Cyber Resilience Act (CRA) Fra 11. desember 2027 må nettorganiserte produkter i EU oppfylle kravene i Cyber Resilience Act (CRA). Cyber Security blir dermed obligatorisk gjennom hele produktlivssyklusen. Også våre produkter vil oppfylle disse kravene. Samtidig hjelper vi deg med å tilpasse prosessene dine og øke sikkerheten i systemene dine.

Produksjon i henhold til Cyber Resilience Act (CRA)
Persongruppesymbol

Der CRA unterteilt Produkte mit digitalen Elementen in insgesamt vier Risikoklassen

Hva innebærer dette for brukerne?

Med CRA kan brukerne dra nytte av produkter som oppfyller strengere Cyber Security-standarder og som skjuler færre risikoer i form av hackere, sikkerhetshull eller andre farer. Slik produkter må inneha CE-merking, som bekrefter samsvaret med de nye kravene.

Produsenten plikter i tillegg å pleie produktene gjennom hele livssyklusen og tilby automatiske sikkerhetsoppdateringer. Dermed kan brukerne stole på cyber-sikkerhetsgarantiene til CE-merkede produkter.

Utropstegnsymbol

Die wichtigsten Meilensteine des CRA im Überblick

Tidsplan for implementering av CRA

CRA implementeres i henhold til en klart definert tidsplan med flere milepæler. Etter publiseringen i EUs offisielle tidende, trådte den i kraft 10. desember 2024. Anvendelsesplikten trer i kraft etter en overgangsperiode der produsentene kan tilpasse produktene, prosessene og dokumentasjonen sin i henhold til dette.

Du må kjenne til følgende frister:

    1. desember 2024: Ikrafttredelse av Cyber Resilience Act
    1. juni 2026: Start på kravene til samsvarsvurderingsorganer
    1. september 2026: Innføring av rapporteringsplikter for produsenter
    1. desember 2027: Full anvendelse av alle krav for berørte produkter

Produkter som ikke oppfyller CRA-kravene etter 11. desember 2027, kan ikke lenger settes i omløp i EU. Cyber Security er dermed i ferd med å bli en grunnleggende forutsetning for produkter.

Oversikt over alle fakta
Guide til Cyber Resilience Act

Få en rask oversikt over Cyber Resilience Act: Vår White paper "Cyber Resilience Act – fremtiden til Cyber Security for digitale produkter" oppsummerer de viktigste faktaene og viser deg hvordan Phoenix Contact implementerer kravene i praksis.

Last ned White paper nå
White paper: Cyber Resilience Act – fremtiden til Cyber Security for digitale produkter

CRA-implementering hos Phoenix Contact


Symbol CRA-ready

I vår E-Shop er produktene merket med symbolet "CRA-ready"

"CRA-ready" for din planleggingssikkerhet

Åpen og transparent kommunikasjon er spesielt viktig for oss når vi implementerer CRA, slik at du har langsiktig planleggingssikkerhet for prosjektene dine. Vi merker derfor berørte produkter i vår E-Shop med statusen "CRA-ready".

"CRA-ready" betyr at produktet kan brukes og integreres allerede i dag. Pr. i dag kreves det ingen endringer i maskinvaren for å oppfylle kravene i Cyber Resilience Act. Nødvendige tilpasninger kan implementeres via Firmware- eller programvareoppdateringer. Det kan også foretas endringer i dokumentasjonen. Denne vurderingen er basert på dagens kunnskapsstatus og utgjør ikke en juridisk bindende uttalelse.

De fleste av de berørte produktene er allerede merket i E-Shop. Flere artikler vil bli lagt til etter hvert for å gi deg en så fullstendig og transparent oversikt som mulig over vår portefølje med hensyn til CRA. Hvis et produkt ennå ikke har statusen "CRA-ready", er det for øyeblikket i et analyseforløp. Dette betyr ikke at det ikke vil oppfylle kravene. Ta kontakt med oss, så sjekker vi statusen for deg individuelt.

