EN DA
legislation

Cyber Resilience Act EU-förordning för säkra produkter

5 minuters läsning
Cyber Resilience Act EU-förordning för säkra produkter

Cyber Resilience Act (CRA) etablerar EU-omfattande regler för säkerheten för produkter med digitala element. Lär dig om tillämpningsområde, tillverkarförpliktelser och CE-märkning.

Tillämpningsområde och tillämplighet för CRA

Cyber Resilience Act gäller i princip för alla produkter med digitala element (dvs. som är eller innehåller någon programvara), som har en nätverks- eller enhetsanslutning och placeras på EU-marknaden.

Dock är produkter som redan regleras av annan EU-lagstiftning såsom medicintekniska produkter, fordon eller luftfart undantagna. Försvarsartiklar, reservdelar och produkter för vilka kommissionen har beviljat undantag ligger också utanför förordningen. Förordningen syftar i huvudsak till att harmonisera och stärka cybersäkerhetskrav för de flesta anslutna produkter över hela EU.

Open source-programvara och moln eller Software-as-a-Service (SaaS)-lösningar intar en särskild roll inom tillämpningsområdet.

Open source-programvara

Open source-programvara inkluderas uttryckligen i tillämpningsområdet. Artikel 3(48) definierar "fri och open source-programvara" som programvara vars källkod delas öppet och tillhandahålls under en fri och öppen licens som tillåter fri åtkomst, användning, modifiering och omdistribution. För sådan open source-produkter kräver artikel 24 att "open source-programvarunderhållarna" implementerar en cybersäkerhetspolicy och samarbetar med myndigheter om riskreducering.

Moln och software-as-a-service (SaaS)

SaaS och molnlösningar faller under Cyber Resilience Act endast om de betraktas som "fjärrdatabehandlingslösningar" i enlighet med artikel 3(2). Annars ska de inte betraktas som en "produkt med digitala element" som definierad i artikel 3(1) och skulle således inte omfattas av förordningen.

CRAs tillämpningsområde - produkter med digitala element

I huvudsak faller alla anslutna programvaru-, hårdvaru- och elektronikprodukter med databehandlingsfunktioner under termen "produkter med digitala element".

Enligt artikel 2 (tillämpningsområde) gäller Cyber Resilience Act för:

> produkter med digitala element som görs tillgängliga på marknaden och vars avsedda användning eller rimligt förutsägbar användning innebär en direkt eller indirekt logisk eller fysisk dataanslutning till en enhet eller nätverk.

"Produkter med digitala element" (artikel 3) betyder alla programvaru- eller hårdvaruprodukter samt dess fjärrdatabehandlingslösningar, inklusive programvaru- eller hårdvarukomponenter som placeras på marknaden separat.

Kärnan i definitionen är att dessa är elektroniska informationssystem som kan bearbeta, lagra eller överföra digital data. Detta inkluderar både programvarukomponenter och de fysiska hårdvarukomponenterna.

Fjärrdatabehandlingslösningar avser databehandling som tillverkaren är ansvarig för och utan vilken produkten inte kan utföra en av sina funktioner.

Produkter kan ha en logisk (virtuell) och/eller fysisk (elektrisk, optisk, mekanisk) anslutning till andra enheter eller nätverk, direkt eller indirekt som en del av ett större system.

Undantag från CRA

CRA gäller i stort sett för de flesta produkter med digitala element som är anslutna till enheter eller nätverk när de placeras på EU-marknaden. Den gäller inte produkter som redan regleras på annat håll. Dessa inkluderar:

