EN DA
legislation

Cybersäkerhetsreglering vad företag behöver veta

7 minuters läsning
Cybersäkerhetsreglering vad företag behöver veta

Lär dig om lagar och regleringar såsom NIS2, CRA, RED och CSA och få stöd med implementering.

Process och deltagare

Lagstiftning i EU utförs av tre huvudinstitutioner: Europeiska kommissionen, Europaparlamentet och Europeiska unionens råd. Kommissionen har ensam initiativrätt för lagförslag, som den lämnar till parlamentet och rådet för diskussion och antagande. Det lagstiftande förfarandet inkluderar flera läsningar och, om nödvändigt, ett förlikningsförfarande för att komma fram till en slutlig rättstext.

Typer av rättsakter

EU använder i huvudsak två typer av rättsakter:

  • Förordningar: De gäller direkt i alla medlemsstater och behöver inte införlivas i nationell lagstiftning. De skapar enhetliga villkor över gränser.
  • Direktiv: Direktiv fastställer mål som alla EU-länder måste uppnå men lämnar valet av medel och metoder till nationella myndigheter. De kräver införlivande i nationell lagstiftning, vilket tillåter medlemsstater att beakta lokala särdrag.

Utöver dessa huvudsakliga rättsakter finns det två andra viktiga typer av akter som tjänar till att komplettera eller genomföra huvudakterna:

  • Delegerade akter: Dessa tillåter Europeiska kommissionen att komplettera eller ändra icke-väsentliga delar av huvudakten. Processen involverar konsultation med expertgrupper som representerar alla medlemsstater och granskning av rådet och parlamentet.
  • Genomförandeakter: Dessa används av Europeiska kommissionen för att säkerställa harmoniserat genomförande i medlemsstater. De inkluderar konsultation av medlemsstater i komitologiförfarandet (https://commission.europa.eu/law/law-making-process/adopting-eu-law/implementing-and-delegated-acts/comitology_en).

Båda typerna av akter möjliggör mer flexibel och effektiv lagstiftning genom att reglera tekniska detaljer eller genomförandeaspekter utan att gå igenom hela den lagstiftande processen.

Skillnad mellan delegerad akt och genomförandeakt

För att bättre förstå tillämpningen av delegerade akter och genomförandeakter, betrakta konkreta exempel från EU-lagstiftning:

  • Delegerad akt: Ett nyckelexempel är den delegerade akten till Radio Equipment Directive (RED). Denna akt kompletterar RED med specifika cybersäkerhetskrav för radioutrustning. Den specificerar vilka produktkategorier som måste uppfylla vissa säkerhetsstandarder utan att ändra kärntexten i direktivet.
  • Delegerade och genomförandeakter: Cyber Resilience Act (CRA) förutser både delegerade och genomförandeakter. Delegerade akter skulle till exempel kunna användas för att uppdatera listan över mycket kritiska produkter med digitala element. Genomförandeakter skulle kunna användas för att sätta harmoniserade villkor för att genomföra marknadstillsynsåtgärder över alla EU-medlemsstater.

Dessa exempel visar hur EU:s rättssystem kan svara på teknologiska utvecklingar och säkerhetskrav utan att behöva köra hela den lagstiftande processen varje gång.

Förhållande mellan standarder och lagstiftning

Standarder är tekniska specifikationer som fastställer krav för produkter, tjänster eller förfaranden. Deras tillämpning är vanligtvis frivillig såvida inte specifika lagar eller kontrakt kräver dem. Standarder är viktiga för att demonstrera "teknikens ståndpunkt" och för att främja "bästa praxis" inom industrin.

En översikt över relevanta normer och standarder för cybersäkerhet finns i vår artikel Standards & norms.

Det lagstiftande förfarandet i detalj

För att förstå komplexiteten i den lagstiftande processen i Europeiska unionen är det viktigt att titta på de enskilda stegen i detalj. Stegen beskrivs kortfattat nedan:

  • Initiativ: Kommissionen lämnar ett förslag till parlamentet och rådet. Förslaget kan också komma från medlemsstater, Europeiska domstolen, Europeiska centralbanken eller Europeiska investeringsbanken.
  • Första läsningen: Parlamentet och rådet granskar förslaget. Om båda håller med antas akten.
  • Andra läsningen: Om ingen överenskommelse nås äger en andra läsning rum där parlamentet kan acceptera eller förkasta rådets ståndpunkt. Om ingen överenskommelse nås sammankallas en förlikningskommitté.
  • Förlikning: Kommittén försöker hitta en kompromiss. Om en gemensam text överenskoms finns det en tredje läsning.
  • Tredje läsningen: Den gemensamma texten måste godkännas av parlamentet och rådet. Om godkännandet misslyckas förkastas förslaget.

