© European Union
Från baby-monitorer till smarta klockor, produkter och programvara som innehåller en digital komponent är allestädes närvarande i vårt dagliga liv. Mindre uppenbart för många användare är den säkerhetsrisk som sådana produkter och programvara kan medföra.
Cyber Resilience Act (CRA) syftar till att skydda konsumenter och företag som köper eller använder produkter eller programvara med en digital komponent. Lagen skulle se otillräckliga säkerhetsdetaljer bli en sak av det förflutna med införandet av obligatoriska cybersäkerhetskrav för tillverkare och återförsäljare av sådana produkter, och detta skydd sträcker sig under produktens hela livscykel.
Det problem som tas upp i förordningen är tvåfaldigt.
För detförsta är den otillräckliga nivån av cybersäkerhet inneboende i många produkter, eller otillräckliga säkerhetsuppdateringar av sådana produkter och programvara.
För detandra är det omöjligt för konsumenter och företag att för närvarande avgöra vilka produkter som är cybersäkra, eller att inrätta dem på ett sätt som säkerställer att deras cybersäkerhet skyddas.
Lagen om cyberresiliens kommer att garantera följande:
- harmoniserade regler när produkter eller programvara med en digital komponent släpps ut på marknaden.
- en ram av cybersäkerhetskrav som styr planering, utformning, utveckling och underhåll av sådana produkter, med skyldigheter som ska uppfyllas i varje skede av värdekedjan.
- en skyldighet att tillhandahålla omsorgsplikt under hela livscykeln för sådana produkter.
När förordningen träder i kraft skulle programvara och produkter som är anslutna till internet vara försedda med CE-märkning för att ange att de uppfyller de nya standarderna. Genom att kräva att tillverkare och återförsäljare prioriterar cybersäkerhet skulle kunder och företag ges befogenhet att göra bättre informerade val som är säkra på CE-märkta produkters cybersäkerhetsuppgifter.
Förordningen tillkännagavs i EU:s strategi för cybersäkerhet 2020 och kompletterar annan lagstiftning på detta område, särskilt NIS2 -ramen.
Den kommer att tillämpas på alla produkter som är direkt eller indirekt anslutna till en annan enhet eller ett annat nätverk, med undantag för specificerade undantag, t.ex. programvara eller tjänster med öppen källkod som redan omfattas av befintliga regler, vilket är fallet för medicintekniska produkter, luftfart och bilar.
Förordningen förväntas träda i kraft i början av 2024. Tillverkarna måste tillämpa reglerna 36 månader efter det att de trätt i kraft. Kommissionen kommer därefter att regelbundet se över rättsakten och rapportera om hur den fungerar.
Läs mer
Översikt
Europeiska unionen arbetar på olika fronter för att främja cyberresiliens, skydda vår kommunikation och våra data och skydda samhället och ekonomin på nätet.
Se också
Den 18 april 2023 lade Europeiska kommissionen fram ett förslag till EU-rättsakt om cybersolidaritet för att förbättra beredskapen, upptäckten och hanteringen av cybersäkerhetsincidenter i hela EU.
Operatörer av väsentliga tjänster (OES), nationella cybersäkerhetscertifieringsmyndigheter och nationella behöriga myndigheter för cybersäkerhet hör till de utvalda sökande som kommer att få 11 miljoner euro i finansiering från ansökningsomgången för cybersäkerhet inom Fonden för...
Europeiska kompetenscentrumet för cybersäkerhet och cybersäkerhet hjälper EU att behålla och utveckla den tekniska och industriella kapaciteten inom cybersäkerhet.
Intressentgruppen för cybersäkerhetscertifiering inrättades för att ge råd i strategiska frågor som rör cybersäkerhetscertifiering.
Cybersäkerhetsakten stärker EU:s cybersäkerhetsbyrå (Enisa) och fastställer en ram för cybersäkerhetscertifiering för produkter och tjänster.
EU:s ram för cybersäkerhetscertifiering av IKT-produkter gör det möjligt att skapa skräddarsydda och riskbaserade EU-certifieringssystem.
NIS2-direktivet är den EU-omfattande lagstiftningen om cybersäkerhet. Det innehåller rättsliga åtgärder för att öka den övergripande cybersäkerhetsnivån i EU.