  • Medicintekniska produkter: produkter med digitala element som faller under förordning (EU) 2017/745 om medicintekniska produkter (artikel 2(2a)).
  • In vitro-diagnostik: produkter med digitala element som faller under förordning (EU) 2017/746 om medicintekniska produkter för in vitro-diagnostik (artikel 2(2b)).
  • Motorfordonskomponenter: produkter med digitala element som faller under förordning (EU) 2019/2144 om motorfordon (artikel 2(2c)).
  • Civilflyg: produkter med digitala element som certifierats under förordning (EU) 2018/1139 om flygsäkerhet (artikel 2(3)).
  • Skeppsutrustning: utrustning som faller under direktiv 2014/90/EU om marin utrustning (artikel 2(4)).
  • Produkter som omfattas av andra EU-akter som uppnår en motsvarande eller högre nivå av cybersäkerhet, som specificerat av kommissionen i delegerade akter (artikel 2(5)).
  • Reservdelar som ersätter identiska komponenter i befintliga produkter med digitala element (artikel 2(6)).
  • Nationell säkerhet & försvar: produkter utvecklade eller modifierade enbart för nationell säkerhet, försvar eller bearbetning av klassificerad information (artikel 2(7)).

Skyldigheter för tillverkare av produkter

Tillverkare av produkter med digitala element har ett brett spektrum av skyldigheter för att säkerställa cybersäkerhet och överensstämmelse. Dessa skyldigheter inkluderar:

RISKHANTERING OCH ÖVERENSSTÄMMELSE MED VÄSENTLIGA KRAV

Tillverkare måste säkerställa att deras produkter är designade, utvecklade och producerade i enlighet med de väsentliga kraven, inklusive cybersäkerhetskraven som anges i bilaga I, del I (artikel 13(1)).

För att följa detta måste tillverkare utföra en cybersäkerhetsriskbedömning och överväga den genom hela produktlivscykeln, inklusive planering, design, utveckling, produktion, leverans och underhåll (artikel 13(2)).

Riskbedömningen måste dokumenteras och uppdateras och inkluderas i den tekniska dokumentation som skapas för marknadsplacering (artikel 13(3)-(4)).

Tillverkare måste utöva vederbörlig omsorg vid integrering av komponenter, inklusive tredjepartskomponenter, för att säkerställa att dessa komponenter inte komprometterar produktens cybersäkerhet. Detta gäller också open source-programvara som inte kommersialiserats (artikel 13(5)).

TILLHANDAHÅLLANDE AV UPPDATERINGAR OCH ÅTGÄRDANDE AV SÅRBARHETER

När en sårbarhet i en komponent, inklusive open source-komponenter, identifieras måste tillverkare rapportera sårbarheten till komponentens tillverkare eller underhållsleverantör och vidta åtgärder för att åtgärda den (artikel 13(6)).

Tillverkare måste systematiskt dokumentera cybersäkerhetsaspekter av produkter och uppdatera riskbedömningen i enlighet med detta (artikel 13(7)).

Tillverkare måste säkerställa att sårbarheter åtgärdas effektivt under hela supportperioden, som måste vara minst fem år (artikel 13(8)).

Säkerhetsuppdateringar måste vara tillgängliga i minst tio år efter att produkten placerats på marknaden eller under supportperiodens varaktighet (artikel 13(9)).

När efterföljande programvaruversioner introduceras måste tillverkare säkerställa att tidigare versioner kan uppgraderas till den senaste versionen kostnadsfritt (artikel 13(10)).

TEKNISK DOKUMENTATION OCH ÖVERENSSTÄMMELSEBEDÖMNING

Tillverkare måste producera teknisk dokumentation, utföra eller låta utföra överensstämmelsebedömningsförfaranden, utfärda EU-försäkran om överensstämmelse och sätta CE-märkningen (artikel 13(12)).

Den tekniska dokumentationen och EU-försäkran om överensstämmelse måste behållas i minst tio år (artikel 13(13)).

Tillverkare måste säkerställa att produkter som produceras som en del av en serie fortsätter att uppfylla kraven (artikel 13(14)).

PRODUKTMÄRKNING OCH ANVÄNDARINFORMATION

Tillverkare måste säkerställa att deras produkter har ett unikt identifikationsnummer och att deras kontaktinformation tillhandahålls på produkten eller förpackningen (artikel 13(15)-(16)).

