Cyber Resilience Act (CRA) är en föreslagen EU-förordning som syftar till att förbättra cybersäkerheten för produkter med digitala element, såsom hårdvara och programvara, som används inom hela den inre marknaden. Här är en kortfattad översikt som hjälper till att förstå de centrala aspekterna av denna reglering:

Vad är CRA?

Cyber Resilience Act (CRA) ställer krav på att alla produkter med digitala element som säljs på EUs inre marknad uppfyller höga standarder för cybersäkerhet. Detta omfattar både produkter som kan anslutas till internet och de som används i nätverksmiljöer. Målet är att minska sårbarheter i produkter och förbättra cybersäkerhetsåtgärder under hela produktens livscykel.

CRA föreslår att tillverkare ska integrera cybersäkerhet från designfasen och erbjuda fortlöpande säkerhetsuppdateringar. Det adresserar också problem som otillräcklig information för konsumenter om produkternas säkerhetsfunktioner, vilket gör att de inte kan fatta välinformerade beslut när de köper eller använder dessa produkter​.

Vem påverkas?

CRA påverkar alla aktörer i leveranskedjan av produkter med digitala element, inklusive:

  • Tillverkare: De ansvarar för att säkerställa att produkterna uppfyller de väsentliga cybersäkerhetskraven och måste erbjuda support och uppdateringar under produktens hela livscykel.
  • Importörer och distributörer: Dessa aktörer måste säkerställa att de produkter de säljer uppfyller de säkerhetskrav som ställs av CRA.
  • Användare (både företag och konsumenter): CRA syftar till att förbättra säkerheten och ge användarna bättre information om produkternas säkerhetsegenskaper​.

Vad behöver företagen göra?

För att efterleva CRA behöver företagen:

  1. Implementera cybersäkerhet från början: Produkterna ska designas med säkerhet i åtanke och uppfylla kraven redan från designstadiet.
  2. Hantera sårbarheter: Tillverkare ska kontinuerligt övervaka sina produkter och tillhandahålla säkerhetsuppdateringar som åtgärdar eventuella sårbarheter.
  3. Tillhandahålla dokumentation: Företag måste förse användare med relevant och tydlig information om produkternas cybersäkerhetsfunktioner och uppdateringar​​.

Sanktioner

Om företag inte uppfyller de krav som ställs i CRA kan de bli föremål för sanktioner. Dessa kan inkludera betydande administrativa böter, och medlemsstaterna ska införa regler som möjliggör effektiva sanktioner vid överträdelser. Sanktionerna syftar till att säkerställa att aktörer på marknaden tar sitt ansvar för cybersäkerheten på allvar​.

Fördelar för kunder och företag

  • För kunder: CRA kommer att förbättra säkerheten och skyddet för konsumenter, vilket minskar risken för cyberattacker. Användare får bättre information om säkerheten hos produkter och kan göra medvetna val.
  • För företag: Även om CRA innebär ökade kostnader för att uppfylla säkerhetskraven, skapar det också ett mer konkurrenskraftigt och rättvist affärsklimat där alla följer samma regler. Detta leder till ökad förtroende för produkter från EU och minskar risken för ekonomiska och ryktebaserade skador till följd av cyberattacker​.

Viktiga kontakter

För att säkerställa att CRA efterlevs kommer marknadskontrollmyndigheter att övervaka och kontrollera produkter som släpps på marknaden. Tillverkare och andra aktörer i leveranskedjan måste samarbeta med dessa myndigheter och rapportera cybersäkerhetsincidenter i enlighet med kraven​.

Sammanfattningsvis syftar CRA till att skapa en mer enhetlig och säker digital miljö genom att sätta upp tydliga cybersäkerhetskrav för alla produkter med digitala element. Detta stärker säkerheten både för företag och konsumenter och främjar innovation inom en säker ram.

Behöver du rådfråga eller konsultation?

Kontakt

info@nis2sverige.se

Öppettider

Mån-fre: 8 — 16