CRA – en kort introduktion till EU:s nya regelverk för produkter med digitala element

Som en del i EU:s cybersäkerhetsstrategi har EU påbörjat sitt arbete med att reglera den europeiska marknaden. Detta har resulterat i en uppsjö av nya regelverk (du kan se en översikt här). Ett av dessa regelverk är cyberresiliensförordningen (eng. Cyber Recilience Act) (CRA) som har till syfte att stärka cybersäkerheten i produkter med digitala element. CRA trädde i kraft den 10 december 2024 och kommer att börja tillämpas etappvis från och med i juni 2026 och vara tillämplig fullt ut från och med den 11 december 2027. Även om det är ett tag kvar till förordningens bestämmelser ska börja tillämpas rekommenderar vi att ni redan nu bekantar er med kraven och avgör om ni omfattas av kraven eller inte så att ni hinner vidta relevanta åtgärder.

Vad är CRA?
CRA är en förordning som ställer krav på utformningen, utvecklingen och tillhandahållandet av produkter med digitala element, för att säkerställa cybersäkerheten för sådana produkter. Syftet är att det därigenom ska uppkomma färre sårbarheter genom produkternas livscykel. Det ska även vara möjligt för användarna att ta hänsyn till cybersäkerhet och ha det som en av de avgörande faktorerna när de väljer produkt.

Vad menas med en ”produkt med digitala element”?
Definitionen avser programvaru- eller hårdvaruprodukt och dessa produkters lösningar för fjärrbehandling av data (dvs. databehandling på distans), inbegripet programvaru- eller hårdvarukomponenter som släpps ut på marknaden separat. Förenklat kan dessa sammanfattas som produkter som är direkt eller indirekt anslutna till en annan enhet eller ett annat nätverk. Exempel på sådana produkter är lösenordshanterare och operativsystem samt smarta hemprodukter så som smarta dörrlås, larmsystem och säkerhetskameror. Det handlar således om vanliga produkter som idag kan hittas i vart och vartannat hushåll.

Vad menas inte med en ”produkt med digitala element”?
Utanför CRA:s tillämpningsområde faller programvara med öppen källkod och mjukvara som utgör en del av en tjänst. Det senare kan istället omfattas av NIS2 direktivet, som ni kan läsa mer om i vår tidigare artikel. Vissa andra hårt reglerade produkter undantas också från förordningen, exempelvis bilar och medicinsk utrustning som är föremål för andra separata regler som bl.a. ställer krav på hög cybersäkerhet.

Vad behöver vi tänka på redan nu?
Nedan följer en kortare lista på områden att se över:

1. Kontrollera om ni faller inom CRA:s tillämpningsområde. Ni måste avgöra om ni är (i) tillverkare, (ii) importör eller (iii) distributör av produkter med digitala element. Det är viktigt att klargöra er roll, då den förstnämnda kategorin omfattas av andra, och mer långtgående, skyldigheter än de sistnämnda.
2. Ta reda på vilken kategori som er produkt klassificeras under. Kategoriseringen avgör vilka krav som appliceras. CRA delar in produkter i fyra olika kategorier; (i) produkter, (ii) viktiga produkter klass I, (iii) viktiga produkter klass II samt (iv) kritiska produkter. Cybersäkerhetskraven blir mer omfattande för varje kategori.
3. Förbered er verksamhet inför CRA. Det är en förutsättning att produkten uppfyller CRA för att den ska få tillhandahållas inom EU. Kort sagt innebär det att alla som träffas av CRA, dvs. såväl tillverkare som importörer och distributörer, måste anpassa sin nivå av cybersäkerhet efter riskerna med sin produkt.