Produkter som ikke kan oppfylle de fremtidige kravene, vil bli utfaset i god tid før CRA trer i kraft. I slike tilfeller tilbyr vi deg passende etterfølgere eller alternative produkter, slik at du kan planlegge og bytte i god tid.

Betydningen av CRA for produktene dine Cyber Resilience Act gjør én ting helt klart: Cyber Security er i ferd med å bli et grunnleggende krav til nettorganiserte produkter. Ettersom sikkerhetskrav har vært fast forankret i produktutviklingen hos Phoenix Contact i en årrekke, oppfyller mange av våre løsninger allerede viktige krav til sikkerhet og robusthet. Klikk på de respektive CRA-kravene for å finne ut mer om implementeringen vår.

Interaktivt bildekart: Oversikt over kravene i CRA
Sikkerhet gjennom hele livssyklusen
Vi tar allerede hensyn til Cyber Security gjennom hele livssyklusen til produktene våre – fra planlegging, design og utvikling og helt til produksjon, levering og vedlikehold. Fokuset her er på beskyttelsesmålene konfidensialitet, integritet og tilgjengelighet samt effektiv beskyttelse mot uautorisert tilgang.
Sikkerhet gjennom hele livssyklusen
Dokumentasjon med utgangspunkt i praksis
I tillegg kommer omfattende og lettforståelig dokumentasjon. Du vil få all den informasjonen du trenger for å installere, integrere, drifte og, om nødvendig, ta produktene våre ut av drift på en sikker måte. På denne måten skaper vi grunnlaget for at du kan drive systemene dine ikke bare effektivt, men også sikkert og bærekraftig.
Dokumentasjon med utgangspunkt i praksis
Strukturert håndtering av sårbarheter
I tillegg til dokumentasjon er åpen kommunikasjon helt avgjørende for systematisk sårbarhetshåndtering. Vi gir deg allerede målrettet og pålitelig informasjon om relevante svake punkter og tilgjengelige tiltak. Besøk PSIRT-nettstedet vårt eller abonner på det engelskspråklige PSIRT-nyhetsbrevet for å være sikker på at du ikke går glipp av den nyeste informasjonen.
Mer informasjon om vår PSIRT
Strukturert håndtering av sårbarheter
Langsiktig sikkerhet
Vi tilbyr også sikkerhetsoppdateringer over en lang tidsperiode, noe som skaper planleggingssikkerhet for applikasjonene og investeringene dine. Samtidig sørger vi for at alle nødvendige bevis på at sikkerhetskravene er oppfylt kan fremlegges, for eksempel som en del av CE-merking.
Langsiktig sikkerhet
Dokumentasjon av Security-risikoer
For våre produkter betyr dette at Cyber Security-risikoer systematisk identifiseres, vurderes og dokumenteres. Vi vurderer potensielle trusler allerede i utviklingsfasen, og holder resultatene oppdaterte og transparente gjennom hele livssyklusen.
Dokumentasjon av Security-risikoer
Trygg bruk av produktene våre
Vi overvåker og utbedrer sikkerhetshull kontinuerlig, og gir deg oppdateringer og anbefalinger om tiltak i minst fem år. For deg betyr dette først og fremst én ting: Langsiktig planleggingssikkerhet for produktene du bruker.
Trygg bruk av produktene våre
White paper: IEC 62443 forklart med utgangspunkt i praksis
IEC 62443 som suksessfaktor for Security-konsepter

Hvordan kan Cyber Security og EU-krav som NIS2, CRA og maskinforordningen, forenes? Vår White paper viser hvordan IEC 62443 støtter dette, og gir en oversikt over implementeringen av Cyber Security innen automatisering.

