Abonner
SIKKERHET

Seks ting leverandører bør vite om nye Cyber Recilience Act

Usikre tider krever sikre digitale produkter. Endelig tar EU tak i en av de største sårbarhetene vi har, skriver tre advokater i Bull.

Advokat Kristian Foss, advokatfullmektig Tara Årøe og advokat Sara Lamøy Engberg i Bull & Co Advokatfirma tar i kronikken for seg én av flere nye EU-lover i det digitale domenet som norske virksomheter må tilpasse seg til.
Advokat Kristian Foss, advokatfullmektig Tara Årøe og advokat Sara Lamøy Engberg i Bull & Co Advokatfirma tar i kronikken for seg én av flere nye EU-lover i det digitale domenet som norske virksomheter må tilpasse seg til. Foto: Bull & Co Advokatfirma
Del
1 Kommentar
Kristian Foss, Tara Årøe og Sara Lamøy Engberg, Bull & Co Advokatfirma
11. apr. 2024 - 13:03

Produkter med digitale elementer (internet of things - IoT) er blitt en stor del av vår hverdag, både privat og i næring. Utallige selskaper inkorporerer nå IoT i sine produkter, og utvikler tjenester for tingene. Produktene behandler store mengder informasjon, og god sikkerhet er derfor avgjørende. Med en eksplosjon i løsepengevirus og andre sikkerhetsbrudd over de siste årene har mange selskaper fått kjenne på prisen på dårlig sikkerhet.

Som en motreaksjon på den økende trusselen mot IoT, vedtok EU-parlamentet 12. mars i år den nye Cyber Recilience Act. Forordningen stiller sikkerhetskrav til produkter med digitale elementer. Det kan være alt fra smartklokker og ventilasjonsanlegg til brannmurer og annen programvare. Formålet er at sluttbrukerne skal få økt sikkerhet, mens produsenter, importører og distributører må etterleve en rekke nye krav.

Forordningen vil få særlig store følger for de som leverer fysiske produkter og programvare i EØS-området. Cybersikkerhet er et satsningsområde for EU om dagen, og selskaper i brudd risikerer enorme gebyrer: Det høyeste av 2,5% av årlig totalomsetning eller 15 millioner euro kreves av en produsent. De fleste andre brudd har 2% og 10 millioner euro som øvre grense for overtredelsesgebyr.

Artikkelen fortsetter etter annonsen
annonsørinnhold
Atea
Investerer milliarder i bedre møteopplevelse
Advokatene Kristian Foss og Christian Bendiksen har sammen med advokatfullmektig Thale C. G. Gjerdsbakk skrevet denne kronikken om hvordan den nye KI-forordningen vil kunne påvirke norske virksomheter. Alle tre er ansatt i Bull & Co Advokatfirma AS,
Les også

Alt som glimrer er ikke KI – sjekk om AI Act gjelder deg

Hvilke produkter omfattes?

Forordningen dekker vidt, men deler produktene inn i ulike kategorier basert på risiko. I kategorien «viktige» produkter finner vi blant annet nettlesere, passordbeskyttere, dørklokker, baby-monitorer, WIFI-rutere, ID-systemer, biometriske lesere, smarthus-assistenter, private sikkerhetskameraer, robot-støvsugere, alarmsystemer, mikroprosessorer- og kontrollere med sikkerhetsfunksjoner og visse internettilkoblede leker. I kategorien «kritiske» produkter finner vi sikkerhetsbokser, smartmetere og smartkortenheter.

Leverandører bør kjenne til disse seks hovedpunktene:

