Artiklar

Inifrån ETSI TC CYBER – Kim Nordström om vägen från CRA-lag till färdig standard

När EU:s Cyber Resilience Act träder i kraft fullt ut i slutet av 2027 är det på många sätt ETSI:s tekniska standarder som avgör hur regelverket faktiskt fungerar i praktiken. Bakom varje harmoniserad standard finns ett omfattande arbete, och en organisation som koordinerar hundratals experter från industri, myndigheter och akademi.

Vi träffade Kim Nordström, Technical Officer på ETSI med ansvar för bland annat den tekniska kommittén TC CYBER, under CRA-dagen i Kista. Han ger en sällsynt inblick i hur lagstiftning steg för steg blir till tekniska standarder – och varför svenska företag har mer att vinna på att engagera sig än vad många tror.

Artikeln i korta drag:

  • Kim Nordström, Technical Officer på ETSI, om TC CYBER:s arbete med CRA
  • Hur harmoniserade standarder kan ge tillverkare en presumtion om överensstämmelse med lagstiftningen
  • Skillnaden mellan horisontella och vertikala standarder
  • Cybersäkerhet som ett globalt arbete – inte bara europeiskt
  • Maskinläsbara standarder som nästa steg i standardiseringsarbetet

Rollen som Technical Officer

Kim arbetar i en koordinerande funktion som stöttar de medlemmar som tar fram standarderna. ETSI har närmare 900 medlemsorganisationer, varav ungefär 500 personer är aktiva inom cybersäkerhetsområdet på ett eller annat sätt.

– Min roll är att koordinera våra medlemmar som jobbar inom cybersäkerhet. Varje arbetsgrupp har ett antal arbetspaket, och varje arbetspaket har en ansvarig rapportör. Det är en supportfunktion för våra medlemmar, säger Kim.

Kim Nordström, Technical Officer på ETSI

Inom TC CYBER finns två specifika/dedikerade arbetsgrupper. QSC arbetar med quantum-safe kryptografi och frågor som rör implementation av kryptografiska lösningar. Den andra arbetsgruppen EUSR (EU Standardisation Requests) är direkt kopplad till det standardiseringsuppdrag som ETSI har från EU-kommissionen att tar fram harmoniserade standarder som stödjer den europeiska cyberresiliensförordningen.

Två sätt att starta ett standardiseringsarbete

En viktig skillnad i ETSI:s arbete är varifrån initiativen kommer. Vissa standarder tas fram på direkt uppdrag av EU-kommissionen genom en så kallad standardiseringsförfrågan. Andra växer fram nedifrån.

– Initiativen kommer från våra medlemmar. Alla medlemmar kan komma med ett förslag till att jobba med ett visst arbetspaket eller delområde. Det krävs att fyra medlemsorganisationer stöder förslaget, sedan kör vi i gång, säger Kim.

Det är samma mekanism som låg bakom Ericssons initiativ till EN 304 642, den vertikala standarden för säkerhet i nätverksfunktioner inom telekom som ITS skrivit om tidigare. Modellen ger industrin en möjlighet att själv driva fram standarder där behovet finns, även när lagstiftaren inte uttryckligen efterfrågat dem.

Läs också: Så blir EU-lag till teknisk verklighet

Horisontella och vertikala standarder under CRA

Inom CRA-arbetet skiljer ETSI på två typer av standarder. Horisontella standarder är generella och produktoberoende. De beskriver krav som gäller brett, oavsett vilken typ av digital produkt det handlar om. Vertikala standarder är produktspecifika och beskriver hur kraven ska tillämpas för en viss produktkategori.

– Inom ramen för CRA jobbar ETSI med vertikala standarder. Och det här gör vi gemensamt med CEN och CENELEC, säger Kim.

Det är en viktig poäng. CRA:s horisontella standarder utvecklas av andra organ, medan ETSI TC CYBER fokuserar på de produktspecifika tillämpningarna, inom områden där den tekniska expertisen i ETSI:s medlemskår är som störst.

”Presumtion om överensstämmelse” – därför är citerade standarder så värdefulla

När en harmoniserad standard publiceras i EU:s tidning Official Journal får den rättsverkan. Så länge en tillverkare följer en sådan standard råder en presumtion om överensstämmelse – produkten antas uppfylla kraven i CRA. Det är den mekanism som på engelska kallas presumption of conformity.

Det är dit ETSI siktar.

– Vi lägger ribban högt. När en standard blir citerad har den en helt annan tyngd, både för industrin som ska tillämpa den och för myndigheter som ska kontrollera efterlevnad, säger Kim.

Tekniskt sett är en harmoniserad standard ett verktyg, inte en plikt. Lagen är obligatorisk, men en tillverkare kan välja att uppfylla CRA:s krav utan att följa en harmoniserad standard – så länge man själv kan bevisa att kraven är uppfyllda. I praktiken kan det dock vara en svår väg att gå. Distributörer, återförsäljare och kunder förväntar sig harmoniserade standarder eftersom det är ett enkelt och entydigt sätt att visa att produkten är godkänd för EU-marknaden.

