sverige på mer än 30 år

Inga efterräkningar, ingen integritet

Karriärbloggen

Stora krav på tillverkare, utvecklare, distributörer och återförsäljare

Stora förändringar av arbetssätt och rutiner kan krävas

Viktiga frågor:

Med en kompetent partner kommer ni snabbare på banan

Expert

Jennie Hagman

Relaterad media

Eget datacenter (on-premise) eller Cloud – vilket ska du välja?

Kontinuitetsplanering och Disaster Recovery – kanske inte hett, men minst lika viktigt

Cybersäkerhet på CGI – en meningsfull och samhällsviktig karriär

Vad är Zero Trust?

Upptäck mer om CGI

Håll dig informerad