  1. Produktsikkerheten skal tilpasses risikoen. Produsenter, importører og distributører (samlet, leverandører) som setter sitt eget navn på produktene skal etterleve essensielle krav - altså grunnleggende krav til sikkerhet. Hovedkravet er at sikkerheten skal tilpasses risikonivået. Produktet skal blant annet ikke ha kjente sårbarheter som kan utnyttes, standardinnstillingene skal være sikre, og produktet skal sikres mot uautorisert adgang.
  2. Oppdatering må skje løpende. Et praktisk viktig krav er at programvaren i produkter skal oppdateres, så de holder seg (eller blir) sikre. Det finnes eksempler på at kriminelle har kommet seg inn i datanettverk gjennom for eksempel ventilasjonssystemer på grunn av dårlig sikrede styringssystemer. Leverandører av slike systemer plikter nå å oppdatere programvare for å tette sikkerhetshull.
  3. Support i 10 år. Supporten av produktene skal ha et levetidsperspektiv. Produktene må altså holdes sikre over tid – i 10 år – med oppdateringer som nevnt i punkt 2.
  4. Nye rapporteringskrav. For å muliggjøre samordnet respons og oversikt, må produsenten rapportere sårbarheter og alvorlige hendelser til sikkerhetsorganene ENISA og CSIRT innen 24 timer. Deretter må leverandørene følge opp med rapportering til disse organene. Ved hendelser og utnyttet sårbarhet skal produsenten rapportere til de som er berørt av hendelsen. I noen tilfeller vil det være nødvendig å rapportere til alle brukere av produktet. Det er korte frister for slik rapportering.
  5. Etterlevelseserklæring. Importører og distributører får et ansvar for å kontrollere at produsenten etterlever kravene, og skal avgi en erklæring om etterlevelse. Hvis en importør eller distributør markedsfører produktet (eller programvaren) under eget navn, blir de behandlet som produsenter. For å etterleve kravene blir det viktig for importør og distributør å ha gode avtaler med underleverandører i tillegg til faktiske kontroller av produsenten.
  6. Produktene skal CE-merkes. Cyber Recilience Act er mer eller mindre en ren produktsikkerhetslov (i motsetning til en rettighetslov, som personvernforordningen (GDPR)). Derfor inneholder forordningen et krav om at produktene som omfattes skal sertifiseres og bære CE-merke. Krav til CE-merkingen er regulert. Det samme gjelder teknisk dokumentasjon, som alltid skal følge produktet.
Erling Skard i Kantega sier at med den digitale lommeboken kan du identifisere deg overfor nettstedet du skal logge deg inn hos, uten å benytte tredjeparter som mellomledd.
Les også

Viktig skritt mot digital lommebok på tvers av landegrenser

Krav til risikovurdering

For å sikre etterlevelse av de essensielle kravene skal produsenten gjøre en risikovurdering av cybersikkerhet. Risikovurderingen skal dokumenteres, holdes oppdatert og inngå i dokumentasjonen til produktet. Jo mer kritisk produktet er, jo strengere er kravene til hvilke prosedyrer som kan brukes. Det er gitt detaljerte krav til hvordan vurderingen skal gjøres og hva som skal vektlegges.

Hvordan håndtere de nye sikkerhetskravene?

Vår erfaring er at det tar tid å sikre etterlevelse av nye krav og regler. Økningen i antallet cybersikkerhetsbrudd og løsepengekrav de siste årene tilsier at det også vil gjelde ved innføringen av Cyber Recilience Act. Derfor bør alle produsenter, importører og distributører av produkter med digitale elementer begynne å forberede seg på at kravene blir gjeldende i Norge. Eksempler på tiltak er å

  • finne ut om du vil anses som produsent, importør eller distributør
  • kartlegge hvilke krav som vil gjelde for din virksomhet
  • gjennomføre risikovurdering
  • sikre teknisk sikkerhet, inkludert oppdateringsrutiner
  • oppdatere avtalene med underleverandørene dine, slik at kravene i forordningen videreføres i avtalene
  • utarbeide dokumentasjon til produktene du selger og vurderingene du har gjort

Prosessen videre i EU og Norge

Cyber Recilience Act er vedtatt i EU-parlamentet. Forordningen blir imidlertid ikke gjeldende før den vedtas av Ministerrådet i EU. Alt tyder på at forordningen vil godkjennes uten store endringer. Det er ikke sikkert når dette vil skje, men det er grunn til å forvente at behandlingen vil prioriteres i EU. Forordningen er EØS-relevant, så forordningen vil bli inntatt i EØS-avtalen og gjort til norsk lov etter at den blir endelig vedtatt i EU.

Hele teksten finner du her.

Advokatfullmektig Thale Marie Bø og senior manager Steinar Østmoe i Deloitte Advokatfirma
Les også

Når KI automatiserer bort gravide kvinner i rekruttering

Les mer om:
DEBATTEU-LOVSIKKERHET
Del
Kommentarer:
Du kan kommentere under fullt navn eller med kallenavn. Bruk BankID for automatisk oppretting av brukerkonto.
Tekjobb
Se flere jobber
Forbrukerrådet
Azure utviklere
Forbrukerrådet
Oslo
19. mai
    En tjeneste fra