Europakommisjonen la 15. september 2022 frem forslag om regulering av krav til cybersikkerhet i digitale produkter og programvare (Cyber Resilience Act, CRA). Reguleringen vil gjelde for alle produkter som er koblet direkte eller indirekte til en annen enhet eller et annet nettverk.

Omfanget er svært bredt og vil gjelde alt fra eksempelvis smartklokker og leketøy til rutere og brannmurer samt programvare som benyttes i produktene.  

Dette vil ny lovgivning innebære

  • regler for markedsføring av produkter med digitale elementer for å sikre produktenes nettsikkerhet, 
  • krav til design, utvikling og produksjon av produkter med digitale elementer, og forpliktelser for virksomhetene knyttet til disse produktene, 
  • krav til sårbarhetshåndteringsprosessene som produsentene skal innføre for å sikre cybersikkerheten til produkter med digitale elementer gjennom hele livssyklusen, og forpliktelser for virksomhetene i disse prosessene. Produsentene vil også måtte rapportere aktivt utnyttede sårbarheter og hendelser
  • regler om markedsovervåking og håndheving 

Nkom positive til nytt lovverk

I radioutstyrsdirektivet (2014/53/EU), som Nasjonal kommunikasjonsmyndighet følger opp som ansvarlig tilsynsmyndighet, er det allerede fastsatt krav for å forbedre cybersikkerheten i radioutstyr. Kravene som er foreslått i ny regulering vil innebære en utvidelse ved at de fleste digitale produkter og programvare nå blir omfattet. Dette vil gi en mer komplett regulering av den digitale sikkerheten til produktene. Det vil også bidra til at man kan være tryggere på bruken av produktene og gjøre det vanskeligere å få til ondsinnede angrep på viktige tjenester og infrastruktur.

Som ved innføringen av kravene i radioutstyrsdirektivet er Nkom i utgangspunktet positive til at man innfører regulering på dette viktige området. Vi oppfordrer likevel til at markedsaktørene gir sin mening. 

Innspill til høringen

Høringen fra Kommisjonen er åpen for alle som ønsker å gi innspill. Nkom oppfordrer spesielt produsenter av digitalt utstyr til å benytte muligheten til å se på forslaget og gi innspill. Innspill kan gis via Cyber resilience act – new cybersecurity rules for digital products and ancillary services (europa.eu) frem til 22. november 2022. 

Lenke til EU kommisjonens pressemelding

Lenke til lovforslaget

Faktaark om forslaget