Høyttalere, TV-er, rutere, klokker og oppvaskmaskiner. Stadig flere produkter blir digitale og kan kobles til internett. Digitale produkter kan gjøre hverdagen enklere i norske hjem, men de kan også utgjøre en sikkerhetstrussel.

–⁠ Regelverket skal redusere sårbarheter og sikre at produsenter blir ansvarlige for cybersikkerheten til alle digitale produkter med nettilkobling. Folk i Norge skal beskyttes mot kriminelle som forsøker å bryte seg inn digital i våre hjem og produkter, derfor ønsker vi å innføre dette regelverket, sier digitaliserings- og forvaltningsminister Karianne Tung (Ap).

Tryggere digitale produkter

Regjeringen går nå i gang med å gjennomføre EUs forordning om cybersikkerhet i produkter med digitale elementer – Cyber Resilience Act (CRA). For produsenter av produktene som omfattes, betyr dette at de må tilpasse design, produksjon og samsvarsvurderinger til de nye kravene, som også vil også omfatte programvare. Det nye regelverket vil gjøre det tryggere for norske forbrukere å handle digitale produkter.

– Vi skjerper kravene til digitale produkter. Det vil redusere risikoen for cyberangrep og styrke tilliten til elektronikken vi kjøper. Det er viktig at vi kan være trygge på at det digitale utstyret vi bruker hjemme, er sikkert. Produsenter og importører må derfor tilpasse seg de nye standardene og sørge for at alle nye produkter oppfyller de nye kravene, sier Tung.

Regelverket skal gjelde fra 11. desember 2027, med enkelte bestemmelser som trer i kraft allerede i 2026. Produsentene gis dermed tid til å tilpasse seg lovverket.

Nkom får tilsynsansvaret

Regjeringen har besluttet at Nasjonal kommunikasjonsmyndighet (Nkom) får tilsynsansvaret for CRA.

Nkom har i dag ansvar for å følge opp radioutstyrsdirektivet, som fra 1. august 2025 ble utvidet med nye krav til cybersikkerhet for radioutstyr. Med CRA bygges denne kompetansen videre ut.

– Det å sikre at internettilkoblet utstyr er trygt og robust er et viktig samfunnsansvar. Dette ansvaret henger tett sammen med vårt arbeid med regulering av kunstig intelligens og radioutstyr. Når stadig flere tjenester og produkter kobles til nettet, må vi sørge for at sikkerheten følger med, både for forbrukere, næringsliv og kritisk infrastruktur, sier Espen Slette, avdelingsdirektør for Spektrumsavdelingen i Nkom.

Tidligere i år ble det klart at Nkom innfører strengere krav til sikkerhet for radioutstyr som er koblet til internett. Nå starter arbeidet med å gjøre digitale produkter tryggere og beskytte forbrukere mot hacking og svindel.

For Nkom innebærer utpekingen blant annet ansvar for:

  • markedskontroll av produkter omfattet av regelverket
  • mottak og håndtering av varsler om sårbarheter og hendelser
  • utpeking av tekniske kontrollorganer
  • samarbeid og koordinering med andre relevante myndigheter nasjonalt og internasjonalt

Hva er Cyber Resilience Act (CRA)?

  • Cyber Resilience Act er et nytt EU-regelverk for cybersikkerhet i «produkter med digitale elementer» – for eksempel PC-er, rutere, smart-TV-er, smarte klokker og alt annet utstyr som kan kobles til internett.
  • Målet er å gjøre digitale produkter sikrere ved å kreve at de er sikre fra start, tåler cyberangrep bedre og får sikkerhetsoppdateringer gjennom hele levetiden.
  • Reglene gjelder produsenter, importører og andre som plasserer slike produkter på markedet i EU/EØS.
  • Produsentene må blant annet:
    • bygge inn grunnleggende sikkerhet i produktet,
    • teste og følge opp sårbarheter,
    • komme med sikkerhetsoppdateringer,
    • varsle myndighetene om alvorlige sårbarheter og hendelser.
  • Produktene skal ha CE-merking som viser at de oppfyller sikkerhetskravene.
  • Regelverket gjelder fra 11. desember 2027, med enkelte plikter som gjelder allerede i 2026, blant annet produsentenes plikt til å rapportere om sårbarheter i produkter og prosedyrene for å utpeke tekniske kontrollorganer slik at de kan tilby sine tjenester.