Bakgrunn
Den 15. september 2022 la Kommisjonen frem et lovforslag om cyberrobusthet (CRA), som innfører obligatoriske krav til cybersikkerhet for produkter med digitale elementer. Forslaget dekker et bredt spekter av enheter: produkter som er direkte eller indirekte koblet til en enhet eller et nettverk, inkludert maskinvare, programvare og tilhørende tjenester16.
Forslaget har som mål å sikre bedre beskyttelse for forbrukere ved å øke produsentenes ansvar ved å forplikte dem til å tilby sikkerhetsstøtte og programvareoppdateringer, og ved å gi dem informasjon om cybersikkerheten til produktene de kjøper og bruker. Loven tilbyr et enkelt sett med regler for cybersikkerhet for selskaper i EU. Det ville redusere antallet hendelser relatert til cybersikkerhet og øke gjennomsiktigheten og tilliten hos forbrukere og garantere bedre beskyttelse av deres data og personvern.
De foreslåtte tiltakene definerer:
- regler for markedsplassering av produkter med digitale elementer gjennom en prosess med samsvarsvurdering (selvevaluering eller tredjeparts samsvarsvurdering, avhengig av produktets kategori) for å demonstrere oppfyllelse av spesifikke cybersikkerhetskrav, som resulterer i tildeling av en CE-merking
- krav til utforming, utvikling og produksjon av slike produkter og forpliktelser for økonomiske aktører, samt prosesser som er etablert og rapporteringsforpliktelser for produsenter for å sikre cybersikkerhet gjennom hele livssyklusen til slike produkter, samt forpliktelsen til økonomiske aktører i disse prosessene
- regler om markedsovervåking og håndhevelse, som vil bli utført gjennom markedsoppfølgingsmyndigheter.
Politisk prosess
I Parlamentet ble saken tildelt Komiteen for industri, forskning og energi (ITRE). ITRE-komiteen har fått inn endringer som å inkludere alle produkter med digitale elementer, sikre at utviklere av åpen kildekode-programvare er ekskludert hvis de ikke har økonomisk avkastning, og utvide listen over kritiske produkter. Det ble også lagt vekt på fleksibilitet i produktlevetid og krav om sikkerhetsoppdateringer.
Rådet oppnådde en felles posisjon ved å fjerne begrepet "kritisk" fra visse produkter og introdusere kategorier for produkter som krever obligatorisk cybersikkerhetssertifisering. Rapporteringsansvaret ble flyttet fra ENISA til nasjonale CSIRTs.
I trilogene ble det nådd en foreløpig avtale som forenkler klassifiseringen av digitale produkter og utvider listen over enheter som er inkludert. Avtalen inkluderer også støttetiltak for små og mellomstore bedrifter18.
Teksten ble godkjent av Parlamentet i mars 2024, og trenger nå formell godkjenning fra Rådet.
EØS-relevans
Forordningen er markert som EØS-relevant fra EUs side. Når forordningen eventuelt blir vedtatt av Rådet, går den til behandling i EØS-EFTA-statene.
Det antas at innføringen av reguleringer som stiller horisontale krav til digitale produkter og deres tilleggstjenester vil forbedre cybersikkerheten i Norge, på samme måte som i resten av EU/EØS. Norge mangler for øyeblikket nasjonale regler som tar for seg de nevnte cybersikkerhetsutfordringene. Derfor anses en regulering på EU/EØS-nivå som passende. Forslaget vurderes som relevant for EØS, og det pågår en vurdering av behovet for spesifikke tilpasningstekster.