Övergripande cybersäkerhetskrav för produkter med digitala element (cyberresiliensförordningen)

VIKTIGA PUNKTER

Cyberresiliensförordningen har flera centrala mål.

• Att förbättra cybersäkerheten i hela EU genom att ställa upp obligatoriska cybersäkerhetskrav för produkter med digitala element.
• Att främja säkra metoder genom att uppmuntra tillverkare att integrera cybersäkerhet i utformnings- och utvecklingsfaserna av produkter.
• Att säkerställa insyn och ansvarsskyldighet genom att kräva att tillverkare lämnar tydlig information om sina produkters egenskaper när det gäller cybersäkerhet och ta ansvar för att hantera sårbarheter.
• Att främja en inre marknad för cybersäkerhet genom att harmonisera reglerna i alla EU:s medlemsstater för att minska fragmenteringen och säkerställa lika villkor.

Tillämpningsområde

Förordningen gäller för många olika produkter med digitala element som släpps ut på EU-marknaden, oavsett var tillverkaren har sin bas, vilka kan ansluta direkt eller indirekt till andra enheter eller nätverk, däribland

• hårdvaruprodukter (t.ex. enheter för sakernas internet), enheter för smarta hem, industriella styrsystem, mikrochip),
• programvaruprodukter (t.ex. tv-spel, appar, datorprogram.

Vissa produkter är undantagna, däribland

• medicintekniska produkter som redan omfattas av särskilda EU-förordningar,
• flyg- och bilprodukter som regleras i sektorsspecifik lagstiftning,
• marin utrustning.

Centrala krav för tillverkare

Säker utformning

Tillverkare måste integrera cybersäkerhet i sin produktdesign och produktutveckling. Det omfattar bland annat säkra standardkonfigurationer, lämpliga krypteringsnivåer och mekanismer för åtkomstkontroll.

Riskbedömning och minskning av risker

• Tillverkare är skyldiga att göra en riskbedömning och hålla den uppdaterad, och att vidta åtgärder för att hantera upptäckta sårbarheter under produktens livscykel.
• Om tillverkare använder komponenter eller tjänster från tredje part måste de utöva tillbörlig aktsamhet när de integrerar dem i sina produkter.

Insyn och dokumentation

Tillverkare måste tillhandahålla tydlig och omfattande dokumentation, däribland

• en beskrivning av produktens cybersäkerhetsegenskaper,
• instruktioner för säker installation, konfiguration och användning,
• information om hur sårbarheter ska rapporteras,
• en försäkran om överensstämmelse för att bekräfta efterlevnaden av förordningen.

Rapportering av incidenter

Tillverkarna måste

• rapportera allvarliga cybersäkerhetsincidenter och aktivt utnyttjade sårbarheter till relevanta nationella myndigheter och Europeiska unionens cybersäkerhetsbyrå (Enisa) utan onödigt dröjsmål,
• upplysa användare om potentiella risker och ge vägledning om hur de kan minskas.

Uppdateringar av programvara och support

• Tillverkare måste tillhandahålla säkerhetsuppdateringar under produktens supporttid, vilken måste återspegla den tidsperiod då produkten förväntas användas.
• Uppdateringarna måste ta itu med sårbarheter och säkerställa produktens fortsatta säkerhet.

Skyldigheter för importörer och distributörer

Genom förordningen läggs också ansvar på importörer och distributörer att säkerställa att produkterna uppfyller krav på cybersäkerhet.

• Importörer måste verifiera att tillverkare har efterlevt förordningen och säkerställa att produkter är korrekt märkta och dokumenterade.
• Distributörer måste säkerställa att produkter har CE-märkningen och att information och instruktioner till användaren har tillhandahållits, innan de görs tillgängliga på marknaden.
• Produkter ska bära CE-märkningen för att visa att de stämmer överens med kraven i cyberresiliensförordningen.
• Icke-EU-tillverkare måste efterleva förordningen för att få tillträde till EU-marknaden, och potentiellt påverka de globala cybersäkerhetsstandarderna.

Kontroll av efterlevnaden

För att säkerställa efterlevnad fastställs en robust verkställighetsram i förordningen.

• Nationella kontrollmyndigheter kommer att övervaka efterlevnaden och utföra inspektioner.
• Bristande efterlevnad kan leda till betydande påföljder, vilka kan inbegripa
  • böter upp till 2,5 % av tillverkarens globala årsomsättning,
  • förbud mot eller begränsning av en produkts tillgänglighet,
  • beslut om att en produkt ska dras in eller återkallas.
• Medlemsstaternas myndigheter ska dela information och samordna sina verkställighetsåtgärder.