Artiklar

Så blir EU-lag till teknisk verklighet

EU:s Cyber Resilience Act (CRA) ställer tydliga krav på cybersäkerhet i produkter med digitala komponenter. Men i praktiken är det inte alltid självklart vad en ”produkt” är.

I många tekniska miljöer, som mobilnät, är funktioner distribuerade över flera system, moduler och leverantörer. Säkerheten uppstår i hur dessa samverkar, inte enbart i en enskild komponent.

Det innebär att bestämmelser som är formulerade för separata produkter behöver översättas innan de går att tillämpa i faktiska system. I annat fall riskerar olika aktörer att tolka och implementera kraven på olika sätt – med ökade kostnader och försämrad samverkan mellan system som följd.

Vi pratade med Bengt Sahlin, Research Leader inom Networking Security på Ericsson Research, som har arbetat med säkerhetsstandardisering i mobilnät i över två decennier, bland annat inom 3GPP och ETSI.

Bengt Sahlin, Research Leader inom Networking Security på Ericsson Research

Kraven i sig är tydliga. Utmaningen är att omsätta dem i system där funktioner är distribuerade och beroenden många, säger Bengt.

Från lagkrav till teknisk tillämpning

Inom telekom har säkerhet standardiserats under lång tid. Sedan början av 2010-talet har fokus i 3GPP i ökande grad legat på säkerhet i nätverksfunktioner, inte bara i kommunikationen mellan dem. Det har lett till ett etablerat ramverk, GSMA NESAS (Network Equipment Security Assurance Scheme), för att utvärdera säkerhet i nätverksutrustning. Mycket finns redan på plats.

Med CRA tillkommer ett tydligt krav på att kunna visa att produkter uppfyller lagens krav – på ett enhetligt och verifierbart sätt.

– Vi har redan bra metoder och processer. Nu behöver de relateras till ett regelverk som utgår från produkter och efterlevnad, säger Bengt.

En viktig skillnad mot tidigare säkerhetsinitiativ inom branschen är just drivkraften bakom dem. Industrins säkerhetsstandarder har traditionellt vuxit fram ur affärsmässiga behov – man standardiserar det som är nyttigt för att bygga fungerande nät. CRA utgår i stället från lagstiftning. Det ställer andra krav på hur man visar att kraven är uppfyllda.

Ericsson tar initiativ till ny standard

För att hantera detta tog Ericsson initiativ till en ny vertikal standard inom ETSI: EN 304 642. Bengt Sahlin leder arbetet.

Standarden är ett förslag inom ramen för Cyber Resilience Act och fokuserar på säkerhetskrav för nätverksfunktioner i telekommunikationssystem. Förslaget fick snabbt brett stöd. I dag deltar Nokia, Samsung, ZTE, Huawei, Maketh Secure och Palo Alto Networks i arbetet och bidrar med teknisk kompetens.

– Det var kanske vi som var lite i framkant och började jobba med den här standarden, men det är inte bara Ericsson som driver det. Många andra tillverkare ser samma behov, säger Bengt.

I stället för att utveckla helt nya krav från grunden utgår standarden från etablerade säkerhetsramverk och strukturerar dem i ett sammanhang där de blir tillämpbara i förhållande till CRA.

– När branschen enas om hur säkerhetskraven ska tillämpas minskar skillnaderna i hur systemen byggs. Det leder till mer stabila system, snabbare åtgärder vid sårbarheter och högre tillit till de tjänster vi använder, säger Bengt.

Industrin och kommissionen söker gemensam väg

I dag finns ingen standardiseringsbegäran från EU-kommissionen som specifikt omfattar denna standard. Men kommissionen har ställt sig positiv till arbetet, och Bengt bedömer det som sannolikt att en formell begäran kommer att följa när de obligatoriska standarderna för CRA:s kritiska och viktiga produktkategorier är på plats.

Kommissionen bjuder in till nya standarder. Och vi välkomnar den dialogen i alla steg. Ju tidigare industrin får vara med, desto bättre förutsättningar att skapa standarder som faktiskt fungerar i praktiken, säger Bengt.

Initiativet kring EN 304 642 är ett exempel på hur en bransch kan ta ansvar för, och påskynda, arbetet med att göra lagkrav tillämpbara. Bengt tror också att modellen kan sprida sig – liknande vertikala standarder har tagits fram under den allmänna produktsäkerhetsregleringen, och han förväntar sig en liknande utveckling under CRA.

– Det slutar inte med den här standarden. Fler kommer att behövas, och det är industrin som bäst kan identifiera vilka.

 

Fakta: Vad är en vertikal standard?

En vertikal standard beskriver hur lagkrav ska tillämpas inom ett specifikt tekniskt område.

CRA innehåller övergripande krav som gäller alla produkter med digitala komponenter. Hur dessa krav ska omsättas skiljer sig beroende på hur systemen är uppbyggda.

En vertikal standard preciserar vad bestämmelserna innebär i en viss sektor, beskriver hur de ska implementeras och anger hur efterlevnad kan verifieras. Den fungerar som ett gemensamt arbetssätt för aktörer som utvecklar och levererar teknik inom samma område.

 

Så tar du initiativ till en standard i ETSI

För att starta ett standardiseringsarbete krävs stöd från minst fyra medlemsorganisationer i ETSI, ett definierat behov, en tydlig avgränsning och en ansvarig teknisk grupp.

Initiativet drivs ofta av industriaktörer, men kräver formellt stöd från ETSI-medlemmar. Processen bygger på att deltagande aktörer bidrar och når konsensus. Ett initiativ börjar ofta med att identifiera ett gemensamt problem, formulera ett förslag och samla relevanta aktörer.

För företag innebär det en möjlighet att påverka hur regler blir verklighet.

CRA i praktiken – nästa steg

Från september 2026 börjar kraven i CRA införas stegvis. För många företag innebär det att arbetssätt, system och produkter behöver ses över i god tid – och utmaningen är särskilt stor för mindre aktörer som kanske saknar resurser att på egen hand sätta sig in i vad lagen faktiskt kräver.

En sektorsspecifik standard gör det enklare att veta vad man ska göra. Det är en av de viktigaste anledningarna till att vi jobbar med det här, säger Bengt.

För att göra regelverket mer konkret arrangeras CRA-dagen den 4 maj i Kista. Under dagen får deltagare en genomgång av lagstiftningen och vad den faktiskt kräver, insikt i harmoniserade och sektorsspecifika standarder, vägledning i hur efterlevnad kan säkerställas samt möjlighet att ställa frågor till experter från Sverige och EU.

För organisationer som påverkas av CRA är det ett tillfälle att gå från övergripande krav till konkret handling.

Se program och talare, och anmäl dig senast den 23 april 2026, eventet är kostnadsfritt.

Relaterat innehåll

Gå till kunskap
Gå till kunskap

Nyhetsflöde från ETSI

Medlemskap

Var med och forma framtidens kommunikation

Bli medlem i vårt nätverk som samlar svenska branschexperter inom IT och telekommunikation för att påverka utvecklingen av standarder.

Bli medlem