Artiklar

Cybersäkerhet i fokus – Jochen Friedrich om Cyber Resilience Act och digital innovation

Jochen Friedrich är Technical Relations Executive på IBM och en nyckelperson inom europeisk standardisering. Med lång erfarenhet från bland annat ETSI, ECMA International och tyska DIN, har han suttit med vid bordet där ramarna för digitaliseringens framtid formas.

I den här intervjun delar han med sig av sin syn på hur den nya EU-förordningen Cyber Resilience Act (CRA) påverkar industrin, varför standardisering och innovation inte behöver stå i motsatsförhållande – och vilken roll open source spelar i det nya säkerhetslandskapet.

Artikeln i korta drag:

  • Jochen Friedrich, IBM, om Cyber Resilience Act (CRA)
  • CRA:s påverkan på cybersäkerhet, digital innovation och open source
  • Vikten av ansvar genom hela mjukvarans livscykel
  • Europas roll i att forma digitala regelverk
  • CRA som möjlighet att bygga global digital tillit

Standardisering som drivkraft för digital innovation?

Många ser reglering som en bromskloss för teknisk utveckling. Men det finns goda skäl att omvärdera det perspektivet, menar Jochen.

– Se bara på internet och webben. Hela ekosystemet byggdes på öppna, gemensamma standarder, som till exempel:

  • HTTP (för kommunikation mellan klient och server)
  • HTML och CSS (för struktur och utseende på webbsidor)
  • URL:er (för hur resurser identifieras och hittas).

Dessa standarder togs fram av W3C (World Wide Web Consortium) och andra öppna forum, och det viktigaste: de var gratis att använda och öppet dokumenterade.

– Men, man måste välja rätt tajming. Standardiserar man för tidigt, innan det finns ett behov, eller tekniken är tillräckligt mogen riskerar man att låsa in innovation, och begränsa andra, bättre lösningar från att utvecklas eller slå igenom.

När det gäller CRA finns det en viss oro, särskilt inom open source-världen. Många ideellt drivna open source-projekt har varken resurser eller struktur för att uppfylla kraven som ställs i Cyber Resilience Act.

Men Jochen menar att de flesta krav som ställs i lagen redan är praxis i seriösa mjukvaruprojekt – till exempel inom OpenSSF, under Linux Foundation, där man redan idag arbetar med säkerhetsgranskning, sårbarhetshantering och tydlig licensiering.

– Jag är personligen inte särskilt orolig för att CRA ska hämma innovation. Det kan ta lite tid att ställa om, men communityt engagerar sig och lär sig hur systemet fungerar.

– Om vi gör det rätt, kan CRA till och med bygga förtroende. Tänk dig en CE-märkning för mjukvara, som signalerar att cybersäkerhetsaspekter efterlevs. Det skulle kunna göra stor skillnad, särskilt för små och medelstora företag.

Öppen källkod i ljuset av CRA – ansvar och tillit

– Det finns ett undantag för icke-kommersiella open source-projekt i CRA, och det är bra. Men så fort den koden används i kommersiella produkter måste företaget ta ansvar, säger Jochen.

– Du kan inte längre ta kod från GitHub och hoppas på det bästa. Använder du den i din produkt, så äger du den och måste också ta ansvar för den.

Jochen ser ett skifte i mindset framför sig, där CRA formaliserar och sätter fokus på vikten av ansvarsfull källkodsanvändning.

– Jag tror att det här kommer driva fram en efterfrågan på ’trovärdig’ öppen källkod – med tydliga licenser, aktivt underhåll och strukturerad styrning. På sikt, menar han, stärker det hela ekosystemet.

Cyber Resilience Act ur ett internationellt perspektiv

När CRA diskuteras i ett globalt sammanhang väcks frågor om hur Europas regler påverkar resten av världen.

