Cyber Resilience Act er en veivisende utvikling på området Cyber Security. Den definerer klare forpliktelser for produsenter, spesielt med hensyn til implementering av Security-by-Design. For å kunne motta den ettertraktede CE-merkingen vil fremtidige produkter underligge minstesikkerhetskrav. CRA adresserer helt essensielle aspekter som tilgangsbeskyttelse, fortrolighet, integritet og tilgjengelighet gjennom hele utviklingsprosessen. Dette innlegget kaster et blikk på utfordringene og sjansene som CRA fører med seg for produsenter, og ser nærmere på den potensielle rollen til den internasjonale standarden IEC 62443 som nøkkelaktør i denne konteksten.
I Cyber Resilience Act (CRA) vil du se fremtiden til Cyber Security for digitale produkter – klare direktiver, høyere standarder og en veivisende strategi for en sikker digital tidsalder.
Cyber Resilience Act (CRA) definerer helt klare direktiver for produsenter av digitale produkter som nå plikter å følge en Security-by-Design-strategi. For å motta den ettertraktede CE-merkingen vil produkter som underligger CRA, i fremtiden måtte imøtekomme minstesikkerhetskrav. Lovteksten legger her stor vekt på aspekter som tilgangsbeskyttelse, fortrolighet, integritet og tilgjengelighet, som må implementeres i hele utviklingsprosessen. I tillegg regulerer CRA styringen av svake punkter samt tidsvinduer som produsenter plikter å klargjøre Security-oppdateringer innenfor.
Målet med CRA er å styrke tilliten til den digitale infrastrukturen i EU og øke konkurransedyktigheten til europeiske bedrifter på globalt nivå. Som EU-Act krever den ikke nasjonal implementering, og trådte i kraft i hele EU 10. desember 2024.
Som internasjonal standard inntar IEC 62443 en nøkkelrolle, da den dekker både den nødvendige sikre utviklingsprosessen og de tekniske kravene til produkter og systemer. På grunn av denne kongruensen vil IEC 62443 kunne fungere som et lovende utgangspunkt for en harmonisert standard i CRA. For å kunne oppfylle kravene til styring av svake punkter kreves det en standardisert Software Bill of Material (SBOM) for samtlige produkter. Denne omfattende oversikten over samtlige programvarekomponenter er helt essensiell. I tillegg må kjente svake punkter registreres i digitalt format, for eksempel gjennom Common Vulnerability Scoring System (CVSS).
Cyber Resilience Act (CRA) er en EU-bestemmelse som gjelder for alle produkter som har digitale elementer med kommunikasjonsevne. CRA dekker både maskinvare og programvare, og orienterer seg etter New Legislative Framework. Bestemmelsen inneholder bindende spesifikasjoner som skal overholdes når produkter settes i omløp på markedet. Produkter som er i samsvar med disse reglene, har CE-merking.
I omvendt tilfelle betyr dette at produkter uten samsvar ikke lenger kan settes i omløp på markedet. Men også ved produkter som allerede finnes må leverandøren stanse salget dersom Cyber-Security-kravene ikke oppfylles.
CRA forutsetter klare Security-krav til produkter, og disse omfatter tilgangsbeskyttelse, fortrolighetsbeskyttelse, integritet, tilgjengelighet og også en sikker utleveringstilstand. For å sørge for en sikker utviklingsprosess skal disse hensyntas først og fremst ved utforming, utvikling og produksjon.
I forbindelse med sikker utviklingsprosess må produsenter kontrollere produktene sine aktivt med hensyn til svake punkter, og også oppheve disse umiddelbart. En slik sikkerhetsoppdatering skal gjøres tilgjengelig vederlagsfritt og strekker seg over et tidsrom på fem år. I tillegg innfører CRA ytterligere meldeplikt: Produsenter plikter å melde fra til ENISA dersom de får kjennskap til aktivt benyttede svake punkter eller angrep på sine produkter som kan påvirke sikkerheten, for eksempel som følge av manipulering av nedlastingsområder.
Før innføringen på markedet må produsenten sikre at produktet er i samsvar med foreskrevne standarder. Evalueringen foretas avhengig av produktets klassifisering med hensyn til kritisk grad. Dette forutsetter at europeiske standarder overholdes, eller en kontroll utført av en autorisert institusjon. Et spesielt fokus ligger her på kritiske infrastrukturer i industrien. I denne konteksten er anvendelse av harmoniserte standarder og/eller samarbeid med en godkjent institusjon, nødvendig.
Med CRA kan brukerne dra nytte av produkter som oppfyller strengere Cyber Security-standarder og som skjuler færre risikoer i form av hackere, sikkerhetshull eller andre farer. Slik produkter må inneha CE-merking, som bekrefter samsvaret med de nye kravene.
Produsenten plikter i tillegg å pleie produktene gjennom hele livssyklusen og tilby automatiske sikkerhetsoppdateringer. Dermed kan brukerne stole på cyber-sikkerhetsgarantiene til CE-merkede produkter.
Produsenter står foran en utfordring der det må sørges for en sikker utviklingspross og omfattende sikkerhetstiltak må implementeres før innføringen på markedet. Dette starter med ytterligere tiltak som kan påvirke ressursene og produksjonstidene. Den nye lovgivningen gir løfte om betydelige fordeler for sluttbrukere, da den øker sikkerhetsnivået og i stor grad reduserer risikoene på området Cyber Security. Produsenter står samtidig foran enkelte utfordringer som krever ytterligere innsats. Det lønner seg likevel å gå disse utfordringene i møte, da brudd kan føre til at myndighetene vil kreve produktforbedringer eller tilbakekallinger og utstede bøter på opptil 15 mill. euro eller 2,5 % av global årlig omsetning.
Det finnes likevel håp, all den tid de generelle kravene, som definert via CRA, dekkes gjennom den sikre utviklingsprosessen i henhold til IEC 62443-4-1 og de funksjonelle spesifikasjonene i henhold til IEC 62443-4-2. Det anbefales dermed å implementere standarden IEC 62443.
Startsignalet er gitt. Nå er det på tide å iverksette tiltak og forberede seg sammen. Cyber Resilience Act (CRA) ble offisielt publisert 10. desember 2024. Alle produkter må ha et kompatibelt system for håndtering av sårbarheter innen 11. september 2026. Fra 11. desember 2027 kreves det full implementering av CRA, og alle relevante produkter må oppfylle kravene for å oppnå CE-merking.
Nå er det på tide å handle for å oppfylle de nye sikkerhetsstandardene og sikre konkurransekraften.
Vårt komplette 360°-Security-konsept
Her hos Phoenix Contact følger vi en omfattende 360°-sikkerhetstilnærming som integrerer sikre produkter som sentralt element. Sikre produkter utvikles i henhold til standardene i IEC 62443-4-1, mens kravene til Security-funksjoner oppfylles i henhold til IEC 62443-4-2. PSIRT-teamet (Product Security Incident Response Team) er ansvarlig for en effektiv behandling av svake punkter.
Takket være denne strategien er Phoenix Contact i en god posisjon til å kunne imøtekomme de nye lovbestemte kravene. I tillegg tilbyr vi kundene våre sikre applikasjonsløsninger og tjenesteytelser. Den uavhengige sertifiseringen gjennom TÜV SÜD bekrefter overholdelse av Cyber-Security-prosessene i henhold til IEC 62443.
