CEMA vägledningen tolkar Cyber Resilience Act för lantbruksmaskiner. Den täcker omfattning, OEM - leverantörsrelationer, supportperioder och komponenter för integration.
Varför lantbruksmaskinsektorn behöver sin egen CRA tolkning
Cyber Resilience Act (förordning 2024/2847) kommer att träda i kraft progressivt från 11 december 2027 och täcker nästan alla produkter med digitala element som placeras på EU-marknaden. För tillverkare inom maskin- och anläggningsteknologi betyder detta: Nästan varje maskin med elektroniska komponenter och dataanslutning - oavsett om via USB, Bluetooth, GPS eller OBD - faller inom förordningens tillämpningsområde.
Till skillnad från förordningar med en lång historia av standardisering saknar CRA för närvarande konkreta harmoniserade standarder som skulle ge tillverkare en presumtion om överensstämmelse. I denna fas av osäkerhet hjälper branschspecifika tolkningsguider som CEMA vägledningen att bygga en gemensam förståelse inom en sektor och förbereda dialog med standardiseringsorgan och marknadstillsynsmyndigheter.
CEMA vägledningen fokuserar på frågor som uppstår från lantbruksmaskinsektorns särskilda struktur: komplexa värdekedjor med många leverantörer, långa produktlivscykler, övervägande decentraliserad uppdateringsdistribution via återförsäljarnettverk och ett heterogent produktlandskap från enkla redskap till helt nätverksanslutna precisionsmaskiner.
CRA i samspel med andra EU-regler
Cyber Resilience Act uppträder inte isolerat. Det är en del av ett regulatoriskt ramverk där olika EU-regler adresserar olika aspekter av produktsäkerhet och cybersäkerhet.
Maskinförordningen (EU) 2023/1230 reglerar grundläggande säkerhetskrav för maskiner, inklusive funktionell säkerhet. CRA kompletterar dessa med specifika cybersäkerhetskrav för digitala element. Båda systemen gäller parallellt, så långt deras krav inte överlappar. Lantbruksmaskiner är i allmänhet föremål för båda: Maskinförordningen för mekanisk och funktionell säkerhet och CRA för cybersäkerhet av integrerade elektroniska komponenter och system.
NIS2 direktiv (EU) 2022/2555 är däremot riktad till operatörer av kritisk infrastruktur och väsentliga tjänster - inte till produkttillverkare. Lantbruksföretag faller vanligtvis inte under NIS2:s definition av kritiska enheter. Ändå kan CRA skapa en indirekt koppling till NIS2 om produkter används i kritiska sektorer och klassificeras som kritiska produkter i enlighet med bilaga IV.
Blue Guide om genomförandet av produktlagstiftning tjänar som central referens för nyckelbegrepp som "tillhandahållande på marknaden", "göra tillgänglig på marknaden" eller "väsentlig modifiering". CEMA vägledningen tar upp dessa termer och tillämpar dem på lantbruksmaskiners specifika omständigheter.
En viktig skillnad jämfört med sektoriella regler: Artikel 2(5) tillåter undantag eller begränsningar där andra EU-regler uppnår samma eller en högre skyddsnivå. För lantbruksmaskinsektorn finns för närvarande ingen sådan regel synlig som kunde förtränga CRA. CRA gäller därför fullt ut.
Praktiska gränsfrågor uppstår ofta i samspelet mellan Maskinförordningen, CRA och andra EU-regler. Om du vill klargöra vilka krav som gäller för dina maskiner parallellt och var överlappningar existerar kan en kort klassificeringsdiskussion vara användbar.
Horisontell och vertikal harmonisering
CRA hänvisar i sina väsentliga cybersäkerhetskrav (bilaga I) till ett riskbaserat tillvägagångssätt. Tillverkare måste genomföra en cybersäkerhetsriskbedömning och säkerställa en lämplig säkerhetsnivå på den grunden. Den konkreta utformningen av dessa krav kommer att specificeras av harmoniserade europeiska standarder så snart de blir tillgängliga.
Två kategorier av standarder är relevanta för CRA: horisontella standarder som gäller över produktgrupper och vertikala standarder som specificerar sektorspecifika krav.
EN 40000 standardserien utvecklas för närvarande som en horisontell CRA standard och är avsedd att täcka grundläggande cybersäkerhetskrav för alla produktkategorier. Parallellt utvecklas vertikala standarder skräddarsydda för specifika produktgrupper i ETSI som en del av ETSI EN 304 6xx-serien.
För lantbruksmaskinsektorn är IEC 62443 standardfamiljen av särskild betydelse. Ursprungligen utvecklad för industriella automationssystem tillämpas IEC 62443 allt mer på inbyggda system i maskiner. Den tillhandahåller en strukturerad metodologi för säkerhetskrav på komponent- och systemnivå samt för säkerhetsutvecklingslivscykeln.