Tillverkare måste utse en enda kontaktpunkt för att möjliggöra för användare att kommunicera direkt och snabbt med dem, och säkerställa att denna kontakt är lätt att identifiera (artikel 13(17)).

Produkter måste inkludera krävd information och instruktioner för användare, som måste vara tillgängliga i minst tio år (artikel 13(18)).

Supporten måste tydligt och begripligt indikeras vid köptillfället (artikel 13(19)).

Tillverkare måste tillhandahålla en kopia av EU-försäkran om överensstämmelse eller en förenklad EU-försäkran om överensstämmelse med produkten (artikel 13(20)).

KORRIGERANDE ÅTGÄRDER OCH SAMARBETE MED MYNDIGHETER

Om produkter eller processer inte är kompatibla måste tillverkare omgående vidta korrigerande åtgärder för att bringa dem i överensstämmelse (artikel 13(21)).

På begäran av marknadstillsynsmyndigheter måste tillverkare tillhandahålla all nödvändig information och dokumentation och samarbeta i åtgärder för att eliminera cybersäkerhetsrisker (artikel 13(22)).

Tillverkare som upphör med sin verksamhet måste informera relevanta marknadstillsynsmyndigheter och, där det är möjligt, användare om den planerade upphörandet (artikel 13(23)).

Dessa skyldigheter säkerställer att tillverkare är ansvariga för säkerheten och överensstämmelsen för sina digitala produkter och vidtar alla nödvändiga åtgärder för att minimera potentiella cybersäkerhetsrisker.

Väsentliga krav för CRA

Artikel 13 kräver att tillverkare säkerställer att deras produkter är designade, utvecklade och producerade i enlighet med de väsentliga kraven, som inkluderar cybersäkerhetskraven i bilaga I, del I.

I grunden kräver CRA en riskbaserad approach till produktutveckling. Detta återspeglas särskilt i det första kravet:

  • Lämplig cybersäkerhetsnivå baserad på risker (del I, stycke 1) Exempel: En tillverkare genomför en riskbedömning och implementerar lämpliga säkerhetsåtgärder för sin internetaktiverade produkt.

Ytterligare krav måste implementeras baserat på riskbedömningen:

  • Inga kända exploaterbara sårbarheter vid tidpunkten för marknadsplacering (del I, stycke 2(a)) Exempel: Alla kända sårbarheter åtgärdas innan marknadsplacering.
  • Säker standardkonfiguration (del I, stycke 2(b)) Exempel: Produkten levereras med onödiga tjänster inaktiverade och starka standardlösenord.
  • Sårbarheter adresserbara genom säkerhetsuppdateringar (del I, stycke 2(c)) Exempel: Produkten meddelar användare om nya uppdateringar och tillhandahåller en funktion för (automatiska) säkerhetsuppdateringar.
  • Förebyggande av obehörig åtkomst via åtkomstkontroll (del I, stycke 2(d)) Exempel: Multifaktorautentisering och användaråtkomsthantering implementeras.
  • Konfidentialitet av data skyddad genom kryptering (del I, stycke 2(e)) Exempel: Lagrad och överförd data skyddas av kryptering.
  • Integritet av data, kommandon och konfigurationer skyddad (del I, stycke 2(f)) Exempel: Digitala signaturer och integritetskontroller upptäcker obehöriga modifieringar.
  • Dataminimering (del I, stycke 2(g)) Exempel: Endast data som är nödvändiga för funktionalitet samlas in och bearbetas.
  • Kärnfunktioner förblir tillgängliga efter incidenter (del I, stycke 2(h)) Exempel: Feltolerant, redundant arkitektur och DDoS-skyddsåtgärder implementeras.
  • Minimal negativ påverkan på andra enheter och nätverk (del I, stycke 2(i)) Exempel: Begränsad nätverksåtkomst och bandbreddskontroll verkställs.
  • Minimering av attackyta (del I, stycke 2(j)) Exempel: Onödiga portar, tjänster och gränssnitt inaktiveras.
  • Skadebegränsning vid incidenter (del I, stycke 2(k)) Exempel: Mekanismer som sandboxing, minsta privilegium och address space layout randomisation (ASLR) används.
  • Säkerhetsövervakning och loggning (del I, stycke 2(l)) Exempel: Säkerhetsrelevanta händelser loggas och övervakas.
  • Säker dataradering (del I, stycke 2(m)) Exempel: Fullständig och säker radering av all data och inställningar är möjlig för användaren.

