Yttrande från Europeiska ekonomiska och sociala kommittén om Förslag till Europaparlamentets och rådets förordning om övergripande cybersäkerhetskrav för produkter med digitala element och om ändring av förordning (EU) 2019/102

(COM(2022) 454 final – 2022/0272(COD))

(2023/C 100/15)

Föredragande:	Maurizio MENSI
Medföredragande:	Marinel DĂNUȚ MUREŞAN

Remiss	Europaparlamentet, 9.11.2022 Europeiska unionens råd, 28.10.2022
Rättslig grund	Artikel 114 i fördraget om Europeiska unionens funktionssätt
Ansvarig sektion	Inre marknaden, produktion och konsumtion
Antagande av sektionen	10.11.2022
Antagande vid plenarsessionen	14.12.2022
Plenarsession nr	574
Resultat av omröstningen (för/emot/nedlagda röster)	177/0/0

1.   Slutsatser och rekommendationer

1.1

Europeiska ekonomiska och sociala kommittén (EESK) välkomnar kommissionens förslag till cyberresiliensakt för att fastställa högre cybersäkerhetsstandarder i syfte att skapa ett tillförlitligt system för de ekonomiska aktörerna och säkerställa en säker användning av produkterna på marknaden för EU-medborgarna. Det handlar om ett initiativ som ingår i EU-strategin för data, som stärker säkerheten för data, inklusive personuppgifter, och de grundläggande rättigheterna, som är väsentliga förutsättningar för vårt digitala samhälle.

1.2

EESK anser att det är mycket viktigt att stärka de kollektiva insatserna mot cyberattacker och konsolidera processen för harmonisering i fråga om cybersäkerhet på nationell nivå vad gäller regler och operativa verktyg, för att förhindra att olika nationella strategier skapar rättslig osäkerhet och rättsliga hinder.

1.3

Kommittén välkomnar kommissionens initiativ, som inte bara kan bidra till att minska de betydande kostnaderna för företag till följd av cyberattacker, utan också kommer att ge medborgarna/konsumenterna möjlighet att åtnjuta ett bättre skydd av sina grundläggande rättigheter, såsom integritet. I synnerhet visar kommissionen att de små och medelstora företagens särskilda behov beaktas vad gäller tillhandahållandet av certifieringsmyndigheternas tjänster. EESK framhåller dock behovet av att förtydliga tillämpningskriterierna.

1.4

EESK anser att det är viktigt att påpeka att även om det är lovvärt att cyberresiliensakten täcker praktiskt taget alla digitala produkter, kan det uppstå problem med den praktiska tillämpningen av akten med tanke på den omfattande och komplexa kontroll och tillsyn som den medför. Därför måste övervaknings- och kontrollverktygen förstärkas.

1.5

Kommittén noterar behovet av att exakt klargöra cyberresiliensaktens materiella tillämpningsområde, med särskild hänvisning till produkter med digitala element och programvara.

1.6

EESK konstaterar att tillverkarna kommer att vara skyldiga att rapportera dels produkternas sårbarheter, dels eventuella säkerhetsincidenter till Europeiska unionens cybersäkerhetsbyrå (Enisa). I detta avseende är det viktigt att Enisa ges nödvändiga resurser för att kunna utföra de viktiga och känsliga uppgifter som byrån anförtros i tid och på ett effektivt sätt.

1.7

För att undvika osäkerhet om tolkningen föreslår EESK att kommissionen utarbetar särskilda riktlinjer för att vägleda tillverkare och konsumenter om de specifika regler och förfaranden som är tillämpliga, eftersom det verkar som om åtskilliga produkter som omfattas av förslaget också omfattas av annan cybersäkerhetslagstiftning. I detta avseende är det också viktigt att i synnerhet mikroföretag samt små och medelstora företag har tillgång till kvalificerat expertstöd som kan tillhandahålla särskilda yrkesmässiga tjänster.

1.8

EESK noterar att förhållandet mellan certifieringsmyndigheterna enligt cyberresiliensakten och andra organ med befogenhet att certifiera cybersäkerhet enligt andra rättsliga bestämmelser inte är helt klart. Samma problem avseende operativ samordning riskerar att uppstå även mellan de tillsynsmyndigheter som föreskrivs i det aktuella förslaget och dem som redan är verksamma enligt andra rättsakter som gäller för samma produkter.