Viktigt: standarder är inte lagar. De tillhandahåller en presumtion om överensstämmelse, men deras tillämpning är inte obligatorisk. Tillverkare kan också visa överensstämmelse med CRA:s väsentliga krav genom andra tekniska lösningar. Att tillämpa harmoniserade standarder underlättar dock överensstämmelsebedömning och skapar rättsäkerhet.
Omfattning, ansvarstilldelning och supportperioder
CEMA vägledningen koncentrerar sig på ämnena som är särskilt relevanta för tillverkare av lantbruksmaskiner.
Omfattning och definitioner
CRA täcker alla produkter med digitala element vars avsedda användning eller rimligt förutsebar användning involverar en dataanslutning till en enhet eller nätverk. Det är inte avgörande om anslutningen är permanent närvarande, utan om den tekniska möjligheten för dataanslutning existerar.
CEMA vägledningen klargör: en lantbruksmaskin faller inom tillämpningsområdet om åtminstone den avsedda användningen eller en rimligt förutsebar användning tillåter en dataanslutning. Detta kan inkludera ett diagnostikgränssnitt som endast används under underhåll, eller en JTAG-port på en mikrokontroller avsedd för firmware-uppdateringar.
Skillnaden mellan "rimligt förutsebar användning" och "rimligt förutsebar felanvändning" är praktiskt relevant. Rimligt förutsebar användning inkluderar alla tillämpningsscenarier som uppstår från de tillhandahållna funktionerna, även om de inte uttryckligen beskrivs i användarhandboken. Felanvändning uppstår däremot när en användning uppstår utanför det avsedda sammanhanget och kräver specialiserad kunskap som en typisk användare inte besitter.
Väsentlig modifiering
En väsentlig modifiering i CRA:s mening uppstår när en ändring efter tillhandahållande på marknaden påverkar överensstämmelse med de väsentliga cybersäkerhetskraven eller ändrar det avsedda syftet. Varje ändring kräver en konsekvensanalys av modifieraren, som måste dokumenteras - även om ändringen inte klassificeras som väsentlig.
Konsekvensen av en väsentlig modifiering: modifieraren blir tillverkare i CRA:s mening och måste genomgå överensstämmelsebedömningsproceduren igen. Detta gäller också ändringar av reservdelar om de inte längre kan betraktas som identiska.
OEM‑leverantörsrelation och due diligence
Ansvarsfördelningen mellan tillverkare (OEM:er) och leverantörer av komponenter är en av de mest komplexa frågorna vid genomförandet av CRA. Artikel 13(5) kräver att tillverkare utför due diligence vid integration av tredjepartskomponenter för att säkerställa att dessa inte påverkar cybersäkerheten för den övergripande produkten.
CEMA vägledningen gör klart: OEM:en bär övergripande ansvar för slutproduktens överensstämmelse. Dess due diligence inkluderar att välja lämpliga komponenter baserat på sin egen riskbedömning, kontrollera om leverantörens överensstämmelseförklaring täcker CRA, och integrera och konfigurera komponenter i enlighet med leverantörens instruktioner.
Om en komponent tillhandahålls på marknaden separat och är CE-märkt förenklar detta OEM:ens due diligence. Om komponenten endast tillverkas för integration och inte tillhandahålls på marknaden separat kan ansvarsfördelningen regleras kontraktuellt. I vilket fall som helst måste leverantören tillhandahålla tillräcklig information så att OEM:en kan utföra sin due diligence.
Ansvarsfördelningen mellan OEM och leverantörer är en av de mest kritiska punkterna i CRA-genomförandet. Vi diskuterar gärna utan förpliktelse hur due diligence-skyldigheter, kontraktuella arrangemang och teknisk bevisföring kan struktureras rent.
Komponenter för integration säkra som standard
En särskilt praktisk fråga behandlas av CEMA vägledningen i ett separat avsnitt: får komponenter avsedda för integration i en slutprodukt levereras med säkerhetsfunktioner inte aktiverade?
Svaret är: ja, under vissa förutsättningar. Motiveringen: om en komponent redan är fullt konfigurerad och säkrad kan detta göra integration betydligt svårare. OEM:en skulle först behöva inaktivera säkerhetsfunktioner för att utföra integrationen och sedan omkonfigurera dem efteråt - vilket kunde skapa ytterligare attackyta.
Exempel: en kontrollenhet med en kryptografisk modul levereras utan förkonfigurerade nycklar och med privilegierade funktioner inaktiverade. OEM:en kan ladda nycklarna under integration och aktivera säkerhetsfunktionerna utan att kräva autentisering.
Förutsättningen är dock att leverantören ger OEM:en preciserade instruktioner om hur komponenten ska konfigureras säkert efter integration (bilaga II nummer 8(f)). Alla nödvändiga säkerhetsfunktioner måste finnas vid tidpunkten för tillhandahållande på marknaden - de behöver bara inte vara aktiverade.