Tillverkare måste också säkerställa att sårbarheter adresseras effektivt under hela supportperioden.

Viktiga krav i detta avseende inkluderar:

  • Dokumentation av sårbarheter och komponenter (del II, stycke 1) Exempel: En software bill of materials (SBOM) tillhandahålls i ett vanligt, maskinläsbart format.
  • Snabb åtgärdande av sårbarheter (del II, stycke 2) Exempel: Säkerhetsuppdateringar publiceras omgående efter upptäckt av en sårbarhet.
  • Regelbunden säkerhetstestning (del II, stycke 3) Exempel: Penetrationstester och kodgranskningar utförs rutinmässigt.
  • Avslöjande av åtgärdade sårbarheter (del II, stycke 4) Exempel: Detaljer om sårbarheter och säkerhetsuppdateringar publiceras.
  • Koordinerat sårbarhetsavslöjande (del II, stycke 5) Exempel: En policy för snabb åtgärdande och kontrollerat avslöjande implementeras.
  • Kontaktpunkt för sårbarhetsrapporter (del II, stycke 6) Exempel: En säker kommunikationskanal för sårbarhetsrapportering tillhandahålls.
  • Säker distribution av uppdateringar (del II, stycke 7) Exempel: Säkerhetsuppdateringar distribueras via krypterade och autentiserade kanaler.
  • Snabb och kostnadsfri tillhandahållande av säkerhetsuppdateringar (del II, stycke 8) Exempel: Säkerhetsuppdateringar tillhandahålls omgående och generellt kostnadsfritt.

Rapporteringsskyldigheter under CRA

Tillverkare är skyldiga att rapportera sårbarheter och säkerhetsrelevanta incidenter omfattande och omgående för att säkerställa produktcybersäkerhet och möjliggöra snabba svar på potentiella hot.

Dessa rapporteringsskyldigheter inkluderar meddelanden till behörig CSIRT och till ENISA via en enhetlig rapporteringsplattform. Rapporteringsskyldigheterna delas in i specifika tidsramar för att säkerställa att information om sårbarheter och säkerhetsincidenter förmedlas omgående och korrekt.

Nedan finns de detaljerade tillverkarskyldigheter uppdelade efter sårbarheter och säkerhetsrelevanta incidenter, och motsvarande tidsramar.

Hantering av sårbarheter

Tillverkare måste omgående rapportera aktivt exploaterade sårbarheter som finns i deras produkter för att minimera exploatering av angripare och för att säkerställa produktsäkerhet. Dessa rapporter måste göras inom specificerade deadlines så att behöriga myndigheter kan informeras snabbt och vidta lämpliga åtgärder.

Första tidiga varning

Den första tidiga varningen måste göras inom 24 timmar efter att ha blivit medveten om den aktivt exploaterade sårbarheten. Detta meddelande måste skickas till behörig CSIRT och till ENISA och inkludera en initial varning om sårbarheten inklusive de medlemsstater där produkten är tillgänglig (artikel 14(2)(a)).

Detaljerat meddelande

Inom 72 timmar efter att ha blivit medveten om sårbarheten måste ett detaljerat sårbarhetsmeddelande skickas till behörig CSIRT och till ENISA. Detta meddelande måste inkludera allmän information om den berörda produkten, den allmänna naturen av sårbarheten och exploits, de korrigerande eller mildrande åtgärder som vidtagits och åtgärder som användare kan vidta. Det måste också indikera hur känslig den rapporterade informationen är (artikel 14(2)(b)).

