Cybersikkerhetskrav i radioutstyrsdirektivet og Cyber Resilience Act
I takt med den økende digitaliseringen og tilkoblingen av enheter, blir behovet for robuste cybersikkerhetskrav stadig viktigere. EU har derfor innført nye regler for å sikre at radioutstyr og andre digitale produkter oppfyller krav til cybersikkerhet. Her gis det en oversikt over de nye cybersikkerhetskravene i radioutstyrsdirektivet 2014/53/EU (RED) og de fremtidige horisontale kravene i Cyber Resilience Act (CRA).
Radioutstyrsdirektivet (RED) - Artikkel 3.3 d, e og f
Radioutstyrsdirektivet har vært gjeldende siden 2016. Gitt den økende trusselen fra cyberangrep har EU-kommisjonen styrket kravene til cybersikkerhet i direktivet. Disse er detaljert i Delegated regulation - 2022/30 og i norsk lov gjennom Forskrift om endring i forskrift om EØS-krav til radioutstyr. Fra 1. august 2025 må alt relevant radioutstyr overholde følgende nye krav:
- Artikkel 3.3 d: Internett-tilkoblet radioutstyr skal ikke skade nettverket eller dets funksjon, eller misbruke nettverksressurser. Med internett-tilkoblet radioutstyr menes radioutstyr som kan kommunisere selv over internett, enten det kommuniserer direkte eller via annet utstyr.
- Artikkel 3.3 e: Internett-tilkoblet radioutstyr, radioutstyr som er leketøy eller er beregnet for barnepass samt radioutstyr som er beregnet på å bæres på, festes til eller henges fra kroppen skal inneholde sikkerhetstiltak for å beskytte personopplysninger og personvernet til brukeren. Dette vil bare gjelde dersom utstyret kan behandle personopplysninger, trafikkdata eller lokasjonsdata.
- Artikkel 3.3 f: Internett-tilkoblet radioutstyr som gjør det mulig for innehaveren eller brukeren å overføre penger, pengeverdi eller virtuell valuta skal støtte funksjoner som sikrer beskyttelse mot svindel.
Disse kravene er ment å sikre at radioutstyr som mobiltelefoner, smartklokker, leker og annet IoT-utstyr er trygge å bruke og redusere risikoen for cyberangrep eller svindel.
Dette innebærer at radioprodukter må oppfylle krav til blant annet:
- Autentisering (for eksempel med passord)
- Sikker lagring
- Sikker kommunikasjon
- Kryptering
- Oppdatert programvare og maskinvare
- Brukerdokumentasjon
- Validering av inngangsverdier
- Sikre kommunikasjonsmekanismer
- Sikre mekanismer for oppdatering
Harmoniserte standarder
Den europeiske standardiseringsorganisasjonen (CEN) har nå publisert tre standarder som er ment å støtte oppfyllelsen av de grunnleggende kravene i RED artikkel 3.3 d, e og f. Produsenter kan bruke standardene for å dokumentere samsvar med disse grunnleggende kravene.
De tre standardene er:
- EN 18031-1:2024: vektlegger at radioutstyr ikke skal skade nettverket eller dets funksjon eller misbruke nettverksressurser. Dette skal hindre en uakseptabel forringelse av tjenesten, i samsvar med RED artikkel 3.3 (d).
- EN 18031-2:2024: Fastsetter at radioutstyr skal inneholde sikkerhetstiltak slik at personopplysningene og personvern beskyttes. Dette kravet er i henhold til RED artikkel 3.3 (e).
- EN 18031-3:2024: Fastsetter at radioutstyr skal støtte visse funksjoner som sikrer beskyttelse mot svindel, i tråd med RED artikkel 3.3 (f).
Disse standardene kan kjøpes hos Standard Online.
Standardene er listet i Den europeiske unions tidende og vil dermed gi antakelse om samsvar (presumption of conformity) for produkter som tilfredsstiller kravene i standardene. Listingen har imidlertid visse begrensninger som betyr at disse standardene ikke gir antakelse om samsvar med de grunnleggende kravene for delene av standardene som omfattes av begrensningene.
Begrensningene går fram av kolonne «Restriction (3)» i raden for den enkelte standard i listen over harmoniserte standarder under RED, se Directive 2014/53/EU on radio equipment - Summary.
Cyber Resilience Act
I tillegg til cybersikkerhetskravene i radioutstyrsdirektivet, har EU også introdusert Cyber Resilience Act (CRA), som setter horisontale krav til cybersikkerhet for alle produkter med digitale elementer. Utstyr som faller inn under virkeområdet til CRA vil måtte tilfredsstille kravene fra 11. desember 2027. Virkeområdet vil dekke utstyr som i dag faller inn under RED, og fra dette tidspunktet vil derfor ikke lenger cybersikkerhetskravene i RED artikkel 3.3 d, e og f gjelde.
Produsenter må være oppmerksomme på at CRA innfører en rapporteringsplikt som gjelder fra 11. september 2026. Det blir et krav om at produsenter som oppdager en sårbarhet i deres produkter skal rapportere dette til European Union Agency for Cybersecurity (ENISA). Det vil bli utviklet et eget rapporteringsverktøy for dette formålet.
Kort om CRA:
- Omfang: Cyber Resilience Act dekker et bredt spekter av produkter med digitale elementer, fra smartklokker og leker til rutere og brannmurer, samt programvare som brukes i disse produktene.
- Livssyklus: Produsenter blir ansvarlige for cybersikkerheten i produktene gjennom hele deres livssyklus, fra utviklings- og designfasen til fem år etter at produktet er plassert på markedet.
- Sikkerhetskrav: Produkter må oppfylle spesifikke sikkerhetskrav for å redusere sårbarheter og sikre at de ikke utgjør en risiko for brukere eller nettverk.
Europakommisjonen er i samarbeid med de europeiske standardiseringsorganisasjonene ETSI, CEN og CENELEC i gang med arbeidet med å utvikle harmoniserte standarder som produsenter skal kunne bruke for å dokumentere samsvar med kravene i CRA.
Har du ytterligere spørsmål eller trenger mer informasjon? Se Spørsmål og svar - Nye cybersikkerhetskrav til utstyr - RED og CRA.
Dersom det fremdeles er uklarheter så ta gjerne kontakt med oss på firmapost@nkom.no eller på telefon 22 82 46 00.