Denna tolkning möjliggör en pragmatisk arbetsfördelning i leverantörskedjan utan att äventyra CRA:s mål med en säker slutprodukt.
Supportperioder
CRA kräver att tillverkare åtgärdar sårbarheter under en definierad supportperiod. Den perioden måste återspegla produktens förväntade driftstid och är minst fem år.
För lantbruksmaskinsektorn föreslår CEMA en supportperiod på minst tio år. Motiveringen: lantbruksmaskiner har typiskt långa servicecykler. Traktorer används ofta intensivt som primär arbetsutrustning i åtta till tio år och fortsätter sedan i sekundära roller. De produceras i högre antal och representerar därför potentiella primära mål för cyberattacker.
Tio-års supportperioden är föremål för två förbehåll: leverantörer av komponenter som tillhandahåller kärnfunktioner måste också leverera sårbarhetsinformation under denna period. Och externa faktorer som påverkar kompatibilitet - såsom inkurans av utvecklingsverktyg eller förlust av expertis - får inte göra uppdateringar omöjliga.
Dessutom: när en uppdatering har publicerats måste den förbli tillgänglig och installerbar i tio år.
Distinktioner och vanliga missförstånd
CEMA vägledningen adresserar också flera frekventa feltolkningar av CRA.
Reservdelar
Identiska reservdelar tillverkade enligt samma specifikationer som komponenterna de ersätter är undantagna från CRA - oavsett om den ursprungliga produkten fortfarande tillverkas eller supportperioden har löpt ut. Detta gäller endast för verkligt identiska delar. Om en komponent modifieras på grund av inkurans måste det undersökas om detta utgör en väsentlig modifiering.
Skräddarsydda produkter
CRA tillåter kontraktuella avvikelser från de väsentliga cybersäkerhetskraven för skräddarsydda produkter. Detta rör produkter utvecklade för ett specifikt affärssyfte och en specifik affärskund där båda parter uttryckligen har kommit överens om alternativa kontraktuella villkor. Skilda från detta är komponenter utvecklade i sam-design mellan två eller flera ekonomiska operatörer. Sådana komponenter, beställda innan tillverkningen är slutförd, betraktas inte som "tillhandahållna på marknaden" och faller inte under CRA.
Viktiga och kritiska produkter
Bilagorna III och IV till CRA listar produktkategorier föremål för en utökad överensstämmelsebedömningsprocedur. Den avgörande faktorn är produktens kärnfunktionalitet. Om en komponent listad i bilaga III eller IV integreras i en slutprodukt ärver slutprodukten inte automatiskt komponentens klassificering - såvida inte slutprodukten själv tillhandahåller kärnfunktionaliteten för den listade produktkategorin.
Fri och öppen källkodsprogramvara
CRA täcker även FOSS-komponenter när de integreras i en kommersiell produkt. Tillverkaren av slutprodukten är ansvarig för att åtgärda sårbarheter i alla integrerade FOSS-komponenter, även om den ursprungliga utvecklaren inte har någon kommersiell relation med tillverkaren.
Vägledning för förberedelsefasen
CEMA vägledningen är ett exempel på hur branschföreningar kan ge orientering till sina medlemmar i perioden innan nya förordningar träder i kraft. Den ersätter varken förordningen själv eller framtida harmoniserade standarder, och den är inte juridiskt bindande. Ändå tjänar den en viktig funktion: den skapar en gemensam förståelse inom en sektor för tolkningsfrågor som uppstår från den sektorns specifika egenskaper.
För tillverkare av lantbruksmaskiner innebär CRA betydande justeringar i utvecklingsprocesser, leverantörshantering och supportstrukturer. Förberedelserna bör påbörjas tidigt, även om förordningen inte kommer att vara fullt tillämplig förrän december 2027. Viktiga handlingsområden är att implementera en sårbarhetshanteringsprocess, kontraktuellt och tekniskt klargöra ansvarsfördelningen med leverantörer, definiera supportperioder och anpassa teknisk dokumentation.
Vidareutvecklingen av harmoniserade standarder, publiceringen av genomförandeakter av kommissionen och praxis från marknadstillsynsmyndigheter kommer att konkretisera tolkningen av CRA under de kommande månaderna. Branschspecifik vägledning som CEMA vägledningen hjälper till att säkerställa att denna konkretisering tar hänsyn till den tekniska och ekonomiska verkligheten i de berörda sektorerna.
Branschguider som CEMA vägledningen ger viktig orientering men ersätter inte en individuell bedömning. Om du vill förstå vad CRA specifikt betyder för dina produkter, din leverantörskedja och din supportstrategi kan detta struktureras och klassificeras i en icke-bindande diskussion.