Den som följer en harmoniserad standard slipper alltså inte bara den egna bevisbördan – arbetet blir också mer förutsägbart. Tillverkaren vet på förhand vad som krävs, och kan lägga mer tid på att utveckla produkten än på att tolka regelverket.

Cybersäkerhet är ett globalt arbete

ETSI är en europeisk standardiseringsorganisation, men cybersäkerhetsfrågorna är till sin natur gränsöverskridande. Det märks i hur arbetet bedrivs.

– ETSI har en dubbel roll. Å ena sidan är vi en europeisk standardiseringsorganisation. Å andra sidan är vi också en internationell standardiseringsorganisation som jobbar globalt med cybersäkerhet. Cybersecurity är en global utmaning, och det måste man jobba med varje dag, säger Kim.

– Hoten mot våra uppkopplade produkter är samtidiga. Om man upptäcker en sårbarhet sprids den på nolltid. Det finns ingen del av världen som inte berörs. Därför är det viktigt att tänka på det globala perspektivet.

Inom ETSI TC CYBER finns medlemmar även från alla världsdelar. Samarbetet sträcker sig också till EU:s cybersäkerhetsbyrå ENISA, där Kim själv har en roll som ETSI:s representant, och till andra internationella organisationer.

Innovation och compliance – inte motsatser

En vanlig oro när nya regelverk kommer på plats är att de bromsar innovationen. Kim ser det inte så.

– Tvärtom. Harmoniserade standarder gör regelefterlevnad enklare, särskilt de produktspecifika. Tillverkare behöver inte lägga sin tid på att tolka lagstiftningen, utan kan fokusera på det de faktiskt vill göra: utveckla produkten, säger Kim.

Han pekar också på en annan funktion som lätt glöms bort: standarder är inte bara compliance-verktyg, utan också en förutsättning för att produkter ska kunna fungera tillsammans.

Standarder bäddar för innovation också genom interoperabilitet. När gränssnitt är gemensamma fungerar produkter från olika tillverkare tillsammans. En mindre aktör kan utveckla en specifik lösning utan att behöva bygga hela systemet runt den, och vara säker på att den passar in i ett befintligt ekosystem – som också når en bredare marknad.

Nästa steg: maskinläsbara standarder

På frågan om ETSI:s arbetssätt behöver förändras framåt pekar Kim på ett område där han ser tydlig förbättringspotential: hur standarderna är utformade som dokument.

– De standarder vi tar fram just nu är nästan alla textdokument, samtidigt som produktutvecklingen går snabbare och snabbare. Vi kommer att behöva kunna automatisera det jobb vi gör inom ETSI på ett mer ändamålsenligt sätt.

Det handlar om att ta fram standarder som inte bara är skrivna för människor, utan som också kan läsas och tolkas av maskiner, och därigenom användas för att automatisera regelefterlevnad och interoperabilitet.

AI ses som en del av lösningen, men inte hela.

– Artificiell intelligens kan absolut bidra till att höja kvaliteten på det vi gör. Men själva bedömningarna, vad som ska standardiseras, hur kraven ska tolkas, och vad som är rimligt för industrin kräver fortfarande mänsklig kunskap, säger Kim.

Råd till svenska företag de kommande 12 månaderna

Med december 2027 som målbild finns det fortfarande tid att förbereda sig. Kim sammanfattar fyra steg:

Steg 1 – Inventera. Kartlägg vilka av era produkter som faller inom ramen för CRA. EU-kommissionen och ENISA har vägledningsmaterial som hjälper till med avgränsningen.

Steg 2 – Riskbedöm. Gör en riskbedömning av de produkter som omfattas. Det är ett kontinuerligt arbete – inte ett engångsjobb.

Steg 3 – Uppfyll lagkraven. Säkerställ att ni uppfyller de tvingande kraven. Harmoniserade standarder kan vara det enklaste sättet – vilken standard som är relevant beror på produktkategori.

Steg 4 – Engagera er i standardiseringsarbetet. Var med och påverka innehållet i standarderna, så att de blir ändamålsenliga. Standarder skrivna utan industrins inspel riskerar att bli verklighetsfrånvända.

Engagemang gör skillnad

Kim Nordströms perspektiv som Technical Officer ger en bild av standardisering som inte ofta syns utåt: det är ett arbete som kräver konsensus, tålamod och brett deltagande – men där varje medlem har en reell möjlighet att påverka. Standardiseringen är inte bara administrativ infrastruktur runt lagstiftningen. Det är där lagen får sin tekniska form.

Vill du vara med och forma framtidens cybersäkerhet?

Läs mer om ITS arbetsgrupp Cybersecurity (WG CSys) och hur du kan engagera dig.

Du kan också höra av dig för ett företagsbesök av vår vd Bettina Funk.

Relaterat innehåll

Gå till kunskap
Gå till kunskap

Nyhetsflöde från ETSI

    Feed has no items.
Medlemskap

Var med och forma framtidens kommunikation

Bli medlem i vårt nätverk som samlar svenska branschexperter inom IT och telekommunikation för att påverka utvecklingen av standarder.

Bli medlem