1.9

EESK konstaterar att förslaget ålägger certifieringsmyndigheterna en betydande arbetsbörda och ett betydande ansvar. Man måste se till att de faktiskt kan utföra sitt arbete, bl.a. för att förhindra att cyberresiliensakten leder till en ökad administrativ börda och därmed inverkar negativt på tillverkare som måste uppfylla en rad ytterligare certifieringskrav för att kunna fortsätta att vara verksamma på marknaden.

2.   Analys av förslaget

2.1

Med förslaget till cyberresiliensakt vill kommissionen rationalisera och omforma den gällande cybersäkerhetslagstiftningen på ett heltäckande och övergripande sätt och samtidigt uppdatera den mot bakgrund av tekniska innovationer.

2.2

Cyberresiliensakten har i huvudsak fyra mål: att säkerställa att tillverkarna förbättrar säkerheten för produkter med digitala element under utformnings- och utvecklingsfasen och genom produkternas hela livscykel, att säkerställa en sammanhängande ram med cybersäkerhetsregler, som underlättar hårdvaru- och programvarutillverkarnas efterlevnad, att förbättra transparensen när det gäller säkerhetsegenskaperna hos produkter med digitala element, och att möjliggöra en säker användning av produkter med digitala element för företag och konsumenter. Kortfattat införs genom förslaget en CE-märkning för cybersäkerhet, som ska anbringas på alla produkter som omfattas av cyberresiliensakten.

2.3

Detta är en övergripande åtgärd genom vilken kommissionen avser att reglera hela området på ett heltäckande sätt, eftersom den omfattar praktiskt taget alla produkter med digitala element. De enda produkter som inte omfattas är medicintekniska produkter, de som rör civil luftfart, fordon samt militära produkter. Förslaget omfattar inte heller SaaS-tjänster (molntjänster), såvida de inte används för att utveckla produkter med digitala element.

2.4

Definitionen av ”produkt med digitala element” är mycket bred och omfattar alla programvaru- och hårdvaruprodukter samt programvara eller hårdvara som inte är inbyggd i produkten utan släpps ut på marknaden separat.

2.5

Genom akten införs obligatoriska cybersäkerhetskrav för produkter med digitala element under hela deras livscykel, men den ersätter inte redan gällande krav. Produkter som redan har certifierats som överensstämmande med befintliga EU-standarder kommer i stället att anses vara ”giltiga” även enligt den nya förordningen.

2.6

Den grundläggande allmänna principen är att bara ”säkra” produkter ska saluföras i Europa och att tillverkarna ska uppträda på ett sådant sätt att dessa produkter förblir säkra under hela sin livscykel.

2.7

En produkt anses vara ”säker” om den är utformad och tillverkad på ett sådant sätt att den har en säkerhetsnivå som är anpassad till de cyberrisker som användningen av den medför, inte har några kända sårbarheter då den säljs, har en säker standardkonfiguration, är skyddad från olagliga anslutningar, skyddar de data som samlas in och bara samlar in data som tjänar dess funktion.

2.8

En tillverkare anses lämplig att saluföra sina produkter om den gör förteckningen över de olika programvarukomponenterna i sina produkter tillgänglig, snabbt utfärdar kostnadsfria avhjälpande åtgärder i händelse av nya sårbarheter, offentliggör och i detalj redogör för de sårbarheter som den upptäcker och löser samt regelbundet kontrollerar ”robustheten” hos de produkter som den saluför. Dessa och övriga åtgärder som föreskrivs i cyberresiliensakten måste utföras under en produkts hela livstid, eller i minst fem år efter det att den har släppts ut på marknaden. Tillverkaren är skyldig att se till att sårbarheter undanröjs genom regelbundna programvaruuppdateringar.

2.9

Enligt en allmän princip som tillämpas inom olika sektorer åläggs även importörer och distributörer dessa skyldigheter.

2.10

I cyberresiliensakten föreskrivs en makrokategori av så kallade normala produkter och programvaror för vilka man kan förlita sig på en självbedömning av tillverkaren, såsom redan är fallet för andra typer av certifiering med CE-märkning. Enligt kommissionen tillhör 90 % av produkterna på marknaden denna kategori.

2.11

Produkterna i fråga får släppas ut på marknaden efter en självbedömning av deras cybersäkerhet av tillverkaren, som ska lägga fram lämplig dokumentation i enlighet med riktlinjerna i lagstiftningen. Tillverkaren måste upprepa bedömningen om produkten ändras.

