CRA – Nya lagkrav för saker

Från babymonitorer till trygghetslarm – nu kommer cybersäkerhetslagen för vanliga prylar.
Produkter och mjukvaror som omfattar en digital komponent är i stor utsträckning närvarande i våra dagliga liv. Mindre uppenbar för många användare är den säkerhetsrisk som sådana produkter och programvaror kan innebära. Det menar EU, som därför lanserar ett nytt direktiv i början av 2024.

Lagen träder i kraft i Sverige i början av 2027.

Digitala komponenter - säkerhetsrisk
Cyber Resilience Act (CRA) syftar till att skydda konsumenter och företag som köper eller använder produkter eller programvaror med en digital komponent. Lagen ska se till att otillräckliga säkerhetsfunktioner blir ett minne blott. Genom införandet av obligatoriska cybersäkerhetskrav för tillverkare och återförsäljare av produkter som innehåller digitala komponenter – med ett skydd som sträcker sig under produktens livscykel.

CRA blir den femte av nya lagtexter som syftar till att utveckla en säker digitalisering i Europa och i Sverige. Inom loppet av tre år blir alla fem införlivade i svensk lag.

Dubbla syften
Det är två problem som tas upp i förordningen.

För det första, den otillräckliga cybersäkerhet som är inbyggd i många produkter eller otillräckliga säkerhetsuppdateringar av produkter och programvaror.

För det andra, konsumenter och företag har små möjligheter att avgöra vilka produkter som är cybersäkra eller har svårt att ställa in dem på ett sätt som säkerställer att produkternas cybersäkerhet skyddas.

Vardagens prylar – säkerhetshot?
CRA-lagstiftningen bidrar säkert till att många av oss nu kommer att börja fundera över om vår elektroniska kommunikation och digitala utrustning verkligen är säker.

Vi behöver framöver fundera på att köpa terminalutrustning och andra digitala prylar som är godkända ur ett cybersäkerhetsperspektiv. Om robotdammsugaren i vardagsrummet har kapacitet att kartlägga våra samtalsämnen. Om rakapparaten kan indikera var vi tillbringar vår semester.

Framför allt kommer många företag att behöva fundera på om den egna maskinparken kan komma att äventyra kundernas säkerhet och integritet.

Ny CE-märkning – bättre köp
När förordningen träder i kraft kommer programvara och produkter som är anslutna till internet att vara CE-märkta för att indikera att de uppfyller de nya standarderna. Genom att kräva att tillverkare och återförsäljare prioriterar cybersäkerhet, kommer konsumenter och företag att kunna göra bättre och mer informerade val, med bekräftelsen av de cybersäkerhetsuppgifter som anges för CE-märkta produkter.

Seminarier i vår
Sverige ligger efter andra länder i 5G-utbyggnaden men har nu möjlighet att accelerera utvecklingen i samband med introduktionen av CRA. Förslagsvis blir kommande EU-lagstiftning utifrån CRA-, EAA-, NIS 2- och RCE-direktiven en sådan anledning att bygga ut säkrare och mer funktionella nät i samhället.

Även många bostäder i Sverige blir i en snar framtid föremål för nätutbyggnad – med högre lagstadgade krav på cybersäkerhet. Den 19 mars inleds med seminariet NIS 2-teknik - Allmännyttans fastighetsbolag. Då sammanfattas det ansvar som kommuner och kommunalt ägda fastighetsbolag har när vården flyttar in i allmännyttans bostäder.

Kontakta gärna Teknikmarknad, till exempel genom att svara på detta email, för mer information om projektet 5G i byggnad, eller om du är intresserad av kommande strategimöten, seminarier eller Användarföreningen. Du anmäler dig till seminarierna på projektets seminariehemsida – www.teknikhuset.org.

Du hittar alla tidigare veckobrev på https://www.5gibyggnad.se/letters.