Betydande reglering relaterad till säkerhet

Inom området cybersäkerhet och dataskydd har Europeiska unionen implementerat flera viktiga regleringar som syftar till att skydda både konsumenter och företag. Här är några av de mest relevanta EU-regleringarna:

Krav för operatörer

EU har implementerat flera viktiga regleringar som kräver att operatörer av väsentliga tjänster och digitala tjänsteleverantörer antar stränga säkerhetsåtgärder och minimerar risker.

  • General Data Protection Regulation (GDPR) - (EU) 2016/679: Denna förordning är hörnstenen i dataskyddslagen i EU och syftar till att skydda personuppgifter för individer inom EU. Den ger individer mer kontroll över sina personuppgifter och säkerställer att företag som behandlar denna data uppfyller stränga krav.
  • NIS (Network and Information Systems) Directive - (EU) 2016/1148: Detta direktiv utformades för att säkerställa en hög gemensam säkerhetsnivå för nätverks- och informationssystem i EU. Det gäller för operatörer av väsentliga tjänster och digitala tjänsteleverantörer, och kräver lämpliga säkerhetsåtgärder och incidentrapportering.
  • NIS 2 directive - (EU) 2022/2555: Detta direktiv uppdaterar och utökar det ursprungliga NIS-direktivet för att hantera nya cybersäkerhetsutmaningar. Det breddar omfattningen och skärper säkerhetskraven för berörda företag.
  • eIDAS regulation (Electronic Identification and Trust Services) - (EU) 910/2014: Denna förordning skapar ett europeiskt ramverk för elektronisk identifiering och förtroendetjänster för elektroniska transaktioner inom den inre marknaden. Den säkerställer att elektroniska signaturer, sigill, tidsstämplar och andra förtroendetjänster erkänns över gränser.

Krav för tillverkare och utsläppande på marknaden

För att säkerställa säkerheten för produkter på den europeiska marknaden har EU infört ett antal regleringar som kräver att tillverkare och distributörer implementerar omfattande cybersäkerhetsåtgärder genom hela produktlivscykeln.

  • Cybersecurity Act - (EU) 2019/881: Denna akt etablerar ett ramverk för cybersäkerhetscertifiering i EU och stärker mandatet för Europeiska unionens byrå för cybersäkerhet (ENISA). Dess syfte är att öka förtroendet för den digitala inre marknaden och förbättra cybersäkerheten för produkter och tjänster.
  • Cyber Resilience Act: Denna lag syftar till att förbättra cybersäkerhetskraven för produkter med digitala element. Den fastställer minimala cybersäkerhetsstandarder och kräver att tillverkare tillhandahåller säkerhetsuppdateringar och sårbarhetshantering genom hela produktlivscykeln.
  • Radio Equipment Directive - (EU) 2014/53 och (EU) 2022/30: Detta direktiv säkerställer att radioutrustning fungerar säkert och utan störningar. Den delegerade förordningen till Radio Equipment Directive stärker cybersäkerhetskraven för sådana enheter.

Dessutom har EU antagit ytterligare sektorspecifika regleringar:

  • Machinery Regulation - (EU) 2023/1230: Denna förordning fastställer säkerhetskrav för maskiner, inklusive cybersäkerhetskrav för maskiner som används i Industry 4.0 och andra anslutna miljöer.
  • Medical Device Regulation - (EU) 2017/745: Denna förordning reglerar säkerhets- och prestationskrav för medicintekniska produkter, inklusive cybersäkerhetskrav för anslutna medicintekniska produkter.
  • In Vitro Diagnostic Regulation - (EU) 2017/746: Denna förordning fastställer krav för säkerhet och prestanda för in vitro-diagnostiska produkter, inklusive cybersäkerhetskrav för dessa enheter.
  • Marine Equipment Directive (MED) - 2014/90/EU: Detta direktiv fastställer krav för fartygsutrustning. Det hänvisar till Unified Requirements (UR) från International Association of Classification Societies (IACS), som bland annat definierar cyberresiliensen för ombordvarande system och utrustning.

Dessa regleringar spelar en avgörande roll för att forma säkerhetslandskapet i EU genom att fastställa enhetliga standarder och stärka förtroendet för digitala och nätverksrelaterade aktiviteter.

Stöd för implementering

Cybersäkerhetskraven ökar betydligt inom många branscher, drivna av EU:s rättsakter som Cyber Resilience Act, Radio Equipment Directive eller Machinery Regulation. För tillverkare betyder detta att tekniska skyddsåtgärder enbart inte längre räcker - processer, bevis och ansvarsområden måste också granskas och anpassas.

Secuvi stödjer företag i att systematiskt förstå dessa regleringar och omsätta dem i praktiken. Vi hjälper till att identifiera åtgärder som är relevanta för ditt företag, härleda prioriterade åtgärder och designa effektiv implementering - från den initiala analysen till operativt genomförande.

Om du undrar hur du ska integrera europeiska cybersäkerhetskrav i din produktutveckling och organisation, följer vi dig med teknisk, regulatorisk och metodologisk expertis.

Mer information på: secuvi.com