CRA forutsetter klare Security-krav til produkter, og disse omfatter tilgangsbeskyttelse, fortrolighetsbeskyttelse, integritet, tilgjengelighet og også en sikker utleveringstilstand. For å sørge for en sikker utviklingsprosess skal disse hensyntas først og fremst ved utforming, utvikling og produksjon.
Cyber Resilience Act (CRA) Fra 11. desember 2027 må nettorganiserte produkter i EU oppfylle kravene i Cyber Resilience Act (CRA). Cyber Security blir dermed obligatorisk gjennom hele produktlivssyklusen. Også våre produkter vil oppfylle disse kravene. Samtidig hjelper vi deg med å tilpasse prosessene dine og øke sikkerheten i systemene dine.
Der CRA unterteilt Produkte mit digitalen Elementen in insgesamt vier Risikoklassen
Hva innebærer dette for brukerne?
Med CRA kan brukerne dra nytte av produkter som oppfyller strengere Cyber Security-standarder og som skjuler færre risikoer i form av hackere, sikkerhetshull eller andre farer. Slik produkter må inneha CE-merking, som bekrefter samsvaret med de nye kravene.
Produsenten plikter i tillegg å pleie produktene gjennom hele livssyklusen og tilby automatiske sikkerhetsoppdateringer. Dermed kan brukerne stole på cyber-sikkerhetsgarantiene til CE-merkede produkter.
Die wichtigsten Meilensteine des CRA im Überblick
Tidsplan for implementering av CRA
CRA implementeres i henhold til en klart definert tidsplan med flere milepæler. Etter publiseringen i EUs offisielle tidende, trådte den i kraft 10. desember 2024. Anvendelsesplikten trer i kraft etter en overgangsperiode der produsentene kan tilpasse produktene, prosessene og dokumentasjonen sin i henhold til dette.
Du må kjenne til følgende frister:
-
- desember 2024: Ikrafttredelse av Cyber Resilience Act
-
- juni 2026: Start på kravene til samsvarsvurderingsorganer
-
- september 2026: Innføring av rapporteringsplikter for produsenter
-
- desember 2027: Full anvendelse av alle krav for berørte produkter
Produkter som ikke oppfyller CRA-kravene etter 11. desember 2027, kan ikke lenger settes i omløp i EU. Cyber Security er dermed i ferd med å bli en grunnleggende forutsetning for produkter.
CRA-implementering hos Phoenix Contact
I vår E-Shop er produktene merket med symbolet "CRA-ready"
"CRA-ready" for din planleggingssikkerhet
Åpen og transparent kommunikasjon er spesielt viktig for oss når vi implementerer CRA, slik at du har langsiktig planleggingssikkerhet for prosjektene dine. Vi merker derfor berørte produkter i vår E-Shop med statusen "CRA-ready".
"CRA-ready" betyr at produktet kan brukes og integreres allerede i dag. Pr. i dag kreves det ingen endringer i maskinvaren for å oppfylle kravene i Cyber Resilience Act. Nødvendige tilpasninger kan implementeres via Firmware- eller programvareoppdateringer. Det kan også foretas endringer i dokumentasjonen. Denne vurderingen er basert på dagens kunnskapsstatus og utgjør ikke en juridisk bindende uttalelse.
De fleste av de berørte produktene er allerede merket i E-Shop. Flere artikler vil bli lagt til etter hvert for å gi deg en så fullstendig og transparent oversikt som mulig over vår portefølje med hensyn til CRA. Hvis et produkt ennå ikke har statusen "CRA-ready", er det for øyeblikket i et analyseforløp. Dette betyr ikke at det ikke vil oppfylle kravene. Ta kontakt med oss, så sjekker vi statusen for deg individuelt.
Produkter som ikke kan oppfylle de fremtidige kravene, vil bli utfaset i god tid før CRA trer i kraft. I slike tilfeller tilbyr vi deg passende etterfølgere eller alternative produkter, slik at du kan planlegge og bytte i god tid.