Slutrapport

Senast 14 dagar efter att en korrigerande åtgärd är tillgänglig måste en slutrapport lämnas till behörig CSIRT och till ENISA. Denna rapport måste inkludera en detaljerad beskrivning av sårbarheten, inklusive dess svårighetsgrad och påverkan, information om angriparen (om tillgänglig) och detaljer om de korrigerande åtgärder som vidtagits (artikel 14(2)(c)).

Hantering av säkerhetsrelevanta incidenter

Tillverkare måste också rapportera allvarliga säkerhetsincidenter som kan påverka säkerheten för deras produkter. Dessa rapporter måste göras inom specificerade deadlines för att säkerställa att påverkan av sådana incidenter minimeras och lämpliga motåtgärder vidtas snabbt.

Första tidiga varning

Den första tidiga varningen måste göras inom 24 timmar efter att ha blivit medveten om den säkerhetsrelevanta händelsen. Detta meddelande måste skickas till behörig CSIRT och till ENISA och ge en preliminär beskrivning av incidenten, inklusive om incidenten misstänks bero på olagliga eller skadliga handlingar, och information om berörda medlemsstater (artikel 14(4)(a)).

Detaljerat meddelande

Inom 72 timmar efter att ha blivit medveten om incidenten måste ett detaljerat incidentmeddelande skickas till behörig CSIRT och till ENISA. Detta meddelande måste inkludera allmän information om typen av incident, en initial bedömning, korrigerande eller mildrande åtgärder som vidtagits och åtgärder som användare kan vidta. Det måste också indikera hur känslig den rapporterade informationen är (artikel 14(4)(b)).

Slutrapport

Inom en månad från det detaljerade meddelandet måste en slutrapport lämnas till behörig CSIRT och till ENISA. Denna rapport måste ge en detaljerad beskrivning av incidenten, inklusive dess svårighetsgrad och påverkan, hotet eller orsaken till incidenten och de åtgärder som vidtagits och pågår (artikel 14(4)(c)).

Meddelande till användare

Tillverkare måste informera berörda användare och, där det är nödvändigt, alla användare om aktivt exploaterade sårbarheter eller säkerhetsincidenter. Denna information måste också inkludera riskreducering och åtgärdande åtgärder som användare kan vidta (artikel 14(8)).

Skyldigheter för andra aktörer

Utöver tillverkare definierar CRA ytterligare krav för importörer och distributörer av produkter samt open source-programvarunderhållare.

Importörer

Under artikel 19 får importörer endast placera på marknaden produkter som uppfyller de väsentliga kraven. De måste säkerställa att tillverkaren har utfört överensstämmelsebedömningsförfarandena, att teknisk dokumentation är tillgänglig och att CE-märkningen har satts. De måste tillhandahålla sitt namn och kontaktinformation på produkten, förpackningen eller i medföljande dokument. Vid bristande överensstämmelse eller säkerhetsrisker måste de vidta åtgärder och informera behöriga myndigheter. EU-försäkran om överensstämmelse och den tekniska dokumentationen måste behållas i minst 10 år, och importörer måste samarbeta med marknadstillsynsmyndigheter på begäran.

Distributörer

Under artikel 20 måste distributörer agera med vederbörlig omsorg och säkerställa att produkten bär CE-märkning och uppfyller kraven. De måste kontrollera om tillverkaren och importören har tillhandahållit nödvändig information och märkningar. Om de misstänker bristande överensstämmelse eller säkerhetsrisker får de inte placera produkten på marknaden och måste informera tillverkaren och marknadstillsynsmyndigheterna. Distributörer måste också samarbeta med myndigheter och tillhandahålla relevant information på begäran.

Open source-programvarunderhållare

CRA erkänner den särskilda rollen för fri och open source-programvara (FOSS) i det digitala ekosystemet. FOSS-projekt faller generellt i kategorin självbedömning. CRA introducerar konceptet en "open source-programvaruförvaltare", som gäller för juridiska personer som stöder FOSS-projekt utan att direkt monetisera dem.

