Spørsmål og svar - Nye cybersikkerhetskrav til utstyr - RED og CRA
Se også vår nettartikkel om temaet Cybersikkerhetskrav i radioutstyrsdirektivet og Cyber Resilience Act
Generelt
Hvilke utstyr gjelder de nye kravene for?
- Radioutstyrsdirektivet 2014/53/EU (RED): Se delen under som gjelder RED.
- Cyber Resilience Act 2024/2847 (CRA): Se delen under som gjelder CRA.
Fra hvilken dato gjelder kravene?
For RED gjelder kravene til cybersikkerhet fra 1. august 2025. For CRA gjelder kravene fullt ut fra 11. desember 2027, med følgende to unntak:
- Kapittel IV om krav til tekniske kontrollorgan gjelder fra 11. juni 2026.
- Artikkel 14 om rapporteringsplikter for produsenter, gjelder fra 11. september 2026.
Hvem fører tilsyn med at kravene til cybersikkerhet blir overholdt?
Nkom har ansvar for å føre tilsyn med at kravene i RED til cybersikkerhet i radioutstyr er oppfylt.
Nkom følger opp arbeidet med å forberede regelverk og tilsyn med CRA.
Mitt firma har produsert/importert/distribuert et bestemt utstyr i mange år, men dessverre viser det seg at det ikke oppfyller de nye kravene til cybersikkerhet. Kan vi få dispensasjon fra de nye kravene en begrenset periode mens vi områr oss?
Norge er bundet av EØS-avtalen, og myndighetene må forholde seg til tidsfristene og kravene som fremgår av regelverket fra EU/EFTA.
Nye krav til cybersikkerhet i radioutstyrsdirektivet 2014/53/EU (RED)
Hvor finner jeg kravene beskrevet?
De nye kravene er spesifisert i Delegated regulation - 2022/30 - EN - EUR-Lex.
Hvilke utstyr gjelder de nye kravene for?
Det grunnleggende kravet som sikrer beskyttelse av nettet, gjelder for internett-tilkoblet radioutstyr. Med internett-tilkoblet radioutstyr menes radioutstyr som kan kommunisere selv over internett, enten det kommuniserer direkte eller via annet utstyr.
Det grunnleggende kravet som sikrer beskyttelse av personopplysninger, gjelder for følgende radioutstyr som kan behandle personopplysninger eller trafikkdata eller lokasjonsdata:
- internett-tilkoblet radioutstyr,
- radioutstyr som er laget for eller utelukkende beregnet for barnepass,
- radioutstyr som omfattes av leketøydirektivet, og
- radioutstyr laget for eller beregnet for, men ikke nødvendigvis utelukkende for, å bæres på, festes til eller henges fra hvilken som helst del av
- menneskekroppen, inkludert hode, nakke, torso, armer, hender, ben og føtter,
- alle klær, inkludert hodeplagg, håndtøy og fottøy, som bæres av mennesker.
Det grunnleggende kravet som sikrer beskyttelse mot svindel, gjelder for internett-tilkoblet radioutstyr som gjør det mulig for innehaveren eller brukeren å overføre penger, pengeverdi eller virtuell valuta.
På hvilken måte er kravene til cybersikkerhet i RED gjennomført i norsk rett?
Kravene til cybersikkerhet er tatt inn i forskrift 15.04.2016 nr. 377 om EØS-krav til radioutstyr (se https://lovdata.no/dokument/SF/forskrift/2016-04-15-377) og ved forskrift 17.04.2024 nr. 632 om endring i forskrift om EØS-krav til radioutstyr, se https://lovdata.no/dokument/LTI/forskrift/2024-04-17-632.
Hvilke standarder er relevante for cybersikkerhetskravene i RED?
Produsenter kan bruke følgende standarder for å dokumentere at kravene til cybersikkerhet i RED er oppfylt:
- EN 18031-1:2024: Common security requirements for radio equipment - Part 1: Internet connected radio equipment
- EN 18031-2:2024: Common security requirements for radio equipment - Part 2: radio equipment processing data, namely Internet connected radio equipment, childcare radio equipment, toys radio equipment and wearable radio equipment
- EN 18031-3:2024: Common security requirements for radio equipment - Part 3: Internet connected radio equipment processing virtual money or monetary value
Disse standardene kan kjøpes hos www.standard.no.
Hvilke samsvarsprosedyrer kan brukes for vise at samsvar med cybersikkerhetskravene er oppfylt?
Ovennevnte standarder i EN 18031-seriene ble 30. januar 2025 listet i Den europeiske unions tidende med begrensninger. Det betyr at så lenge det aktuelle utstyret ikke omfattes av begrensningene, så gir standardene antakelse om samsvar (presumption of conformity) og man har da mulighet til å anvende samsvarsprosedyre ved intern produksjonskontroll gitt i RED vedlegg II. Det er da ikke krav om å involvere et teknisk kontrollorgan i samsvarsvurderingen.
Dersom utstyret omfattes av begrensningene, kan samsvar kun dokumenteres ved bruk av samsvarsprosedyrene i RED vedlegg III eller vedlegg IV. I begge disse samsvarsprosedyrene må et teknisk kontrollorgan involveres.
Informasjon om begrensningene fremgår under kolonnen «Restriction (3)» i listen over harmoniserte standarder under RED i Den europeiske unions tidende, se Directive 2014/53/EU on radio equipment - Summary.
