Cyber resilience act (CRA) bygger på EU:s cybersäkerhetsstrategi som antogs 2020, framtagen av Europeiska kommissionen och Europeiska unionens utrikeschef. Strategin togs fram som svar på den enorma digitala transformation vårt samhälle har gjort under de senaste åren, inte minst under COVID-19-pandemin. Transformationen har inneburit fantastiska framsteg när det kommer till innovation och teknik, men den har också skapat ett växande hotlandskap när det kommer till cybersäkerhet. Det har lett till att vi idag är i ett stort behov av innovativa åtgärder anpassade efter det här nya landskapet.
Som en del av dessa åtgärder trädde CRA i kraft den 10 december 2024. Det innebär att alla produkter med digitala inslag behöver följa de nya kraven från och med 11 december 2027. Tanken är att kraven som CRA definierar ska göra digitaliseringen säkrare för både konsumenter och företag.
CRA har i grund och botten tre huvudsakliga syften:
1. Att göra digitala produkter säkrare
CRA omfattar alla trådlösa och trådade produkter som på något sätt är uppkopplade mot internet och mjukvara som lanseras på EU:s marknad. Förhoppningen är att de nya kraven kommer leda till att alla dessa produkter blir säkrare för både företag och konsumenter.
2. Att göra tillverkaren ansvarig för hela livscykeln
En annan viktig aspekt av CRA är att tillverkaren nu kommer ansvara för sina produkters cybersäkerhet genom hela produktens livscykel. I dagsläget är det nämligen många tillverkare som inte erbjuder uppdateringar när nya säkerhetsrisker uppdagas för deras produkter, något som kan ha stora konsekvenser för användarna.
3. Att göra det enklare att förstå en produkts cybersäkerhetsnivå
Sist men inte minst är tanken att CRA ska göra det enklare för konsumenter att vara ordentligt informerade om cybersäkerhetsnivån på de produkter de köper. Idag finns det nämligen inget tydligt eller standardiserat sätt för konsumenter och företag att snabbt kunna förstå hur säker en produkt faktiskt är.
I längden är förhoppningen att CRA kommer minska antalet cybersäkerhetsincidenter. Det i sin tur kommer förhoppningsvis leda till ett ökat förtroende för produkter med digitala inslag – och därmed även en ökad efterfrågan.
Vad kan jag göra redan nu?
Exakt vilka förändringar som kommer behöva göras kommer förstås variera mycket från företag till företag, och ibland till och med från produkt till produkt. Det beror helt enkelt på hur era processer ser ut idag, och hur de matchar upp mot de kommande kraven.
För vissa företag kommer det innebära jättestora förändringar som kommer kräva både tid och resurser att lyckas uppnå. För andra kommer förändringarna inte kännas särskilt drastiska, även om det är mycket att sätta sig in i. Det viktiga är att du kommer i gång snabbt så att övergången kan ske över tid och kännas som en naturlig del av er utveckling som företag.
Oavsett hur ditt företag ligger till i dagsläget finns det några konkreta saker du kan göra för att komma i gång med de förändringar du kommer behöva göra:
1. Se över era interna processer
Jämför de krav som CRA har satt med hur ni arbetar idag. Om ni börjar anpassa era processer redan nu, kommer ni kunna göra de förändringar som behövs gradvis under de kommande tre åren i stället för att stressa med att få allt på plats i sista sekund.
2. Interna utbildningar om cybersäkerhet
Se till att alla som jobbar inom företaget och som berörs av CRA utbildas kring cybersäkerhet och vad de nya kraven innebär. Ju fler ni är som har koll på vad som krävs av er och varför, desto lättare kommer det bli att undvika misstag och snedsteg.
3. Planera nödvändiga resurser
CRA innebär att företag själva ansvarar för sina produkters cybersäkerhetsnivå genom hela produktens livscykel. Därför är det viktigt att du redan nu sätter dig in i vilka resurser som kommer krävas långsiktigt. Har du till exempel anställda experter som kommer kunna arbeta med dessa typer av uppdateringar kontinuerligt? Eller är det något du kommer behöva rekrytera eller kanske använda dig av konsulter för?
4. Engagera dig i standardutvecklingen
Det enklaste sättet att få bättre insikt i kommande standarder och förordningar såsom CRA är att bli medlem i standardiseringsorganisationer som till exempel ITS och ETSI. Då kommer du inte bara få koll på vilka standarder som är på gång innan de faktiskt röstas igenom – du kommer även höra argumentationerna och diskussionerna som ligger till grund för dem. Förutom att förstå standarderna bättre får du även möjlighet att lyfta ditt företags perspektiv i diskussionerna, och kan vara med och forma de slutgiltiga standarderna.