2.12

Resterande 10 % av produkterna är indelade i två andra kategorier (klass I, mindre farliga, och klass II, farligare), vars utsläppande på marknaden kräver större uppmärksamhet. Dessa är så kallade kritiska produkter med digitala element, där fel kan leda till andra farliga och bredare säkerhetsöverträdelser.

2.13

För produkter i dessa två klasser är grundläggande egenförsäkran bara tillåtet om tillverkaren kan visa att den har följt särskilda marknadsstandarder och säkerhetsspecifikationer eller cybersäkerhetscertifieringar som redan föreskrivs av EU. Om så inte är fallet kan den erhålla certifiering av produkten från ett ackrediterat certifieringsorgan, vilket är obligatoriskt för klass II-produkter.

2.14

Systemet för klassificering av produkter i riskkategorier ingår också i förslaget till förordning om artificiell intelligens (AI). För att undvika tvivel om vilka bestämmelser som är tillämpliga omfattar cyberresiliensakten produkter med digitala element som samtidigt klassificeras som ”AI-system med hög risk” i förslaget till AI-förordning. Sådana produkter måste i allmänhet genomgå det förfarande för bedömning av överensstämmelse som fastställs i AI-förordningen, med undantag för ”kritiska produkter med digitala element”, för vilka reglerna för bedömning av överensstämmelse i cyberresiliensakten kommer att gälla utöver de ”väsentliga kraven” i akten.

2.15

För att säkerställa att cyberresiliensakten efterlevs föreskrivs tillsyn som varje medlemsstat måste anförtro en nationell myndighet. I linje med lagstiftningen om andra produkters säkerhet får, om en nationell myndighet konstaterar att en produkts cybersäkerhetsegenskaper inte längre föreligger, den dras tillbaka från marknaden i det berörda landet. Enisa har befogenhet att i detalj bedöma en rapporterad produkt, och dess bedömningar kan, om en produkt konstateras vara osäker, leda till att produkten dras tillbaka från marknaden i EU.

2.16

Sanktionssystemet i cyberresiliensakten omfattar en rad sanktioner – i förhållande till hur allvarlig överträdelsen är – som vid överträdelse av de väsentliga kraven på produkters cybersäkerhet kan uppgå till 15 miljoner euro eller 2,5 % av föregående räkenskapsårs omsättning.

3.   Kommentarer

3.1

EESK välkomnar kommissionens initiativ att införa ett centralt inslag i det bredare lapptäcket av cybersäkerhetslagstiftning, i samordning med och som ett komplement till NIS-direktivet (1) och cybersäkerhetsakten (2). Höga cybersäkerhetsstandarder spelar en viktig roll när det gäller att skapa ett gediget EU-system för cybersäkerhet för alla ekonomiska aktörer, vilket kommer att bidra till att EU-medborgarna kan använda alla produkter på marknaden på ett säkert sätt och stärka deras förtroende för den digitala världen.

3.2

I förordningen angrips därför två problem: att många produkter håller en låg it-säkerhetsnivå och framför allt att många tillverkare inte tillhandahåller uppdateringar för att avhjälpa sårbarheterna. Tillverkarna av produkter med digitala element lider visserligen ibland anseendeskada när deras produkter är osäkra, men kostnaderna för sårbarheterna bärs främst av yrkesmässiga användare och konsumenter. Detta begränsar tillverkarnas incitament att investera i utformning och utveckling av säkra produkter och att tillhandahålla säkerhetsuppdateringar. Dessutom saknar företag och konsumenter ofta tillräcklig och korrekt information som gör att de kan välja säkra produkter, och de vet ofta inte hur de kan försäkra sig om att de produkter de köper är säkert konfigurerade. I de nya reglerna behandlas dessa båda aspekter genom att man tar itu med frågan om uppdateringar och tillhandahållande av aktuell information till kunderna. I detta avseende anser EESK att den föreslagna förordningen, om den tillämpas korrekt, skulle kunna bli ett riktmärke och en förebild vad gäller cybersäkerhet på internationell nivå.

3.3

EESK välkomnar förslaget om att införa it-säkerhetskrav för produkter med digitala element. Det kommer dock att vara viktigt att undvika överlappningar med andra gällande bestämmelser i denna fråga, såsom det nya NIS 2-direktivet (3) och AI-förordningen.