Last ned White paper nå
IEC 62443-sertifiserte produkter

360°-Security – vårt komplette tilbud uten kompromisser


Implementering av IEC 62443 - 360° sikkerhet

Vårt komplette 360°-Security-konsept

Omfattende beskyttelse av systemene dine og støtte ved nye direktiver

For oss handler Cyber Security om mer enn bare sikre produkter og regulatoriske krav. Vi hjelper deg med å beskytte de industrielle nettverkene dine effektivt mot cyberangrep.
For å oppnå dette har vi et helhetlig syn på Industrial Security. Det er nettopp her vår 360°-Security-tilnærming kommer inn i bildet: Den kombinerer tekniske, organisatoriske og prosedyremessige tiltak basert på etablerte standarder som IEC 62443, og føyer dem sammen til et helhetlig konsept. Vi dekker alle relevante nivåer, fra valg og integrering av sikre komponenter, utforming av robuste nettverksarkitekturer og helt til sikker drift og strukturert håndtering av sikkerhetshendelser.

Samtidig gir vi deg konkret støtte i implementeringen av nye regulatoriske krav som Cyber Resilience Act, NIS2 eller maskinforordningen. Ekspertene våre samarbeider med deg for å analysere behovene du har og utvikle skreddersydde løsninger for å sikre at maskinene og systemene dine blir satt opp på en trygg måte.

Hva innebærer det for produsenten?

mGuard-symbol med sikkerhetslås
Produksjonssymbol
Manglende overholdelse av CRA
Hva betyr CRA for produkter utenfor EU?
Forskjellen mellom NIS2 og CRA
mGuard-symbol med sikkerhetslås

CRA forutsetter klare Security-krav til produkter, og disse omfatter tilgangsbeskyttelse, fortrolighetsbeskyttelse, integritet, tilgjengelighet og også en sikker utleveringstilstand. For å sørge for en sikker utviklingsprosess skal disse hensyntas først og fremst ved utforming, utvikling og produksjon.

Produksjonssymbol

I forbindelse med sikker utviklingsprosess må produsenter kontrollere produktene sine aktivt med hensyn til svake punkter, og også oppheve disse umiddelbart. En slik sikkerhetsoppdatering skal gjøres tilgjengelig vederlagsfritt og strekker seg over et tidsrom på fem år. I tillegg innfører CRA ytterligere meldeplikt: Produsenter plikter å melde fra til ENISA dersom de får kjennskap til aktivt benyttede svake punkter eller angrep på sine produkter som kan påvirke sikkerheten, for eksempel som følge av manipulering av nedlastingsområder.

Manglende overholdelse av CRA

Manglende overholdelse av kravene i Cyber Resilience Act kan få vidtrekkende konsekvenser for produsenter. Produkter uten gyldig CE-merking eller uten dokumentert samsvar kan ikke omsettes eller selges i EU.

I tillegg kan det ilegges betydelige bøter på opptil 15 millioner euro eller 2,5 % av den årlige globale omsetningen (avhengig av hva som er høyest).

Hva betyr CRA for produkter utenfor EU?

Cyber Resilience Act gjelder ikke bare for produsenter i EU, men for alle produkter som gjøres tilgjengelige på EU-markedet, uavhengig av hvor de er produsert.

Produkter fra for eksempel USA eller Asia må også oppfylle CRA-kravene så snart de selges eller omsettes i EU.

Forskjellen mellom NIS2 og CRA

CRA og NIS2-direktivet har ulike tilnærminger, men utfyller hverandre i sin virkning: Mens CRA regulerer Cyber Security for produkter med digitale elementer og derfor først og fremst er rettet mot produsenter, er NIS2 rettet mot sikkerheten til operatører.

Bedriftene må sikre sine systemer og prosesser som en del av NIS2, mens CRA sørger for at produktene som brukes, allerede oppfyller de nødvendige sikkerhetskravene.

LinkedIn-logo

LinkedIn: Industrial Communication og Cyber Security Bli en del av fellesskapet vårt i dag!

Ved hjelp av industrielle kommunikasjonsnettverk kan vi overføre data fra felten via styrenivået og helt til skyen absolutt pålitelig. På vår LinkedIn-side Industrial Communication og Cyber Security vil du finne interessant informasjon om temaene nettverkstilgjengelighet, Cyber Security, fjernvedlikehold og mye mer. Bli en del av fellesskapet vårt!