Dessa open source-programvarunderhållare har specifika men mindre omfattande skyldigheter än kommersiella programvarutillverkare. Under artikel 24 måste underhållare anta och dokumentera en cybersäkerhetspolicy som främjar säker utveckling och hantering av sårbarheter. De måste samarbeta med marknadstillsynsmyndigheter och tillhandahålla krävd dokumentation på begäran. Underhållare är skyldiga att rapportera aktivt exploaterade sårbarheter och allvarliga incidenter i den mån de är involverade i utvecklingen av produkterna eller dessa incidenter påverkar deras system.

De precisa påverkanarna av CRA på open source-gemenskapen och de associerade utmaningarna och möjligheterna undersöks i artikeln "Der Cyber Resilience Act und seine Auswirkungen auf Open-Source-Software".

Bristande efterlevnad av CRA

Sanktioner och konsekvenser för bristande efterlevnad är strukturerade och skräddarsydda för olika typer av överträdelser för att säkerställa produktsäkerhet:

  • Bristande efterlevnad av väsentliga krav: Misslyckande att följa de väsentliga cybersäkerhetskraven i bilaga I eller skyldigheterna under artiklar 13 och 14 kan straffas med böter på upp till 15 miljoner euro eller upp till 2,5% av den världsomspännande årsomsättningen för föregående räkenskapsår, beroende på vilket som är högst.
  • Överträdelser av procedur- och märkningsskyldigheter: Överträdelser som felaktig fastsättning av CE-märkning, frånvaro av EU-försäkran om överensstämmelse eller misslyckande att tillhandahålla teknisk dokumentation kan bötfällas upp till 10 miljoner euro eller upp till 2% av världsomspännande årsomsättning. Denna kategori täcker också bristande efterlevnad av importörer och distributörer.
  • Falska uttalanden och vilseledande information: Tillhandahållande av felaktig, ofullständig eller vilseledande information till anmälda organ och marknadstillsynsmyndigheter, särskilt som svar på informationsförfrågningar, kan leda till böter på upp till 5 miljoner euro eller upp till 1% av världsomspännande årsomsättning.

När storleken på böter bestäms beaktas överträdelsens natur, allvarlighetsgrad och varaktighet samt ekonomisk påverkan på den berörda marknaden. Målet är att skapa en stark avskräckande effekt samtidigt som proportionalitet bevaras för att förbättra säkerheten på EU:s digitala inre marknad.

Implementering av CRA och IEC 62443

IEC 62443-standardserien spelar en viktig roll i implementeringen av Cyber Resilience Act. Särskilt IEC 62443-4-1, IEC 62443-4-2 och IEC 62443-3-3 adresserar viktiga CRA-krav inom områdena säkerhetskrav och sårbarhetshantering.

Den detaljerade mappningen av CRA-krav till olika standarder som publicerats av ENISA bekräftar denna relevans. Den visar hur IEC 62443 täcker många CRA-krav, särskilt inom industriell automation och kontrollsystem. Standardserien ger därför ett värdefullt ramverk för tillverkare att systematiskt implementera CRA-krav. Samtidigt framhäver ENISA-mappningen luckor som behöver ytterligare standardiseringsarbete för att täppas.

Sammantaget hjälper IEC 62443 företag att uppfylla CRA-regleringskrav och förbättra cybersäkerheten för deras produkter.

Överensstämmelse med CRA

CRA introducerar ett omfattande system för bedömning och säkerställande av överensstämmelse för produkter med digitala element. Systemet syftar till att uppnå en hög nivå av cybersäkerhet och resiliens över hela EU:s inre marknad. Överensstämmelsebedömning är central och varierar beroende på produktens riskklassificering och kritikalitet.

Överensstämmelsebedömningsförfarandet som ska väljas beror på produktens risknivå.

Produkter med digitala element

Produkter med digitala element (artikel 6) utgör baskategorin. Dessa produkter måste uppfylla de grundläggande kraven i bilaga I, del I, och tillverkningsprocesserna måste följa bilaga I, del II. Inga specifika överensstämmelsebedömningsförfaranden föreskrivs för denna kategori, men tillverkare måste säkerställa att produkter uppfyller säkerhetskrav när de installeras, underhålls och används korrekt som avsett.

