Cyber Resilience Act visar hur utvecklingen inom cybersäkerhet ska gå till. Den fastslår tydliga skyldigheter för tillverkare av digitala produkter, särskilt när det gäller genomförandet av inbyggd säkerhet (security-by-design). För att få den eftertraktade CE-märkningen måste framtida produkter uppfylla minimikrav på säkerhet. CRA tar upp viktiga aspekter som åtkomstskydd, sekretess, integritet och tillgänglighet under hela utvecklingsprocessen. Den här artikeln ger en inblick i de utmaningar och möjligheter som CRA innebär för tillverkarna och undersöker hur den internationella standarden IEC 62443 kan spela en nyckelroll i det här sammanhanget.
Upptäck framtiden för cybersäkerhet för digitala produkter i Cyber Resilience Act (CRA) – tydliga riktlinjer, högre standarder och en banbrytande strategi för en säkrare digital tidsålder.
I Cyber Resilience Act (CRA) fastställs tydliga riktlinjer för tillverkare av digitala produkter, som nu är skyldiga att tillämpa en strategi för inbyggd säkerhet (security-by-design). För att få den eftertraktade CE-märkningen måste produkter som omfattas av CRA i framtiden uppfylla minimikrav på säkerhet. I lagtexten läggs stor vikt vid aspekter som åtkomstskydd, sekretess, integritet och tillgänglighet, som måste integreras i hela utvecklingsprocessen. Dessutom reglerar CRA sårbarhetshantering och den tidsperiod under vilken tillverkare är skyldiga att tillhandahålla säkerhetsuppdateringar.
Syftet med CRA är att stärka förtroendet för EU:s digitala infrastruktur och öka de europeiska företagens konkurrenskraft på global nivå. Eftersom det är en EU-förordning krävs inget nationellt genomförande och den trädde i kraft i hela EU den 10 december 2024.
IEC 62443, som är en internationell standard, spelar en nyckelroll eftersom den omfattar både den nödvändiga säkra utvecklingsprocessen och de tekniska kraven för produkter och system. Med denna överensstämmelse har IEC 62443 stor potential att kunna användas som grund för en harmoniserad CRA-standard. En standardiserad Software Bill of Material (SBOM) krävs för alla produkter för att uppfylla kraven för sårbarhetshantering. Denna omfattande översikt över alla programvarukomponenter är nödvändig. Dessutom måste kända sårbarheter registreras i digitalt format, t.ex. genom Common Vulnerability Scoring System (CVSS).
Cyber Resilience Act (CRA) är en EU-lag som påverkar alla produkter med digitala element som har kommunikationsmöjligheter. CRA omfattar både maskinvara och programvara och bygger på New Legislative Framework. Lagen fastställer bindande krav som måste uppfyllas när produkter släpps ut på marknaden. Produkter som uppfyller dessa regler är CE-märkta.
Omvänt innebär detta att produkter som inte uppfyller kraven inte längre får släppas ut på marknaden. Leverantören måste dock också sluta sälja befintliga produkter om kraven på cybersäkerhet inte uppfylls.
CRA fastställer tydliga säkerhetskrav för produkter, inklusive åtkomstskydd, sekretesskydd, integritet, tillgänglighet och ett säkert leveranstillstånd. För att säkerställa en säker utvecklingsprocess måste dessa beaktas framför allt under konstruktion, utveckling och produktion.
Som en del av den säkra utvecklingsprocessen måste tillverkarna aktivt kontrollera sina produkter för sårbarheter och omedelbart åtgärda dem. Denna säkerhetsuppdatering kommer att tillhandahållas kostnadsfritt och kommer att gälla under fem år. CRA inför också ytterligare rapporteringsskyldigheter: Tillverkare måste omedelbart meddela Europeiska byrån för cybersäkerhet (ENISA) om de blir medvetna om aktivt utnyttjade sårbarheter eller attacker på sina produkter som kan äventyra säkerheten, t.ex. genom att manipulera nedladdningsområden.
Innan produkten släpps ut på marknaden måste tillverkaren säkerställa att produkten uppfyller de föreskrivna standarderna. Bedömningen baseras på klassificeringen av produkten med avseende på dess kriticitet. Detta kräver överensstämmelse med europeiska standarder eller provning av en auktoriserad institution. Särskild uppmärksamhet ägnas åt kritisk infrastruktur inom industrin. I detta sammanhang krävs det tillämpning av harmoniserade standarder och/eller samarbete med en godkänd institution.
CRA gör det möjligt för användare att dra nytta av produkter som uppfyller högre cybersäkerhetsstandarder och utgör färre risker från hackare, säkerhetsproblem eller andra faror. Sådana produkter måste ha CE-märkning för att visa att de uppfyller de nya kraven.
Tillverkarna är också skyldiga att underhålla produkterna under hela deras livscykel och att erbjuda automatiska säkerhetsuppdateringar. Användarna kan därför lita på de garantier för cybersäkerhet som CE-märkta produkter ger.
Tillverkarna står inför utmaningen att säkerställa en säker utvecklingsprocess och genomföra omfattande säkerhetsåtgärder innan de lanserar produkter på marknaden. Detta åtföljs av ytterligare kostnader som kan påverka resurser och produktionstider. Den nya lagstiftningen innebär stora fördelar för slutanvändarna, eftersom den höjer säkerhetsnivån och minimerar riskerna inom cybersäkerhet. Tillverkarna står dock inför ett antal utmaningar som medför extra kostnader. Det är dock värt att anta dessa utmaningar, eftersom överträdelser kan leda till att myndigheterna kräver produktförbättringar eller att produkter återkallas. De kan även utdöma böter på upp till 15 miljoner euro eller 2,5 % av den årliga globala omsättningen.
Men det finns hopp, eftersom de grundläggande krav som definieras av CRA täcks av den säkra utvecklingsprocessen enligt IEC 62443-4-1 och funktionsbestämmelserna enligt IEC 62443-4-2. Vi rekommenderar därför att implementera standarden IEC 62443.
Startskottet har gått. Nu är det dags att sätta in åtgärder och förbereda sig tillsammans. EU-förordningen om cybersäkerhet (Cyber Resilience Act, CRA) offentliggjordes officiellt den 10 december 2024. Alla produkter måste ha ett kompatibelt system för hantering av sårbarheter senast den 11 september 2026. Från och med den 11 december 2027 krävs fullständig implementering av CRA och alla relevanta produkter måste uppfylla kraven för att erhålla CE-märkning.
Nu är det dags att agera för att uppfylla de nya säkerhetsstandarderna och säkerställa konkurrenskraften.
Vårt heltäckande 360°-Security-koncept
På Phoenix Contact förlitar vi oss på en omfattande 360°-säkerhetsstrategi som integrerar säkra produkter som ett centralt element. Säkra produkter utvecklas i enlighet med standarderna i IEC 62443-4-1, medan kraven på säkerhetsfunktioner uppfylls i enlighet med IEC 62443-4-2. PSIRT-teamet (Product Security Incident Response Team) ansvarar för en effektiv hantering av sårbarheter.
Tack vare denna strategi är Phoenix Contact väl positionerat för att uppfylla de nya lagkraven. Vi erbjuder också våra kunder säkra applikationslösningar och tjänster. Oberoende certifiering av TÜV SÜD bekräftar efterlevnaden av cybersäkerhetsprocesser i enlighet med IEC 62443.