Nedan följer en checklista över de krav som produkterna måste uppfylla:

• Det får inte finnas några kända svagheter som kan utnyttjas hos produkten. Sårbarheter ska kunna åtgärdas med hjälp av säkerhetsuppdateringar och dessa kan vara automatiska under förutsättning att de tillfälligt kan senareläggas av användaren.
• Produkten ska vara utvecklad med en säker standardkonfiguration, dvs. ha säkra standardinställningar från start.
• Det ska finnas implementerade kontrollmekanismer som säkerställer skydd mot obehörig åtkomst och skydd av grundläggande funktioner, till exempel system för autentisering, åtkomsthantering samt resiliens- och begränsningsåtgärder mot överbelastningsattacker. Om det har förekommit att någon obehörigen fått åtkomst till produkten ska det finnas lämpliga mekanismer som begränsar utnyttjandet av den samt rapporteringsprocesser för att hantera incidenten.
• Om personuppgifter behandlas av eller i samband med användandet av produkten, ska principen om uppgiftsminimering tillämpas, vilket innebär att endast personuppgifter som är adekvata, relevanta och begränsade med hänsyn till syftet med behandlingen får hanteras. Det ska även finnas processer som skyddar konfidentialiteten i data, t.ex. genom kryptering.
• Uppgifter som har lagrats, överförts och behandlats i produkten ska inte kunna manipuleras eller ändras på ett sätt som inte har godkänts av användaren. Det gäller exempelvis personuppgifter, kommandon och konfigurationer.
• Produktens negativa inverkan på tillgängligheten till andra tjänster som härstammar från övriga nätverk eller enheter ska minimeras. Ni får med andra ord inte begränsa andra tjänsters eller produkters funktion genom er egen produkt.
• I utformandet, utvecklingen och produktionen av produkten ska potentiella attackytor begränsas vilket innebär att förhindra att obehöriga kan komma åt produktens gränssnitt och kommunicera med produkten.
• Produkten ska kunna tillhandahålla säkerhetsrelaterad information genom att registrera och övervaka relevant intern verksamhet, exempelvis tillgång till eller ändring av data, tjänster eller funktioner och det ska finnas en undantagsmekanism för användaren.
• Rätten att bli glömd som härstammar från GDPR finns även i CRA. Användaren av produkten ska ha en möjlighet att på ett enkelt sätt radera all data och alla inställningar som är relaterade till denne.

4. Dokumentera ert arbete. Alla de bedömningar, avvägningar och tillvägagångssätt som ni gör i samband med regelefterlevnaden av CRA ska dokumenteras noggrant. Den utsedda tillsynsmyndigheten ska när som helst kunna förses med all information som visar att produkten överensstämmer med kraven.
5. Skapa processer som säkerställer regelefterlevnad under produktens livscykel. CRA betonar vikten av produktkonformitet och att sårbarheter hos produkten måste kunna åtgärdas under tiden som produkten förväntas vara i bruk. Vid ändringar och modifikationer av produkten är det viktigt att överensstämmelse med CRA försäkras.

Varför ska vi tänka på CRA?
Den främsta anledningen att beakta reglerna är att en god cybersäkerhet skapar en tryggare produkt. En sådan produkt får sannolikt ett starkare gehör hos användare och konsument. Mot bakgrund av alla cyberattacker och andra typer av intrång som gjorts på senare tid, är cybersäkerhet en viktig fråga för många företag och individer och därmed sannolikt också en faktor som väger tungt vid inköp.

Vidare riskerar tillverkare, importör och distributör som inte uppfylla kraven i CRA att få sina produkter förbjudna på den europeiska marknaden, eller tvingas återkalla sina produkter. Uppfyller produkterna kraven kan de däremot, vid erforderlig dokumenterad uppfyllnad av reglerna i CRA, använda sig av en CE-märkning, vilket betraktas som en kvalitetsstämpel.

Efterlevnaden av CRA kommer att säkerställas av speciellt utpekade tillsynsmyndigheter. Dessa kommer kunna påföra ett företag sanktionsavgifter upp till den högsta summan av 15 000 000 EUR eller 2,5% av företagets globala årsomsättning det föregående året.

När ska Setterwalls kontaktas?
På Setterwalls har vi omfattande erfarenhet av att leda och stödja större compliance-projekt. Vi kan ge en tydlig översikt över de krav som följer av olika regelverk, vägleda er i vilka åtgärder som behöver vidtas samt assistera er i att genomföra en gap-analys och inventering av vidtagna åtgärder. Därutöver kan vi även granska era rutiner och processer för att identifiera förbättringsmöjligheter. Genom att anlita oss får ni tillgång till vår expertis och erfarenhet, vilket säkerställer att ert cybersäkerhetsarbete är välstrukturerat och uppfyller relevanta krav.

Varmt välkomna att kontakta oss!