Nye krav til dingser: Disse 6 punktene bør du vite om Cyber Resilience Act

Produkter med digitale elementer (internet of things - IoT) er blitt en stor del av vår hverdag, både privat og i næring. Utallige selskaper inkorporerer nå IoT i sine produkter, og utvikler tjenester for tingene. Produktene behandler store mengder informasjon, og god sikkerhet er derfor avgjørende. Med en eksplosjon i løsepengevirus og andre sikkerhetsbrudd over de siste årene har mange selskaper fått kjenne på prisen på dårlig sikkerhet.

Som en motreaksjon på den økende trusselen mot IoT, vedtok EU-parlamentet 12. mars i år den nye Cyber Resilience Act. Forordningen stiller sikkerhetskrav til produkter med digitale elementer. Det kan være alt fra smartklokker og ventilasjonsanlegg til brannmurer og annen programvare. Formålet er at sluttbrukerne skal få økt sikkerhet, mens produsenter, importører og distributører må etterleve en rekke nye krav.

Forordningen vil få særlig store følger for de som leverer fysiske produkter og programvare i EØS-området. Cybersikkerhet er et satsningsområde for EU om dagen, og selskaper i brudd risikerer enorme gebyrer: Det høyeste av 2,5% av årlig totalomsetning eller 15 millioner euro kreves av en produsent. De fleste andre brudd har 2% og 10 millioner euro som øvre grense for overtredelsesgebyr.

Hvilke produkter omfattes?

Forordningen dekker vidt, men deler produktene inn i ulike kategorier basert på risiko. I kategorien «viktige» produkter finner vi blant annet nettlesere, passordbeskyttere, dørklokker, baby-monitorer, WIFI-rutere, ID-systemer, biometriske lesere, smarthus-assistenter, private sikkerhetskameraer, robot-støvsugere, alarmsystemer, mikroprosessorer- og kontrollere med sikkerhetsfunksjoner og visse internettilkoblede leker. I kategorien «kritiske» produkter finner vi sikkerhetsbokser, smartmetere og smartkortenheter.

Leverandører bør kjenne til disse seks hovedpunktene:

1. Produktsikkerheten skal tilpasses risikoen. Produsenter, importører og distributører (samlet, leverandører) som setter sitt eget navn på produktene skal etterleve essensielle krav - altså grunnleggende krav til sikkerhet. Hovedkravet er at sikkerheten skal tilpasses risikonivået. Produktet skal blant annet ikke ha kjente sårbarheter som kan utnyttes, standardinnstillingene skal være sikre, og produktet skal sikres mot uautorisert adgang.

2. Oppdatering må skje løpende. Et praktisk viktig krav er at programvaren i produkter skal oppdateres, så de holder seg (eller blir) sikre. Det finnes eksempler på at kriminelle har kommet seg inn i datanettverk gjennom for eksempel ventilasjonssystemer på grunn av dårlig sikrede styringssystemer. Leverandører av slike systemer plikter nå å oppdatere programvare for å tette sikkerhetshull.

3. Support i 10 år. Supporten av produktene skal ha et levetidsperspektiv. Produktene må altså holdes sikre over tid – i 10 år – med oppdateringer som nevnt i punkt 2.

4. Nye rapporteringskrav. For å muliggjøre samordnet respons og oversikt, må produsenten rapportere sårbarheter og alvorlige hendelser til sikkerhetsorganene ENISA og CSIRT innen 24 timer. Deretter må leverandørene følge opp med rapportering til disse organene. Ved hendelser og utnyttet sårbarhet skal produsenten rapportere til de som er berørt av hendelsen. I noen tilfeller vil det være nødvendig å rapportere til alle brukere av produktet. Det er korte frister for slik rapportering.

5. Etterlevelseserklæring. Importører og distributører får et ansvar for å kontrollere at produsenten etterlever kravene, og skal avgi en erklæring om etterlevelse. Hvis en importør eller distributør markedsfører produktet (eller programvaren) under eget navn, blir de behandlet som produsenter. For å etterleve kravene blir det viktig for importør og distributør å ha gode avtaler med underleverandører i tillegg til faktiske kontroller av produsenten.

6. Produktene skal CE-merkes. Cyber Resilience Act er mer eller mindre en ren produktsikkerhetslov (i motsetning til en rettighetslov, som personvernforordningen (GDPR)). Derfor inneholder forordningen et krav om at produktene som omfattes skal sertifiseres og bære CE-merke. Krav til CE-merkingen er regulert. Det samme gjelder teknisk dokumentasjon, som alltid skal følge produktet.

Krav til risikovurdering

For å sikre etterlevelse av de essensielle kravene skal produsenten gjøre en risikovurdering av cybersikkerhet. Risikovurderingen skal dokumenteres, holdes oppdatert og inngå i dokumentasjonen til produktet. Jo mer kritisk produktet er, jo strengere er kravene til hvilke prosedyrer som kan brukes. Det er gitt detaljerte krav til hvordan vurderingen skal gjøres og hva som skal vektlegges.

Hvordan bør man håndtere de nye sikkerhetskravene?

Vår erfaring er at det tar tid å sikre etterlevelse av nye krav og regler. Økningen i antallet cybersikkerhetsbrudd og løsepengekrav de siste årene tilsier at det også vil gjelde ved innføringen av Cyber Resilience Act. Derfor bør alle produsenter, importører og distributører av produkter med digitale elementer begynne å forberede seg på at kravene blir gjeldende i Norge. Eksempler på tiltak er å

• finne ut om du vil anses som produsent, importør eller distributør
• kartlegge hvilke krav som vil gjelde for din virksomhet
• gjennomføre risikovurdering
• sikre teknisk sikkerhet, inkludert oppdateringsrutiner
• oppdatere avtalene med underleverandørene dine, slik at kravene i forordningen videreføres i avtalene
• utarbeide dokumentasjon til produktene du selger og vurderingene du har gjort

Prosessen videre i EU og Norge

Cyber Recilience Act er vedtatt i EU-parlamentet. Forordningen blir imidlertid ikke gjeldende før den vedtas av Ministerrådet i EU. Alt tyder på at forordningen vil godkjennes uten store endringer. Det er ikke sikkert når dette vil skje, men det er grunn til å forvente at behandlingen vil prioriteres i EU. Forordningen er EØS-relevant, så forordningen vil bli inntatt i EØS-avtalen og gjort til norsk lov etter at den blir endelig vedtatt i EU.