’Cyber Resilience Act’ hedder lovudkastet som EU-Kommissionen netop har offentliggjort. Formålet er at styrke robustheden og modstandsdygtigheden af produkter, der er forbundet til internettet, og at gøre udviklere og fabrikanter af produkterne ansvarlige for deres cybersikkerhed gennem hele deres livscyklus. Da der er tale om en forordning, vil reglerne umiddelbart finde anvendelse i dansk ret. Når reglerne træder i kraft vil fabrikanterne have 24 måneder til at implementere de nye krav og forpligtigelse.

Store besparelser

EU-Kommissionen har identificeret to udfordringer, som forordningen skal adressere:

• manglende adgang til oplysninger om produkters cybersikkerhed, hvilket forhindrer forbrugere i at vælge produkter ud fra deres cybersikkerhedsfunktioner
• udbredte sårbarheder i produkters cybersikkerhed og utilstrækkelige levering af sikkerhedsopdateringer, som kan løse dem

Kommission ønsker med forordningen at adressere de to udfordringer, og sikre, at de hardware- og softwareprodukter der bringes på markedet har færre sårbarheder. Samtidig er ønsket at skabe betingelser, der gør det muligt for forbrugere at tage hensyn til cybersikkerhed, når de udvælger og bruger produkter med digitale elementer.

”Det er nødvendigt at tænke cybersikkerhed ind allerede i designfasen af produkter lige så snart, når man arbejder digitalt. Cyberusikkerheder – eller sårbarheder – i produkter kan nemlig også være skyld i hackerangreb med store omkostninger til følge.” siger Morten Rosted Vang, fagleder for digital ansvarlighed og cybersikkerhed, DI Digital.

Ifølge EU-kommissionen vil man med den nye lov mindske de store omkostninger, der er forbundet med  cyberangreb. Kommissionen vurderer at forordningen vil spare EU-borgere for 290 milliarder euro. Med de 29 milliarder det vil koste at implementere loven, betyder det altså en besparelse på knap to milliarder danske kroner.

Det ved vi nu om lovudkastet

Først og fremmest er det vigtigt at understrege, at lovteksten kan ændre sig i løbet af processen i EU, som DI vil følge tæt. Udkastet skal nemlig nu forhandles mellem kommissionen, EU-parlamentet og medlemsstaterne.

Udkastet lægger op til, at alle produkter med digitale elementer – både software og hardware bliver omfattet. Lovudkastet skelner mellem kritiske og ikke-kritiske produkter, som har betydning for hvordan man i praksis skal leve op til kravene.

Udkastet indeholder desuden en række krav til fabrikanter af hardware, softwareudviklere, distributører og importører, der bringer digitale produkter på EU-markedet. Kommissionen lægger bl.a. op til at produkterne skal:

• designes, udvikles og produceres så de opnår et passende niveau af cybersikkerhed
• leveres uden kendte sårbarheder og håndtere evt. sårbarheder der opstår i hele livscyklus
• afhængig af produkters risikoprofil skal de f.eks. leveres med ”security by default” som standardkonfiguration og beskyttes mod uautoriseret adgang
• Ligesom fabrikanten bl.a. skal kunne redegøre for cybersikkerhedsrisici ved produkter og gennemføre regelmæssige test af produkters cybersikkerhed

Desuden lægges der op til krav om at virksomhederne skal indrapportere eventuelle brud til EU’s cybersikkerheds-myndighed ENISA indenfor 24 timer.

Der er lagt op til store bøder, hvis reglerne ikke efterleves. Virksomheder vil kunne risikere, at betale op til 15 millioner euro eller 2,5 procent af den globale omsætning i bøde. Derudover kan fabrikanter blive pålagt at fjerne eller tilbagekalde produkter fra markedet, hvis produkterne ikke lever op til kravene.  

Et skridt i den rigtige retning

DI glæder sig over at dialogen med Kommissionen båret lovudkastet i en fornuftig retning. Forslaget fra Kommissionen baserer sig på principperne bag EU-produktlovgivning som i forvejen er kendt blandt de omfattede virksomheder. Samtidigt lægger det op til, at rydde op i det kludetæppe af krav, der ellers er på vej til fysiske produkter, der kan udsættes for cyberangreb. Det er meget positivt. Dog betyder forslaget også, at der fremover vil blive stillet krav til bl.a. software, hvilket er nyt i produktsammenhæng og kræver nærmere granskning.