Cyber Resilience Act: nye EU-krav til produkters cyberrobusthed

Cyberrobusthed bliver snart et lovkrav i EU

Regulering af cyber- og informationssikkerhed er et af de områder, EU-kommissionen har beskæftiget sig meget med de seneste par år. Reguleringerne er nu ved at være færdigbehandlet, og der er ikke længe til de træder i kraft.  

NIS2 (Net- og Informationssikkerhedsdirektivet) er et af de direktiver, der har fået mest opmærksomhed i denne sammenhæng. NIS2 omfatter imidlertid organisationer - hvad med generelle produkter?

Den 23. oktober 2024 fik vi, i Europa, forordningen om cyberrobusthed, også kaldet Cyber Resilience Act (CRA). Denne forordning stiller en række væsentlige krav (engelsk: essential requirements), som produkter, der skal sælges på det indre marked i EU, skal leve op til, hvis de falder under anvendelsesområdet.

Cyber Resilience Act gælder for produkter med digitale elementer

CRA gælder for produkter med digitale elementer, som kan forbindes til andre enheder eller netværk. Af forordningens artikel 2.1 fremgår:

”Denne forordning finder anvendelse på produkter med digitale elementer, der gøres tilgængelige på markedet, hvis tilsigtede formål eller rimeligt forudsigelige anvendelse omfatter en direkte eller indirekte logisk eller fysisk dataforbindelse til en enhed eller et netværk.”

Artikel 3.1 definerer ’produkter med digitale elementer’ som:

”et software- eller hardwareprodukt og dets fjerndatabehandlingsløsninger, herunder software- eller hardwarekomponenter, der bringes i omsætning separat.”

Der er altså tale om produkter, som er i stand til at kommunikere data. Der er yderligere beskrivelser og definitioner af de forskellige elementer i forordningsteksten.

Hvornår træder Cyber Resilience Act i kraft?

Særligt to datoer er vigtige for producenter og leverandører i forhold til forordningen om cyberrobusthed:

11. september 2026  
Her træder kravene om producentens rapporteringsforpligtelser i kraft. Det betyder, at producenter skal underrette myndighederne, når de opdager udnyttede sårbarheder i deres produkter.

11. december 2027  
Kravene til selve produkterne træder i kraft. Fra denne dato må produkterne kun markedsføres i EU, hvis de opfylder de nye regler.

Krav og klassificering af produkter i Cyber Resilience Act

De væsentlige krav til cyberrobusthed, som produkterne skal leve op til, er inddelt i to kategorier:

    Tabel 1 - Væsentlige krav til produkter med digitale elementer

Der er altså både krav til produkterne og til de organisationer, der producerer, importerer og distribuerer dem. Bemærk, at kravene gælder for produktet i hele dets levetid, og ikke blot når det placeres på markedet. Det betyder, at man er forpligtet til at understøtte sikkerheden i produktet, så længe man markedsfører det.

For de omfattede produkter er der specificeret 3 kategorier, som bestemmer, hvilke muligheder der er for overensstemmelsesvurdering: de almindelige, de vigtige og de kritiske. Dette er specificeret i forordningens artikel 7 og 8, hvor kriterierne for vigtige og kritiske produkter defineres.

Nogle generelle kriterier skal være opfyldt, for at produkter kan anses som vigtige eller kritiske, ligesom produktet skal falde ind under en generel produktkategori, fx operativsystemer, routere, firewalls, smartcards osv.

Bemærk, at vigtige produkter desuden inddeles i klasse I og klasse II. De produkter, der ikke kan klassificeres som vigtige eller kritiske, falder ind under de ”almindelige” krav.

Hvordan vurderer man overensstemmelse?

Kravene til selve produktet og dets vedligehold gælder uanset, hvordan produktet er klassificeret. Forskellen ligger i de overensstemmelsesvurderingsmetoder, der er tilgængelige.

Overordnet kan man vælge mellem tre forskellige metoder til at vurdere overensstemmelse – også kaldet moduler:

• Modul A: Selvevaluering, hvor producenten selv vurderer, om produktet lever op til de væsentlige krav. Det kan eventuelt ske med støtte fra relevante standarder.
• Modul B + C: Tredjepartsvurdering, hvor et bemyndiget organ (engelsk: notified body eller NB) tester et prøveeksemplar. Hvis det godkendes, bruges det som reference for den øvrige produktion.
• Modul H: Vurdering af producentens kvalitetssikringssystem. Her kontrollerer et bemyndiget organ, om systemet sikrer, at alle produkter overholder kravene. 

