EU’s Cyber Resilience Act (CRA) er resultatet af en længere politisk og regulatorisk proces, som har til formål at løfte cybersikkerheden på det indre marked – ikke kun for kritiske sektorer eller store virksomheder, men for alle digitale produkter og softwareløsninger, der sælges i EU. Med CRA har Kommissionen ønsket at etablere en fælles og bindende ramme for cybersikkerhed, som fra starten skal være indlejret i design, udvikling og vedligeholdelse af digitale produkter, hvad enten de er fysiske eller rent softwarebaserede.

CRA som lovkrav: Initiativet til CRA blev i første omgang annonceret som en del af EU’s Cybersecurity Strategy for the Digital Decade, der blev lanceret i december 2020. I denne strategi blev det tydeligt, at der manglede regulering af den enorme mængde hardware og software, som i dag udgør rygraden i det digitale samfund – især uden for de sektorer, der allerede var omfattet af fx NIS-direktiverne. 

Sikkerheden i disse produkter blev i vidt omfang overladt til markedet, og det betød store variationer i kvalitet og ansvar. CRA skulle rette op på dette og skabe et grundniveau af sikkerhed for alle digitale produkter i hele EU.

Kommissionen fremlagde sit forslag til forordning den 15. september 2022, og det blev hurtigt genstand for intense forhandlinger mellem Europa-Parlamentet, Rådet og medlemsstaterne. Det politiske fokus har i høj grad været rettet mod at finde balancen mellem på den ene side høje cybersikkerhedskrav og på den anden side ikke at kvæle innovation – særligt blandt små og mellemstore virksomheder, som ofte står bag nye digitale løsninger. 

Efter forhandlinger i trilog blev CRA vedtaget endeligt i april 2024 og offentliggjort i EU’s Tidende den 27. maj 2024. Dermed er den formelt trådt i kraft 20 dage senere, altså i juni 2024. Men som med mange EU-forordninger er den egentlige anvendelse udskudt, så virksomhederne har tid til at tilpasse sig. 

For virksomheder, der selv udvikler software, er der specifikke krav, som skal opfyldes for at sikre en robust og sikker udviklingsproces. Disse krav er ikke blot teoretiske – de udgør en praktisk vejledning for at undgå alvorlige sikkerhedsbrister og leve op til både regulatoriske og kundedrevne forventninger.

Cyber Resilience Act (CRA) implementerer nye EU-cybersikkerhedsregler der sikrer mere cyber resistent hardware og software på det europæiske marked.
Fra babymonitorer til smart-watches, produkter og software, der indeholder en digital komponent, er blevet en vigtig del af vores daglige liv.

Det er dog ikke mange brugere af sådanne devices der bekymrer sig om den sikkerhedsrisiko, som sådanne produkter og software kan udgøre. Det problem, som den foreslåede forordning behandler, er dobbelt. For det første er det utilstrækkelige niveau af cybersikkerhed, der er iboende i mange produkter, eller utilstrækkelige sikkerhedsopdateringer til sådanne produkter og software.

CRA er en forordning, ikke et direktiv. Det betyder, at den gælder direkte i alle EU-medlemsstater uden at skulle implementeres i national ret. Den faktiske anvendelse og håndhævelse træder derfor i kraft i december 2027, 36 måneder efter offentliggørelsen af forordningen.

I denne overgangsperiode skal både producenter, importører og distributører sikre, at deres produkter og processer lever op til kravene. Derudover er der særlige overgangsordninger for produkter, der allerede er sat på markedet, og for software, der løbende opdateres.

CRA indeholder også bestemmelser om sikkerhedsopdateringer, sårbarhedshåndtering, risikovurdering og dokumentation, hvilket betyder, at virksomheder skal opbygge processer, der minder om dem man kender fra f.eks. ISO 27001 eller ENISA’s vejledninger.

Samtidig er det forventet, at en række harmoniserede standarder vil blive udviklet i løbet af perioden frem til ikrafttrædelsen i 2027. Disse standarder vil være centrale værktøjer for producenter, der ønsker at demonstrere overensstemmelse med CRA’s krav – og dermed få lov til at markedsføre deres produkter i EU.

Når den foreslåede forordning træder i kraft, vil software og produkter forbundet til internettet bære CE-mærket for at angive, at de overholder de nye standarder. Ved at kræve, at producenter og detailhandlere prioriterer cybersikkerhed, vil kunder og virksomheder blive bemyndiget til at træffe bedre informerede valg, med tillid til cybersikkerhedsoplysningerne for CE-mærkede produkter.

Den nye forordning vil supplere eksisterende lovgivning, og herunder specifikt NIS2-rammen. Det vil gælde for alle produkter, der er direkte eller indirekte forbundet med en anden enhed eller et andet netværk, bortset fra specificerede undtagelser såsom open source-software eller tjenester, der allerede er omfattet af eksisterende regler, hvilket er tilfældet for medicinsk udstyr, luftfart og biler.

Med CRA tager EU et historisk skridt mod at gøre cybersikkerhed til en integreret del af det digitale indre marked. Forordningen er en direkte konsekvens af de mange sikkerhedsbrud, sårbarheder og kritiske hændelser, som har præget de seneste år – fra log4j[1] til sårbare IoT-enheder og uigennemsigtige softwareforsyningskæder. 

CRA forankrer det princip, at sikkerhed ikke må være en eftertanke, men skal være et grundvilkår for adgang til EU-markedet. Samtidig sikrer den et ensartet niveau af cybersikkerhed i hele Unionen, hvilket især er vigtigt for forbrugere og mindre virksomheder, der ellers ville stå uden beskyttelse i et meget teknisk og fragmenteret marked.

[1] Log4j er et udbredt open source Java-logbibliotek udviklet af Apache Software Foundation. Det er en kernekomponent i mange applikationer og frameworks, der giver udviklere mulighed for at spore og registrere hændelser i deres software.

En kritisk sårbarhed, kendt som Log4Shell (CVE-2021-44228), blev opdaget i december 2021 og påvirkede version 2.0-beta9 til 2.14.1. Denne sårbarhed muliggjorde fjernudførelse af kode, hvilket betyder, at angribere potentielt kunne få kontrol over berørte systemer ved at udnytte fejlen.