– Vissa undrar varför Europa alls reglerar det här området, men vi har haft liknande system i tillverkningsindustrin i decennier. Det har aldrig varit ett problem där. Det som är annorlunda nu är att Europa inte är ledande inom IT – hyperscalers finns någon annanstans. Men vi är en stor marknad, säger Jochen.

Han pekar på den så kallade Bryssel-effekten – ett begrepp som beskriver hur EU:s regler får global räckvidd utan att vara tvingande. Företag som vill sälja sina produkter i Europa väljer ofta att anpassa sig till EU:s krav, även på andra marknader. På så sätt kan europeisk lagstiftning, som CRA, få en betydande internationell påverkan – trots att den formellt bara gäller inom EU.

Samtidigt varnar Jochen för att Europa inte kan luta sig tillbaka. Eftersom ledande aktörer inom digital utveckling (hyperscalers), främst finns utanför EU, måste Europa vara vaksam. Risken är annars att innovationstakten drivs av andra och att Europa halkar efter, trots sin starka roll i att sätta standarder och regelverk.

CRA 2027 – från utmaning till möjlighet

December 2027 markerar en milstolpe för Europas cybersäkerhet. Då börjar Cyber Resilience Act tillämpas fullt ut – och förändrar hur digitala produkter utvecklas, säljs och underhålls på EU-marknaden.

Enligt Jochen Friedrich är den största utmaningen inte att införa enskilda säkerhetsfunktioner, utan att förstå helheten – och integrera säkerhet som en naturlig del av hela produktens livscykel.

– Många företag har ännu inte riktigt greppat vad CRA kräver. Det handlar inte bara om teknik, utan om att ha fungerande processer för sårbarhetshantering, SBOM, incidentrapportering och ansvar över tid, säger han.

För globala företag innebär CRA också en strategisk fråga: ska man anpassa sig till olika regelverk beroende på region – eller gå på den striktaste standarden globalt? 
Stora aktörer väljer ofta det senare. Men för små och medelstora företag kan det bli tuffare – både i arbetssätt och resurser.

– Det är inte bara utvecklare som behövs. Det handlar om juridik, efterlevnad, produktledning – hela organisationen måste tänka på ett nytt sätt, säger Jochen.

På längre sikt ser han dock stora möjligheter. Om CRA genomförs på rätt sätt kan det bli en tydlig kvalitetsstämpel – ungefär som CE-märkningen för fysiska produkter.

– Man kanske inte läser den tekniska dokumentationen, men man vet att det finns en process bakom. Det skapar förtroende, säger han.

Om CRA lyckas, kan den inte bara höja cybersäkerheten, utan också bidra till att lyfta Europas digitala inre marknad och, som Jochen uttrycker det, ”till och med stärka vår digitala suveränitet genom ökad kontroll och fler valmöjligheter.”

Engagemang som nyckel

Jochen Friedrich ser fram emot att fortsätta stärka samarbetet mellan industri, myndigheter, öppen källkod och akademi genom fortsatt engagemang i bland annat ETSI. Och han uppmanar fler att engagera sig. Standardisering kanske inte syns i rampljuset – men den formar vår digitala vardag i grunden. I takt med att cybersäkerhet, interoperabilitet och hållbar teknik blir allt viktigare, ökar också betydelsen av att vara med där riktningen stakas ut.

– Du behöver inte vara jurist eller ingenjör, vi behöver många olika kompetenser! Några exempel kan vara översättare, samordnare och kommunikatörer. Om du är nyfiken och vill vara med och forma framtidens informations– och telekommunikation– då kommer du att göra skillnad, avslutar Jochen.

Vill du bidra till framtidens digitala infrastruktur? 
Läs mer om ITS arbetsgrupper och hur du kan engagera dig.

Relaterat innehåll

Gå till kunskap
Gå till kunskap

Nyhetsflöde från ETSI

Medlemskap

Var med och forma framtidens kommunikation

Bli medlem i vårt nätverk som samlar svenska branschexperter inom IT och telekommunikation för att påverka utvecklingen av standarder.

Bli medlem