Viktiga produkter

Viktiga produkter med digitala element (artikel 7) bildar den andra kategorin. Dessa produkter definieras av kärnfunktionaliteter motsvarande kategorier listade i bilaga III. De måste genomgå specifika överensstämmelsebedömningsförfaranden för att säkerställa efterlevnad av de väsentliga cybersäkerhetskraven.

Viktiga produktkategorier delas in i klass I och klass II som anges i bilaga III. Dessa klasser baseras på:

  • Klass I: Produkter kritiska för cybersäkerhet, inklusive autentisering, intrångsprevention, endpointsäkerhet, etc.
  • Klass II: Produkter som utgör en betydande risk för negativa effekter, såsom nätverkshantering, konfigurationskontroll, virtualisering eller bearbetning av personuppgifter.

För klass I viktiga produkter: om harmoniserade standarder eller europeiska certifieringssystem för cybersäkerhet inte tillämpas eller endast delvis tillämpas måste produkten och dess tillverkningsprocesser antingen genomgå en EU-typgranskning (modul B) tillsammans med intern produktionskontroll (modul C) eller en omfattande kvalitetssäkring (modul H).

För klass II viktiga produkter måste tillverkaren visa överensstämmelse med de grundläggande kraven genom liknande förfaranden eller, där tillämpligt, via en europeisk cybersäkerhetscertifiering under Cybersecurity Act. Integration av en sådan produkt i en annan produkt undergår inte automatiskt samma bedömningsförfaranden.

Kritiska produkter

Den tredje kategorin täcker kritiska produkter med digitala element (artikel 8). Dessa produkter definieras av delegerade akter från Europeiska kommissionen och måste ha kärnfunktioner listade i bilaga IIIa.

Kritiska produkter måste erhålla ett europeiskt cybersäkerhetscertifikat under Cybersecurity Act med en säkerhetsnivå av substantial eller högre. Kriterier för identifiering av dessa produkter inkluderar kritiskt beroende av väsentliga enheter och potential för allvarlig störning av kritiska leveranskedjor över den inre marknaden.

Bilaga III för viktiga produkter (artikel 6) kan ändras genom delegerade akter för att lägga till eller ändra kategorier baserat på cybersäkerhetsfunktioner och risker. Kommissionen måste överväga marknadspåverkan och medlemsstaternas beredskap att anta certifieringssystem.

För kritiska produkter (artikel 6a) kan kommissionen också bestämma genom delegerade akter vilka produkter som kräver ett europeiskt cybersäkerhetscertifikat och sätta lämplig säkerhetsnivå som matchar produktens risker och avsedda användning.

Överensstämmelsebedömningsförfaranden i CRA

CRA tillhandahåller olika överensstämmelsebedömningsförfaranden för att säkerställa att produkter med digitala element följer de grundläggande kraven i bilaga I. Dessa förfaranden inkluderar:

Intern kontroll

Det enklaste förfarandet där tillverkaren verifierar och dokumenterar överensstämmelse internt (bilaga VIII, modul A).

EU-typgranskning

En oberoende granskning av produktdesignen av ett anmält organ följt av intern produktionskontroll av tillverkaren (bilaga VIII, moduler B och C). Detta är avsett särskilt för viktiga klass I-produkter när harmoniserade standarder, gemensamma specifikationer eller europeiska cybersäkerhetscertifieringar inte tillämpas fullt ut eller inte är tillgängliga.

Omfattande kvalitetssäkring

Under överensstämmelsebedömningen baserad på omfattande kvalitetssäkring (bilaga VIII, modul H) tar ett anmält organ övergripande kvalitetskontroll av tillverkningsprocessen.

Europeisk cybersäkerhetscertifiering

För kritiska produkter listade i bilaga IV krävs certifiering under Cybersecurity Act för att visa överensstämmelse med de grundläggande kraven, där tillgänglig och tillämplig (artikel 8(1)). Certifieringen måste nå minst en "substantial" säkerhetsnivå och kan kräva involvering av ett anmält organ beroende på vald certifiering och skyddsprofil.