Hvilke regler gjelder for radioutstyr som er på lager?
Radioutstyr som allerede er på lager i EØS når de nye kravene trer i kraft, kan omsettes selv om de nye kravene til cybersikkerhet ikke er oppfylt. Utstyr som produseres i EØS, eller importeres til EØS, må oppfylle de nye kravene fra og med 1. august 2025. NB! Dette gjelder for hver enkelt enhet av et produkt.
Vil de nye kravene ha tilbakevirkende effekt og påvirke produktene sluttbruker allerede har anskaffet, eller gjelder de nye kravene kun for produkter som blir omsatt etter datoen for innføring av kravene?
Kravet vil ikke ha tilbakevirkende effekt på allerede omsatt utstyr. Nå har produsenter, importører og selgere tiden fram til 1. august 2025 til å sette seg inn i nye standarder for cybersikkerhet, og sørge for at alle disse produktene følger nye krav til cybersikkerhet. Dersom produkter fra 1. august 2025 ikke oppfyller de nye kravene, vil de risikere å bli plukket ned fra butikkhyllene. Men det vil ikke skje tilbakekalling av allerede solgte produkter. Se eget punkt om produkter på lager før 1. august 2025.
Kan dere utdype hva de nye EU kravene er og hvordan det påvirker ioT-utstyr? Kom gjerne med et eksempel til slik at det blir lettere for meg å forstå.
- De nye kravene, som også gjelder IoT-utstyr, gir krav til bl.a. Autentisering, f.eks. med passord
- Sikker lagring
- Sikker kommunikasjon
- Kryptering
- Oppdatert programvare og maskinvare
- Brukerdokumentasjon
- Validering av inngangsverdier
- Sikre kommunikasjonsmekanismer
- Sikre mekanismer for oppdatering
De detaljerte kravene er gitt i de tre standardene i EN 18031-serien. Produsenter av utstyr som er omfattet av kraven må sette seg detaljert inn i disse standardene og sørge for at produktene de produserer følger kravene. Dersom produsenten ikke selv har nok kompetanse innenfor dette området anbefaler vi sterkt å ta kontakt med et sertifiseringsorgan/testhus med akkreditering for de aktuelle standardene for å få hjelp.
Har dere konkrete eksempler på produkter i salg i Norge som kan bli forbudt?
Alt radioutstyr som kan kobles til internett må følge de nye EU-kravene som gjelder fra 1. august 2025.
Det vil også gjelde egne krav for radioutstyr som er laget for eller utelukkende beregnet for barnepass, radioutstyr som omfattes av leketøydirektivet, og radioutstyr beregnet for å bæres på, festes til eller henges fra hvilken som helst del av menneskekroppen eller klær som bæres av mennesker og som kan behandle personopplysninger eller trafikkdata eller lokasjonsdata.
Produkter som ikke følger de nye cybersikkerhetskravene fra denne datoen, kan risikere å bli plukket bort fra butikkhyllene eller fjernet fra markedet. Dette gjelder ikke produktene solgt før 1. august.
Hva skjer med cybesikkerthetskravene i RED når kravene i CRA begynner å gjelde
Da CRA vil ha et videre produktomfang enn radioutstyr som omfattes av RED vil cybersikkerhetskravene i RED opphøre å gjelde fra 11. desember 2027. Fra denne datoen vil det være kravene i CRA som gjelder.
Nye krav til cybersikkerhet i forordning om cybersikkerhet 2024/2847 (CRA)
Hvilke produkter gjelder de nye kravene for?
Forordningen gjelder produkter med digitale elementer hvor tiltenkt formål, eller rimelig påregnelig bruk, omfatter direkte eller indirekte logisk eller fysisk dataforbindelse til en enhet eller nett. Dette vil omfatte det meste av elektronisk utstyr på markedet i dag.
Produkter med digitale elementer omfatter både maskinvare og programvare.
Det er noen unntak fra kravene i CRA, blant annet for enkelte produkter med digitale elementer som omfattes av annet regelverk (se eget punkt med unntak lengre ned).
Her er noen eksempler på produkter med digitale elementer (ikke uttømmende):
Sluttbrukerutstyr |
|
Programvare |
|
Komponenter (både maskinvare og programvare): |
|
Hvilke produkter er unntatt fra kravene i forordningen?
Forordningen gjelder ikke for produkter med digitale elementer som om omfattes av følgende regelverk:
- forordning (EU) 2017/745 (medisinsk utstyr)
- forordning (EU) 2017/746 (medisinsk utstyr til in vitro-diagnostikk)
- forordning (EU) 2019 (EU) 2019/2144 (motorvogner og deres tilhengere)
- sertifisert etter forordning (EU) 2018/1139 (sivil luftfart)
- direktiv 2014/90/EU (skipsutstyr)
Forordningen gjelder heller ikke i noen andre spesialtilfeller, jf. artikkel 2 i forordningen.
Hvilke standarder er relevante for å vise samsvar med kravene i forordningen?
Standardene blir utarbeidet i tiden fram til forordningen trer i kraft 11. desember 2027.
Hvor kan jeg finne svar på flere spørsmål til CRA?
Europakommisjonen har en egen nettside med spørsmål og svar om CRA, se Cyber Resilience Act - Questions and Answers.