Tilbake

CRA: Cybersikkerhet som produktkrav

Tekst: Sigmund Eng, fagsjef ekom

Høyttalere, rutere, alarmsystemer, smarte klokker og industrielle kontrollsystemer. Stadig flere produkter kobles til nettverk, og hvert av dem kan i praksis være en inngang til langt større systemer. Med Cyber Resilience Act gjør EU cybersikkerhet til et grunnleggende produktkrav, det er ikke et tillegg, men en forutsetning for å sette produkter på markedet. 

Informasjonssikkerhet

Et felles rammeverk for Europa 

Cyber Resilience Act (CRA) er EUs felles regelverk for cybersikkerhet i produkter med såkalte digitale elementer. Formelt er det regulering (EU) 2024/2847, vedtatt av Europaparlamentet og Rådet 23. oktober 2024. Forordningen trådte i kraft 20. november 2024.  

Rapporteringspliktene begynner å gjelde fra 11. september 2026, og de viktigste kravene får full anvendelse fra 11. desember 2027.  

Regelverket gjelder både maskinvare og programvare, og det favner bredt. Alle produkter som kan kobles direkte eller indirekte til en enhet eller et nettverk er i utgangspunktet omfattet. 

Hvem berøres? 

CRA er relevant for en rekke virksomheter. Regelverket berører produsenter, importører, distributører, installatører og integratorer. I tillegg har det betydning for rådgivere og innkjøpere i både privat og offentlig sektor. Virksomheter som har produkter og tjenester innenfor ekom, smarte bygg, industri, energisystemer, helse/velferd og alarmsystemer er blant dem som vil merke CRA tydeligst. 

Nkom med ansvaret i Norge 

I norsk sammenheng har regjeringen besluttet at Nasjonal kommunikasjonsmyndighet (Nkom) får tilsynsansvaret. Nkom har allerede erfaring fra radioutstyrsdirektivet, som fra august 2025 ble utvidet med cybersikkerhetskrav for nettverkstilkoblet radioutstyr. Med CRA bygges denne kompetansen videre ut til å omfatte markedskontroll, mottak av sårbarhetsvarsler og utpeking av tekniske kontrollorganer 

Sikkerhet gjennom hele livssyklusen 

Det viktigste prinsippet i CRA er at cybersikkerhet skal ivaretas gjennom hele produktets livssyklus, ikke bare ved lansering. Produsenten er ansvarlig for at produkter designes med færre sårbarheter, at sikkerhetsoppdateringer distribueres uten forsinkelse, og som hovedregel kostnadsfritt for forbrukere. Produsenten må også sikre at prosesser for sårbarhetshåndtering er på plass.  

Regelverket stiller også krav til teknisk dokumentasjon i henhold til Annex VII, inkludert en Software Bill of Materials (SBOM) i maskinlesbart format. Dette er en oversikt over hvilke programvarekomponenter produktet består av.  

Alvorlige hendelser skal varsles til Det europeiske byrået for nettverks- og informasjonssikkerhet (ENISA) innen 24 timer. 

Alarmsystemer – et praktisk eksempel 

Alarmsystemer illustrerer godt hvorfor CRA handler like mye om ansvarslinjer og informasjonsflyt som om teknologi.  

Produsenten må oppfylle de grunnleggende cybersikkerhetskravene i Annex I og utarbeide teknisk dokumentasjon etter Annex VII.  

Forhandleren må påse at produktet leveres med nødvendig dokumentasjon og at kunder informeres om sikker bruk og sårbarhetshåndtering.  

Integratorer må få den informasjonen de trenger for korrekt installasjon. Dersom sårbarheter oppdages, skal produsenten varsles umiddelbart, og ved alvorlig risiko skal tilsynsmyndigheter informeres uten forsinkelse. 

En særlig problemstilling er endringer etter at produktet er satt på markedet. Dersom en oppdatering eller videreutvikling endrer produktets formål eller risikobilde, kan det være snakk om en vesentlig modifikasjon. Et eksempel kan være dersom et system som opprinnelig bare viste data, senere videreutvikles til å styre operasjonelle enheter. Da kan det være nødvendig med ny risikovurdering og oppdatert dokumentasjon. 

Risikoklasser, CE-merking og sanksjoner 

Rundt 90 prosent av produkter med digitale elementer faller i standardkategorien, der produsenten selv kan vurdere samsvar.  

For produkter med høyere risiko stilles det strengere krav. IoT-enheter, nettverksutstyr og industrielle kontrollsystemer kan for eksempel omfattes som viktige produkter, mens produkter knyttet til medisinsk utstyr og kritisk infrastruktur kan regnes som kritiske.  

For enkelte slike produkter kan det kreves tredjeparts samsvarsvurdering. 

Alle produkter som oppfyller kravene, skal bære CE-merking. For små og mellomstore bedrifter arbeider EU-kommisjonen med en forenklet dokumentasjons mal.  

Manglende samsvar kan medføre bøter på inntil 15 millioner euro eller 2,5 prosent av global årsomsetning (artikkel 64, paragraf 2 i (EU) 2024/2847). 

Standardiseringens rolle 

Standarder som er harmoniserte mot EU-bestemmelsene vil spille en sentral rolle i gjennomføringen av CRA, som de gjør på andre områder innen europeisk produktregelverk. Standarder gjør kravene praktisk anvendelige, målbare og etterprøvbare, og skaper et felles språk mellom produsenter, innkjøpere, testmiljøer og myndigheter.  

Dette er særlig relevant for elektroteknisk sektor, som NEK representerer. Regelverket treffer knutepunktet der elektriske, elektroniske og digitale systemer smelter sammen. Dette berører arbeidsområdene til de fleste av NEKs komiteer. 

Forbered deg nå 

CRA gjør cybersikkerhet til en del av produktansvaret. Det holder ikke lenger å levere et produkt som fungerer ved salgstidspunktet. Produsenten må dokumentere og opprettholde cybersikkerheten gjennom hele produktets levetid.  

Virksomheter som utvikler, importerer, distribuerer, installerer eller bruker produkter med digitale elementer bør starte forberedelsene nå. 

God cybersikkerhet kan ikke legges til på slutten. Den må bygges inn fra starten. 

 

Lenker:  

https://www.regjeringen.no/no/aktuelt/na-skal-digitale-produkter-sikres-bedre-mot-cyberangrep-viktig-steg-for-a-beskytte-norske-forbrukere/id3145644/ 

https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX%3A32024R2847 

https://nkom.no/aktuelt/na-skal-digitale-produkter-sikres-bedre-mot-cyberangrep–viktig-steg-for-a-beskytte-norske-forbrukere