The Cyber Resilience Act er en banebrydende udvikling inden for cybersikkerhed. Den opstiller klare forpligtelser for producenter af digitale produkter, især med hensyn til implementering af Security by Design. For at modtage det eftertragtede CE-mærke er fremtidige produkter underlagt minimumskrav til sikkerhed. CRA tager fat på vigtige aspekter som adgangsbeskyttelse, fortrolighed, integritet og tilgængelighed gennem hele udviklingsprocessen. Denne artikel ser på de udfordringer og muligheder, som CRA medfører for producenterne og overvejer den internationale standard IEC 62443's potentielle rolle som en nøglespiller i denne sammenhæng.
Læs om fremtiden for cybersikkerhed for digitale produkter i Cyber Resilience Act (CRA) – klare retningslinjer, højere standarder og en banebrydende strategi for en mere sikker digital tidsalder.
Cyber Resilience Act (CRA) sætter klare retningslinjer for producenter af digitale produkter, som nu er forpligtet til at forfølge en Security by Design-strategi. For at få det eftertragtede CE-mærke skal produkter, der er underlagt CRA, fremover opfylde minimumskrav til sikkerhed. Lovteksten lægger stor vægt på aspekter som adgangsbeskyttelse, fortrolighed, integritet og tilgængelighed, som skal integreres i hele udviklingsprocessen. Derudover regulerer CRA sårbarhedsstyring og den tidsperiode, hvor producenter er forpligtet til at levere sikkerhedsopdateringer.
Formålet med CRA er at styrke tilliden til EU's digitale infrastruktur og øge europæiske virksomheders konkurrenceevne på globalt plan. Som EU-lov kræver den ikke national implementering og trådte i kraft i hele EU den 10. december 2024.
IEC 62443 spiller som international standard en vigtig rolle, da den både dækker den nødvendige sikre udviklingsproces og de tekniske krav til produkter og systemer. På grund af denne overensstemmelse kan IEC 62443 tjene som et lovende grundlag for en harmoniseret CRA-standard. En standardiseret Software Bill of Material (SBOM) er påkrævet for alle produkter for at opfylde kravene til sårbarhedsstyring. Dette omfattende overblik over alle softwarekomponenter er afgørende. Desuden skal kendte sårbarheder registreres i digitalt format, f.eks. ved hjælp af Common Vulnerability Scoring System (CVSS).
Cyber Resilience Act (CRA) er en EU-lov, der påvirker alle produkter med digitale elementer, der har kommunikationsfunktioner. CRA dækker både hardware og software og er baseret på det såkaldte New Legislative Framework. Loven opstiller bindende krav, som skal overholdes, når produkter markedsføres. Produkter, der overholder disse regler, er forsynet med et CE-mærke.
Omvendt betyder det, at produkter, der ikke lever op til kravene, ikke længere må markedsføres. Men udbyderen skal også stoppe med at sælge eksisterende produkter, hvis cybersikkerhedskravene ikke er opfyldt.
CRA stiller klare sikkerhedskrav til produkter, herunder adgangsbeskyttelse, fortrolighedsbeskyttelse, integritet, tilgængelighed og en sikker fabriksindstilling. For at garantere en sikker udviklingsproces skal der først og fremmest tages hensyn til disse under design, udvikling og produktion.
Som en del af den sikre udviklingsproces skal producenterne aktivt kontrollere deres produkter for sårbarheder og udbedre dem med det samme. Denne sikkerhedsopdatering vil blive leveret gratis og vil strække sig over en periode på fem år. CRA indfører også yderligere rapporteringsforpligtelser: Producenter skal straks underrette det europæiske cybersikkerhedsagentur (ENISA), hvis de bliver opmærksomme på aktivt udnyttede sårbarheder eller angreb på deres produkter, der kan kompromittere sikkerheden, f.eks. ved manipulation af downloadområder.
Før produktet kommer på markedet, skal producenten sikre sig, at det overholder de foreskrevne standarder. Vurderingen er baseret på en klassificering af produktet med hensyn til, hvor kritisk det er. Dette kræver overholdelse af europæiske standarder eller test af en autoriseret institution. Der lægges særlig vægt på kritisk infrastruktur i industrien. I denne sammenhæng er anvendelsen af harmoniserede standarder og/eller samarbejde med en godkendt institution påkrævet.
CRA giver brugerne mulighed for at drage fordel af produkter, der opfylder højere cybersikkerhedsstandarder og udgør færre risici fra hackere, sikkerhedshuller eller andre farer. Sådanne produkter skal CE-mærkes for at vise, at de lever op til de nye krav.
Producenterne er også forpligtet til at vedligeholde produkterne i hele deres livscyklus og tilbyde automatiske sikkerhedsopdateringer. Brugerne kan derfor stole på de garantier for cybersikkerhed, som CE-mærkede produkter giver.
Producenterne står over for udfordringen med at sørge for en sikker udviklingsproces og implementere omfattende sikkerhedsforanstaltninger inden lancering af produkter på markedet. Det er forbundet med ekstra omkostninger, som hvilket påvirke ressourcer og produktionstider. Den nye lovgivning lover betydelige fordele for slutbrugerne, da den hæver sikkerhedsniveauet og minimerer risiciene inden for cybersikkerhed betydeligt. Producenterne står her over for en række udfordringer, der medfører ekstra omkostninger. Det er dog værd at tage disse udfordringer op, da overtrædelser kan føre til, at myndighederne kræver produktforbedringer eller tilbagekaldelser og pålægger bøder på op til 15 mio. euro eller 2,5 % af den årlige globale omsætning.
Der er håb, for de grundlæggende krav, som de er defineret af CRA er dækket af sikker udviklingsproces i overensstemmelse med IEC 62443-4-1 og de funktionelle specifikationer i overensstemmelse med IEC 62443-4-2. Implementering iht. standarden IEC 62443 er derfor anbefalelsesværdig.
Startsignalet er givet. Nu er det tid til at iværksætte foranstaltninger og forberede sig sammen. Cyber Resilience Act (CRA) blev officielt offentliggjort den 10. december 2024. Alle produkter skal have et kompatibelt sårbarhedsstyringssystem inden 11. september 2026. Fra den 11. december 2027 kræves fuld implementering af CRA, og alle relevante produkter skal opfylde kravene for at opnå CE-mærket.
Nu er det tid til at handle for at opfylde de nye sikkerhedsstandarder og sikre konkurrenceevnen.
Vores komplette 360°-sikkerhedskoncept
Hos Phoenix Contact stoler vi på en omfattende 360° sikkerhedstilgang, der integrerer sikre produkter som et centralt element. Sikre produkter er udviklet i overensstemmelse med standarderne i IEC 62443-4-1, mens kravene til sikkerhedsfunktioner er opfyldt i overensstemmelse med IEC 62443-4-2. PSIRT-teamet (Product Security Incident Response Team) er ansvarligt for en effektiv håndtering af sårbarheder.
Takket være denne strategi er Phoenix Contact godt positioneret til at opfylde de nye lovkrav. Vi tilbyder også vores kunder sikre applikationsløsninger og -tjenester. En uafhængig certificering fra TÜV SÜD bekræfter overholdelse af cybersikkerhedsprocesser i overensstemmelse med IEC 62443.
