Cyberresiliensakten

Från babymonitorer till smartklockor, produkter och programvara som innehåller en digital komponent är allestädes närvarande i våra dagliga liv. Mindre uppenbart för många användare är den säkerhetsrisk som sådana produkter och programvara kan medföra.

Cyberresiliensakten syftar till att skydda konsumenter och företag som köper programvara eller hårdvaruprodukter med en digital komponent. Cyberresiliensakten  tar itu med den otillräckliga cybersäkerhetsnivån i många produkter och bristen på aktuella säkerhetsuppdateringar för produkter och programvara. Den tar också itu med de utmaningar som konsumenter och företag för närvarande står inför när de försöker avgöra vilka produkter som är cybersäkra och när de ska installeras på ett säkert sätt. De nya kraven kommer att göra det lättare att ta hänsyn till cybersäkerhet när man väljer och använder produkter som innehåller digitala element. Det kommer att bli enklare att identifiera hårdvaru- och mjukvaruprodukter med rätt cybersäkerhetsfunktioner.

Genom cyberresiliensakten införs obligatoriska cybersäkerhetskrav för tillverkare och återförsäljare som reglerar planering, utformning, utveckling och underhåll av sådana produkter. Dessa skyldigheter måste uppfyllas i alla led i värdekedjan. Lagen kräver också att tillverkarna ska ge vård under sina produkters livscykel. Vissa kritiska produkter av särskild betydelse för cybersäkerheten kommer också att behöva genomgå en tredjepartsbedömning av ett auktoriserat organ innan de säljs på EU-marknaden.

Förordningen är tillämplig på alla produkter som är direkt eller indirekt anslutna till en annan enhet eller ett annat nätverk, med undantag för särskilda undantag såsom viss programvara med öppen källkod eller vissa tjänsteprodukter som redan omfattas av befintliga regler, vilket är fallet för medicintekniska produkter, luftfart och bilar. Produkterna kommer att vara CE-märkta för att visa att de uppfyller kraven i CRA. De nya reglerna kommer att balansera ansvaret mot tillverkarna, som måste se till att deras produkter med digitala element uppfyller cybersäkerhetsstandarderna för EU-marknaden. Detta kommer att göra det möjligt för köpare att fatta mer välgrundade beslut och lita på cybersäkerheten för CE-märkta produkter.

Cyberresiliensakten trädde i kraft den 10 december 2024. De huvudsakliga skyldigheter som införs genom lagen kommer att gälla från och med den 11 december 2027. 

Dessutom hållerexpertgruppenför cyberresiliensakten på att inrättas. Expertgruppen kommer att bistå och ge råd till kommissionen i frågor som är relevanta för genomförandet av cyberresiliensakten.

Cyberresiliensakten bygger påEU:s strategi för cybersäkerhetfrån 2020  och strategin för EU:ssäkerhetsunion. Den kompletterar annan lagstiftning på detta område, särskilt NIS 2-direktivet.