Cyber Resilience Act er en forordning, der er en del af i den europæiske strategi for cybersikkerhed. Ambitionen er at styrke cybersikkerheden i produkter med digitale elementer og dermed øge tilliden og samtidig sikre retssikkerheden.
Med forordningen følger fælleseuropæiske cybersikkerhedskrav for alle, der fremstiller og udvikler produkter med digitale elementer, herunder både software og hardware.
Forordningens krav gælder fra 11. december 2027. Der er dog enkelte krav der gælder allerede fra 2026.
Formålet er at sikre, at de digitale produkter, der kommer på markedet, har færre sårbarheder. Samtidig er det ambitionen at gøre det lettere for forbrugerne at gennemskue cybersikkerheden, når de vælger og bruger produkter med digitale elementer.
Det udmønter sig konkret i krav gennem hele produktets levetid og som konsekvens heraf, skal producenterne offentliggøre en forventet levetid på produktet. Fokus på produktets livscyklus betyder at cybersikkerhed skal tænkes ind fra design til udfasning af produktet. Fx via håndtering af sårbarheder gennem softwareopdateringer.
Produkter skal udvikles, således de har et passende niveau af sikkerhed afhængigt af en risikovurdering og den forventede brug af produktet.
Lovgivningen dækker ikke produkter, som allerede er underlagt cybersikkerhedskrav i eksisterende sektorspecifikke EU-regler, fx medicinsk udstyr, luftfart og køretøjer. Lovgivningen dækker heller ikke produkter, der alene er udviklet til nationale sikkerhedsformål eller militære formål.
Forordningen skelner mellem kritiske, vigtige og ikke-kritiske produkter, som har betydning for, hvordan man i praksis skal leve op til kravene. Der er defineret forskellige produkttyper, afhængig af produktets applikation, som er med til at bestemme, hvilken kategori som et produkt falder under.
Ved ikke-kritiske produkter er der krav om selvevaluering. De vigtige produkter er delt op i to risikoklasser, klasse I (lavere risiko) og klasse II (højere risiko). De vigtige produkter med lavere risiko er underlagt krav om at anvende cybersikkerhedsstandarder eller tredjepartsvurderinger, mens produkterne i klassen med højere risiko er underlagt krav om tredjepartsvurdering. De kritiske produkter er underlagt obligatorisk EU-certificering.
Med forordningen følger også krav om, at virksomheder skal rapportere eventuelle sikkerhedsbrud til EU's cybersikkerhedsmyndighed, ENISA, inden for 24 timer. Overtrædelse af reglerne i forordningen kan medføre betydelige bøder på op til 15 millioner euro eller 2,5 procent af en virksomheds globale omsætning. Derudover kan fabrikanter, hvis de ikke lever op til kravene, blive pålagt at fjerne eller tilbagekalde produkter fra markedet.
De mere tekniske krav indebærer bl.a., at et produkt ikke må indeholde kendte sårbarheder, når det sættes på markedet, det skal beskyttes mod uautoriseret adgang, det skal designes, så konsekvensen ved et angreb minimeres, og der skal være mulighed for at sikkerhedsopdatere software/firmware.
Hvordan kravene præcist skal tolkes, vil blive nærmere beskrevet i en eller flere harmoniserede standarder. Disse standarder er under udvikling af eksperter fra hele Europa og skal være færdige i 2026.
Da forordningen dækker bredt og har fokus på hele forsyningskæden, vil de kommende krav ramme både producenter, importører og distributører af hardware- og/eller softwareprodukter med digitale elementer. Producenterne har pligt til at sikre sig, at de digitale produkter opfylder cybersikkerhedskrav og gennemgår overensstemmelsesvurderinger, før de sættes på markedet. Producenterne er også ansvarlige for cybersikkerheden gennem produktets livscyklus. Derudover skal de registrere teknisk dokumentation og overholde kravene til rapportering af cybersikkerhedsbrud. Importører må kun markedsføre produkter med digitale elementer, der opfylder de væsentlige cybersikkerhedskrav og er CE-mærket. Distributører har ansvar for at sikre, at producenter og importører har overholdt deres forpligtelser i henhold til forordningen og skal bekræfte, at de digitale produkter er CE-mærket.
Cyber Resilience Act har en tæt kobling til standarder, da Europa-Kommissionen gennem en standardiseringsanmodning har bedt de formelle europæiske standardiseringsorganisationer (CEN, CENELEC og ETSI) om at udarbejde en række standarder, der skal hjælpe virksomhederne med at leve op til lovgivningen.
Det betyder, at virksomheder, der skal leve op til lovgivningen, kan dokumentere at de gør det ved at følge disse standarderne. Dette kan de dokumentere via selvevaluering eller tredjepartsevalueringer.
Europa-Kommission har bedt om at der udvikles standarder der imødekommer 15 horisontale krav (procesorienterede standarder om f.eks. sårbarhedshåndtering) samt 26 vertikale krav (produktspecifikke standarder til f.eks. password managers, legetøj der er koblet til internettet, smart home produkter). Disse standarder er pt. under udarbejdelse og er planlagt til at udkomme med udgangen af 2026.
Danmark bidrager aktivt til at udvikle de kommende standarder under Cyber Resilience Act, og arbejdet kan følges via Dansk Standards udvalg for cyber- og informationssikkerhed. Du har også mulighed for at følge arbejdet tæt som medlem af udvalget.
Vil du følge arbejdet med udviklingen af de nye standarder under Cyber Resilience Act? Så bliv en del af Dansk Standards udvalg for cyber- og informationssikkerhed, hvor der direkte mulighed for at involvere sig i arbejdet.
Læs mere om udvalget