För närvarande är EUCC (EU Cybersecurity Certification Scheme on Common Criteria) det första systemet under Cybersecurity Act, baserat på ISO/IEC 15408 (Common Criteria). Det är särskilt lämpligt för säkerhetskritiska produkter såsom brandväggar eller kryptografiska enheter. Ytterligare sektorspecifika certifieringssystem är under utveckling.

Ytterligare information om individuella överensstämmelsebedömningsförfaranden finns i bidraget till CE-märkning.

Val av överensstämmelsebedömningsförfarande

Produkter i alla kategorier, inklusive icke-kritiska, viktiga (klass I och II) och kritiska produkter, kan potentiellt certifieras genom det legala cybersäkerhetscertifieringssystemet. För viktiga produkter som inte täcks av harmoniserade standarder och för kritiska produkter som saknar ett antaget certifieringssystem krävs involvering av ett anmält organ (moduler B+C eller H). Den interna produktionskontrollmetoden (modul A) gäller primärt för icke-kritiska produkter och för klass I viktiga produkter endast när en harmoniserad standard har tillämpats omfattande.

Följande diagram illustrerar beslutsprocessen för att välja lämpligt förfarande under Cyber Resilience Act.

Produkttyp Intern kontroll (modul A) EU-typgranskning (modul B+C) Omfattande kvalitetssäkring (modul H) Cybersäkerhetscertifikat
Icke-kritisk
Viktig - Klass I <br>(bilaga III) (✓)¹
Viktig - Klass II <br>(bilaga III)
Kritisk <br>(bilaga IV) (✓)² (✓)²
  1. Användning av en harmoniserad standard krävs för att uppnå full överensstämmelse.
  2. Endast möjligt om ingen delegerad akt har antagits som kräver certifiering för produktkategorin.

Nuvarande status och CRA-övergångsperioder

Den 20 november 2024 publicerades Cyber Resilience Act (CRA) i Europeiska unionens officiella tidning. Viktiga övergångsdatum:

  • 20.11.2024: Publicering av CRA i OJEU
  • 10.12.2024: CRAs ikraftträdande
  • 11.06.2026: Krav för överensstämmelsebedömningsorgan
  • 11.09.2026: Rapporteringsskyldigheter för tillverkare
  • 11.12.2027: Full tillämplighet

Den slutliga texten för CRA finns tillgänglig i EU:s officiella tidning: https://eur-lex.europa.eu/oj/daily-view/L-series/default.html?&ojDate=20112024

Vanligt förekommande frågor (FAQ) om CRA

Har du fler frågor om Cyber Resilience Act? Se den detaljerade FAQ-artikeln: Häufige Fragen zum Cyber Resilience Act

Den besvarar viktiga frågor om tillämpningsområde, deadlines och specifika krav för uppdateringar och överensstämmelsebedömning, och erbjuder praktiska rekommendationer för företag som förbereder sig för de nya skyldigheterna.

Stöd för CRA-implementering

Cyber Resilience Act skapar EU:s första enhetliga ramverk för cybersäkerhet för digitala produkter - från operativsystem och anslutna enheter till industriella kontrollsystem. Tillverkare krävs att systematiskt integrera säkerhetskrav i produktutveckling, aktivt hantera sårbarheter och visa överensstämmelse.

Secuvi stöder företag i att översätta CRA-krav till befintliga processer och produkter. Vi hjälper med konsekvensbedömningar, utvecklar praktiska implementeringsstrategier och åtföljer tekniska, organisatoriska och dokumentationsåtgärder genom till marknadsplacering.

Oavsett om det gäller ny utveckling eller befintliga produktportföljer förklarar vi regleringsskyldigheter och hjälper till att inbädda säkerhet och efterlevnad hållbart i din organisation.

Ytterligare information om CRA-implementering: secuvi.com