3.4

EESK anser att det är viktigt att påpeka att även om det är lovvärt att cyberresiliensakten täcker praktiskt taget alla digitala produkter, kan det uppstå problem med den praktiska tillämpningen av akten med tanke på den omfattande kontroll och tillsyn som den medför.

3.5

Aktens materiella tillämpningsområde är brett och omfattar alla produkter med digitala element. Enligt den föreslagna definitionen omfattas alla programvaru- och hårdvaruprodukter och deras databehandlingslösningar. EESK föreslår att kommissionen klargör om all programvara omfattas av den föreslagna förordningen.

3.6

Tillverkarna kommer att vara skyldiga att rapportera dels aktivt utnyttjade sårbarheter, dels säkerhetsincidenter. De måste informera Enisa om alla aktivt utnyttjade sårbarheter i produkten och (separat) om alla incidenter som påverkar produktens säkerhet senast 24 timmar efter det att de fått kännedom om dem. I detta avseende konstaterar EESK att Enisa måste ges tillräckliga resurser, i fråga om såväl antal som yrkesbakgrund, för att på ett effektivt sätt kunna utföra de viktiga och känsliga uppgifter som byrån anförtros i förordningen.

3.7

Det faktum att ett antal produkter som omfattas av förslaget också omfattas av annan cybersäkerhetslagstiftning kan leda till osäkerhet om vilken lagstiftning som är tillämplig. Även om cyberresiliensakten är avsedd att vara förenlig med EU:s nuvarande produktregelverk och med andra pågående förslag inom ramen för EU:s digitala strategi, överlappar t.ex. reglerna för AI-produkter med hög risk med reglerna i förordningen om behandling av personuppgifter. I detta avseende föreslår EESK att kommissionen utarbetar särskilda riktlinjer för att vägleda tillverkare och konsumenter beträffande en korrekt tillämpning.

3.8

EESK noterar att förhållandet mellan certifieringsmyndigheterna enligt cyberresiliensakten och eventuella andra organ med befogenhet att certifiera cybersäkerhet enligt andra rättsakter som också är tillämpliga inte förefaller helt klart.

3.9

Dessa certifieringsmyndigheter åläggs också en betydande arbetsbörda och ett betydande ansvar. Man måste kontrollera och se till att de faktiskt kan utföra sitt arbete, bl.a. för att förhindra att cyberresiliensakten leder till en ökning av tillverkarnas befintliga administrativa börda för att vara verksamma på marknaden. I detta avseende är det också viktigt att i synnerhet mikroföretag samt små och medelstora företag har tillgång till kvalificerat expertstöd som kan tillhandahålla särskilda yrkesmässiga tjänster.

3.10

Enligt cyberresiliensakten måste certifieringsmyndigheterna beakta de små och medelstora företagens särskilda behov i fråga om tillhandahållandet av sina tjänster. EESK framhåller dock behovet av att förtydliga tillämpningskriterierna.

3.11

Ett samordningsproblem riskerar dessutom att uppstå mellan de tillsynsmyndigheter som föreskrivs i denna förordning och dem som redan är verksamma enligt andra rättsakter som gäller för samma produkter. EESK föreslår därför att kommissionen uppmanar medlemsstaterna att vara vaksamma och vid behov vidta åtgärder för att avhjälpa detta.

---

(1)  Europaparlamentets och rådets direktiv (EU) 2016/1148 av den 6 juli 2016 om åtgärder för en hög gemensam nivå på säkerhet i nätverks- och informationssystem i hela unionen (EUT L 194, 19.7.2016, s. 1).

(2)  Europaparlamentets och rådets förordning (EU) 2019/881 av den 17 april 2019 om Enisa (Europeiska unionens cybersäkerhetsbyrå) och om cybersäkerhetscertifiering av informations- och kommunikationsteknik och om upphävande av förordning (EU) nr 526/2013 (cybersäkerhetsakten) (Text av betydelse för EES) (EUT L 151, 7.6.2019, s. 15).

(3)  Europaparlamentets och rådets direktiv (EU) 2022/2555 av den 14 december 2022 om åtgärder för en hög gemensam cybersäkerhetsnivå i hela unionen, om ändring av förordning (EU) nr 910/2014 och direktiv (EU) 2018/1972 och om upphävande av direktiv (EU) 2016/1148 (NIS 2-direktivet) (Text av betydelse för EES) (EUT L 333, 27.12.2022, s. 80).