En tydlig fördel att vara compliant
När nya regler kommer kan det kännas motigt att behöva ta nya tag om sin verksamhet för att förbli compliant. Som jurist är jag visserligen partisk, men jag vill trots det hävda att det alltid finns en fördel att vara compliant, utöver den självklara aspekten att slippa dryga böter. Ett sådant exempel är CRA, Cyber Resilience Act. Men likt hur GDPR-arbetet på många företag har lett till en förbättrad insyn i verksamheten, t.ex. avseende informationsflöden, processer, system och rutiner och därmed skapat reell affärsnytta, så kommer CRA att förändra hur vi utvecklar produkter till det bättre.
Förslaget om en ny ”EU-förordning om övergripande cybersäkerhetskrav för produkter med digitala element inom EU” (ja, ni förstår säkert varför vi kommer använda det engelska namnet Cyber Resilience Act och förkortningen CRA framöver) kom i september 2022 och är därmed, med EU-mått mätt, tidigt i lagstiftningsprocessen. Förordningen bygger på EU:s strategi för cybersäkerhet från 2020. När träder CRA i kraft då, undrar du säkert som många andra. Ett specifikt datum finns inte än, men vi har rimligen inte en lagstiftning på plats förrän tidigast 2025 givet hur lagstiftningsprocessen ser ut i EU – den tar sin tid helt enkelt.
5 500 000 000 000 EURO
Bakgrunden är att den globala årskostnaden för cyberbrottslighet under 2021 beräknades till svindlande 5,5 biljoner EURO. Det är därför i sig ingen överraskning att EU vill komma åt problematiken med att programvaror och hårdvaror allt oftare och alltför lätt kan utsättas för skadliga cyberattacker. Givet hur vår IT-värld idag är sammansatt, så risker en cyberattack på en viss produkt snabbt (och här pratar vi mer minuter än dagar) sprida sig vidare i andra delar av ekosystemet och över landsgränserna.
I nuläget finns det ingen lagstiftning på området som gäller så generellt som CRA kommer att göra. Existerande lagstiftning på området, som EU Cybersecurity Act, vilken bl.a. sätter ett ramverk för cybersäkerhetscertifiering av ICT-produkter m.m., siktar in sig på specifika produkter eller sektorer, medan CRA innefattar alla produkter (hårdvara och mjukvara) som innehåller ”digitala element”. År 2023 är det förstås inte svårt att hitta den typen av element i de produkter som vi i daglig dags använder oss av såväl privat som i arbetet. CRA innehåller regler för produkters motståndskraft mot cyberattacker och gäller genom hela produktens livscykel. Det innebär därför att även support och vidareutveckling av produkten måste beakta CRA. Cybersäkerheten kommer alltså att behöva finnas med från ax till limpa; från design och utveckling tills dess att produkten tas bort från marknaden.
Rätta sig i ledet på global skala
Open Source-communityn har uttryckt oro över CRA. Användandet av Open Source i produkter med digitala komponenter (vilket bedöms utgöra mer än 70 % av mjukvaran i dessa produkter) kan komma att bli mer utmanande i och med CRA, då förordningen föreslås innehålla regler för självcertifiering. Det i sin tur riskerar att kväva utvecklingen inom Open Source-communityn, som till stor del utgörs av individer och små team med små resurser.
CRA riktar primärt in sig på tillverkare av produkter, mjukvara som hårdvara. Redan i design- och utvecklingsfasen av produkterna (och för mjukvara gäller det förstås att ha detta med sig redan vid själva kodandet) behöver producenter och utvecklare ha regelverket och kraven med sig i bakhuvudet. Men även importörer av produkter som omfattas måste givetvis följa CRA.
Om resten av världens producenter vill kunna fortsätta leverera till den europeiska marknaden kommer de att behöva anpassa sin produktion. Det blir således minst lika viktigt att ha CRA med sig redan vid beslutet om verksamheten ska ta fram hela produkten själva eller köpa in ett system som helt eller delvis är producerat utanför EU. Uppfyller produkterna inte kraven i CRA är de helt enkelt inte välkomna på den europeiska marknaden. Om du inte följer The Cyber Resilience Act riskerar du stora böter – upp till 15 000 000 EUR eller 2,5% av företagets årsomsättning. Böternas storlek bestäms av graden av bristande efterlevnad av föreskrifterna, konsekvensernas svårighetsgrad, tillverkarens storlek och så vidare.
Avslutningsvis; Det kan aldrig vara en kommersiell nackdel att ta fram en motståndskraftig produkt, speciellt inte ur ett långsiktigt hållbart perspektiv. Några verksamheter kommer inte tycka det här känns jobbigt alls, för de har tänkt på säkerhet redan från början. Det bästa angreppssättet är att tänka på att skapa en säker och stabil produkt. Min kollega Rebecca Hammel, vår Head of Application Development, har tips om hur du bygger in säkerhet redan från början och vilka nyckelområden du ska börja med.