Betydningen av CRA for produktene dine Cyber Resilience Act gjør én ting helt klart: Cyber Security er i ferd med å bli et grunnleggende krav til nettorganiserte produkter. Ettersom sikkerhetskrav har vært fast forankret i produktutviklingen hos Phoenix Contact i en årrekke, oppfyller mange av våre løsninger allerede viktige krav til sikkerhet og robusthet. Klikk på de respektive CRA-kravene for å finne ut mer om implementeringen vår.
360°-Security – vårt komplette tilbud uten kompromisser
Vårt komplette 360°-Security-konsept
Omfattende beskyttelse av systemene dine og støtte ved nye direktiver
For oss handler Cyber Security om mer enn bare sikre produkter og regulatoriske krav. Vi hjelper deg med å beskytte de industrielle nettverkene dine effektivt mot cyberangrep.
For å oppnå dette har vi et helhetlig syn på Industrial Security. Det er nettopp her vår 360°-Security-tilnærming kommer inn i bildet: Den kombinerer tekniske, organisatoriske og prosedyremessige tiltak basert på etablerte standarder som IEC 62443, og føyer dem sammen til et helhetlig konsept. Vi dekker alle relevante nivåer, fra valg og integrering av sikre komponenter, utforming av robuste nettverksarkitekturer og helt til sikker drift og strukturert håndtering av sikkerhetshendelser.
Samtidig gir vi deg konkret støtte i implementeringen av nye regulatoriske krav som Cyber Resilience Act, NIS2 eller maskinforordningen. Ekspertene våre samarbeider med deg for å analysere behovene du har og utvikle skreddersydde løsninger for å sikre at maskinene og systemene dine blir satt opp på en trygg måte.
Hva innebærer det for produsenten?
I forbindelse med sikker utviklingsprosess må produsenter kontrollere produktene sine aktivt med hensyn til svake punkter, og også oppheve disse umiddelbart. En slik sikkerhetsoppdatering skal gjøres tilgjengelig vederlagsfritt og strekker seg over et tidsrom på fem år. I tillegg innfører CRA ytterligere meldeplikt: Produsenter plikter å melde fra til ENISA dersom de får kjennskap til aktivt benyttede svake punkter eller angrep på sine produkter som kan påvirke sikkerheten, for eksempel som følge av manipulering av nedlastingsområder.
Manglende overholdelse av kravene i Cyber Resilience Act kan få vidtrekkende konsekvenser for produsenter. Produkter uten gyldig CE-merking eller uten dokumentert samsvar kan ikke omsettes eller selges i EU.
I tillegg kan det ilegges betydelige bøter på opptil 15 millioner euro eller 2,5 % av den årlige globale omsetningen (avhengig av hva som er høyest).
Cyber Resilience Act gjelder ikke bare for produsenter i EU, men for alle produkter som gjøres tilgjengelige på EU-markedet, uavhengig av hvor de er produsert.
Produkter fra for eksempel USA eller Asia må også oppfylle CRA-kravene så snart de selges eller omsettes i EU.
CRA og NIS2-direktivet har ulike tilnærminger, men utfyller hverandre i sin virkning: Mens CRA regulerer Cyber Security for produkter med digitale elementer og derfor først og fremst er rettet mot produsenter, er NIS2 rettet mot sikkerheten til operatører.
Bedriftene må sikre sine systemer og prosesser som en del av NIS2, mens CRA sørger for at produktene som brukes, allerede oppfyller de nødvendige sikkerhetskravene.
LinkedIn: Industrial Communication og Cyber Security Bli en del av fellesskapet vårt i dag!
Ved hjelp av industrielle kommunikasjonsnettverk kan vi overføre data fra felten via styrenivået og helt til skyen absolutt pålitelig. På vår LinkedIn-side Industrial Communication og Cyber Security vil du finne interessant informasjon om temaene nettverkstilgjengelighet, Cyber Security, fjernvedlikehold og mye mer. Bli en del av fellesskapet vårt!