Derudover er der mulighed for at benytte et EU-godkendt certificeringsskema for den pågældende produkttype.

Standarder gør det lettere at opfylde kravene i Cyber Resilience Act

De fleste producenter anvender enten modul A (selvevaluering) eller modul B+C (EU-typegodkendelse). I begge tilfælde kan det være en stor fordel at bruge relevante standarder.

Standarderne kan give en indikation af, hvad der anses for state-of-the-art for det pågældende produkt, og hvilke test eller vurderinger, der er relevante at gennemføre - samt hvordan de bør udføres. Det bidrager også til en mere ensartet og konsistent vurdering på tværs af produktfamilier.

Vurderingsmetoder i CRA

Afhængig af produktkategori, kan man vælge imellem metoderne vist i Tabel 2

¹ Kun ved brug af harmoniseret standard 
² Kun hvis relevant certificering ikke findes 

Af Tabel 2 fremgår det, at der bliver behov for harmoniserede standarder for de 19 produkttyper, der ligger under ’Vigtig – klasse I’, hvis det skal være muligt at lave en selvevaluering for overensstemmelse.

Det vil også være gavnligt med standarder, der dækker de overordnede væsentlige krav for både almindelige og kritiske produkter, da det kan hjælpe producenter med at identificere, hvilke tiltag, der skal gøres, for at produkter kan opfylde de væsentlige krav.

Sådan udvikles standarder til Cyber Resilience Act

For at imødekomme behovet for dokumentation og overensstemmelse, har EU-kommissionen anmodet de europæiske standardiseringsorganisationer (ESO’er) om at udarbejde intet mindre end 41 standarder til at dække de væsentlige krav i forordningen. Standarderne er inddelt i tre grupper:

• 14 horisontale standarder om sikkerhedskrav relateret til egenskaber ved produkter med digitale elementer
• 1 horisontal standard for sårbarhedshåndtering
• 26 vertikale standarder til at dække hver kategori af de vigtige og kritiske produkter. 

Udgangspunktet for standarderne er:

• Bilag 1 i forordningen – for de horisontale standarder
• Bilag III og IV – for de vertikale standarder, som relaterer sig til de specifikke vigtige og kritiske produkter. 

Anmodningen er sendt til de 3 ESO’er CEN, Cenelec og ETSI. Her fordeles de anmodede standarder ud til de forskellige ESO’ers relevante udvalg. En stor del af de vertikale standarder ligger hos ETSI, og de horisontale hos Cenelec.

I øjeblikket arbejdes der på at udarbejde grundlæggende standarder, der kan omfatte en eller flere af de anmodede dele af de horisontale standarder, og på at identificere eksisterende standarder, der potentielt kan benyttes for de vertikale.

Enkelte af de anmodede standarder – dem som omhandler de kritiske produkttyper – udvikles i lukkede fora. Her kan kun deltage eksperter fra organisationer, der er etableret i EU, og interessenter, der varetager EU's interesser.

Generelt udvikles standarder af eksperter på det pågældende område gennem en defineret proces, der lever op til kravene i regulativ 1025/2012, som specificerer krav til bl.a. gennemsigtighed, interessenters deltagelse og procedurer.

FORCE Technologys rolle i standardiseringsarbejdet

De standarder, der skal udvikles til CRA, dækker en bred vifte af produkter. Nogle skal være generelle, andre specifikke, og nogle skal kun dække en enkelt produkttype. Det betyder, at der er behov for både generalister og eksperter til at sikre, at kvaliteten af standarderne er høj og målsætningen rigtig i forhold til deres anvendelse.

Eksperter fra FORCE Technology og andre GTS-institutter deltager i flere udvalg og arbejdsgrupper. Formålet er at sikre, at de standarder, der bliver produceret, er forståelige for danske virksomheder og at de bedst muligt beskriver den sikkerhed, som CRA skal opnå. Samtidig skal standarderne højne produktsikkerheden i EU og gøre europæiske produkter konkurrencedygtige på det internationale marked.