Allt du behöver veta om CRA och NIS2

Nya EU-lagar ska förbättra skyddet mot cyberhot och stärka motståndskraften i leveranskedjor, it-system och produkter. Per-Erik Eriksson, cybersäkerhetsexpert på HiQ utforskar möjligheter och utmaningar som kommer med Europas allt striktare cybersäkerhetsbestämmelser.

CRA: Nya krav på säker programvara

Cyber Resilience Act (CRA) är den nya lag (förordning) som ska skydda mot upprepade säkerhetsincidenter som drabbat stora och viktiga företag när säkerheten i underleverantörers programvara har brustit. Förordningen ställer höga krav på att all programvara som tillverkas, importeras och distribueras i EU ska vara säker att använda.

Bland annat inkluderar den nya lagens riktlinjer krav på CE-certifiering, som tidigare använts inom till exempel maskindirektivet. Märkningen intygar att produkten uppfyller EU:s hälso-, miljö- och säkerhetskrav – det vill säga att grundläggande säkerhet finns på plats. Men riktlinjerna stannar inte vid själva tillverkningsprocessen, de ställer också krav på installations- och användarinstruktioner, teknisk dokumentation, övervakning av programvara, rapporteringsplikt och kostnadsfria säkerhetsuppdateringar under en lång tid framöver. 

Per-Erik Eriksson, cybersäkerhetsexpert på HiQ, tycker att tillverkare omgående ska börja fundera på hur kraven kommer att påverka deras verksamhet:

– Företag som tillverkar uppkopplad programvara eller hårdvara med inbyggd programvara behöver fundera på om de kommer kunna sälja sina produkter framöver. De behöver bland annat förbereda sig på att programvaran ska övervakas under hela sin livstid, på minst fem år, samt att om säkerhetsproblem uppstår ska uppdateringar distribueras utan extra kostnad. 

Användaren av produkten ska också ha tillgång till adekvat information för säker hantering och tillgång till eventuella säkerhetsuppdateringar i minst 10 år. Vid upptäckt av säkerhetsproblem finns det obligatoriska krav på att informera myndigheter inom 24 timmar.

– Och här spelar det ingen roll om det är lördag eller julafton. Informationen ska alltid skickas inom 24 timmar, oavsett, förtydligar han.

Vilka påverkas och hur förbereder man sig?

Cyber Resilience Act (CRA) täcker framför allt in tillverkare av programvara eller hårdvara med inbyggd programvara, men även importörer och distributörer som hanterar dessa inom EU.

Per-Erik Eriksson menar att flertalet berörda företag står inför betydande utmaningar vid införandet av CRA och att många helt saknar kunskap om lagen, inte minst i ledningar och styrelser, samtidigt som de står inför ett brådskande arbete med att anpassa eller fasa ut produkter som inte uppfyller kraven. Till dessa företag vill Per-Erik Eriksson dela med sig av några råd.

– Vänta inte – börja förberedelserna redan nu. Inom kort behöver ni ta ställning till vilka produkter som ska behållas, byggas om eller skapas på nytt. Ett steg i rätt riktning kan vara att ge högsta ledningen klara direktiv så att de kan börja agera, till exempel genom att prata igenom utmaningarna med produktansvariga och utvecklare, så att de lär sig bygga säker programvara. 

För företag som inte uppfyller de nya bestämmelserna väntar stränga sanktioner. Misslyckas man med att följa förordningens krav kan det innebära avgifter på upp till 15 miljoner euro, eller 2,5 procent av det föregående årets globala omsättning. Separata skadestånd kan också krävas ut av berörda kunder, och vid grova överträdelser kan företaget beläggas med säljförbud. 

Konkurrensfördelar och affärsmöjligheter med CRA

Förordningen för inte bara med sig utmaningar. Det går att använda den som ett konkurrensmedel, menar Per-Erik Eriksson. Genom att tidigt följa förordningens krav kan företag positionera sig som ledande, vilket stärker kundens förtroende och ger möjlighet till ökade marknadsandelar. 

– Ytterst handlar det om att när kunden väljer mellan två liknande produkter blir förtroendet en avgörande faktor. De företag som mest effektivt kan visa på sitt arbete med CRA och marknadsför det kommer att kunna använda säkerhet som ett konkurrensmedel, vilket ger dem tillgång till nya potentiella kunder.

”Ytterst handlar det om att när kunden väljer mellan två liknande produkter blir förtroendet en avgörande faktor. De företag som mest effektivt kan visa på sitt arbete med CRA och marknadsför det kommer att kunna använda säkerhet som ett konkurrensmedel, vilket ger dem tillgång till nya potentiella kunder.”

Per-Erik Eriksson

När införs CRA i Sverige? 

Cyber Resilience Act har godkänts av EU-parlamentet men är fortfarande under lagstiftning. Nästa steg är att lagen publiceras i EU:s officiella tidning, Official Journal, och därefter dröjer det ytterligare tjugo dagar innan lagen formellt träder i kraft. Efter detta finns det flera viktiga faser för företag att hålla koll på:

– 21 månader efter att lagen har publicerats i Official Journal blir det obligatoriskt att rapportera sårbarheter och egna säkerhetsincidenter som påverkar nya eller befintliga produkter. Det inkluderar allt från fysiska intrång i verksamhetens lokaler till ransomware-attacker.

– 36 månader efter att lagen publicerats i Official Journal tillämpas CRA i sin helhet. 

– 42 månader efter att lagen har publicerats i Official Journal slutar alla tidigare certifieringar att gälla. Därefter måste verksamheter omcertifiera sina produkter enligt bestämmelserna i CRA-lagen.

NIS2: Förhöjd cybersäkerhet för samhällskritisk verksamhet

NIS2 är ett direktiv utformat för att stärka skyddet ytterligare för samhällskritisk verksamhet. Det gäller verksamheter och underleverantörer inom nyckelsektorer som till exempel energi, transport, hälsovård och digital infrastruktur, och innebär att företagen ska upprätthålla höga säkerhetsstandarder, genomföra effektiv riskhantering och rapportera säkerhetsincidenter till nationella myndigheter.

Per-Erik Eriksson berättar att lagtexten även ställer specifika krav på att ledningsgrupper ska genomgå utbildning om riskåtgärder och att anställda ska erbjudas liknande möjlighet. 

Han understryker vikten av att företag ser över om de berörs av direktivet, och i så fall registrerar sig hos sin tillsynsmyndighet. Därefter bör de snarast påbörja arbetet med att uppnå full efterlevnad.

– Det mest effektiva sättet är en ordentlig riskinventering och en plan för hur risker ska hanteras, säger han, och poängterar att verksamheter även bör använda sig av ett vedertaget säkerhetsramverk som ISO27002, CIS Controls för företag, eller MSB FS 2020:6, 7 och 8 för myndigheter.

”Det mest effektiva sättet är en ordentlig riskinventering och en plan för hur risker ska hanteras, säger han, och poängterar att verksamheter även bör använda sig av ett vedertaget säkerhetsramverk som ISO27002, CIS Controls för företag, eller MSB FS 2020:6, 7 och 8 för myndigheter.”

Per-Erik Eriksson

När införs NIS2 i Sverige? 

Det råder fortfarande viss förvirring kring när NIS2 ska träda i kraft. Inom EU är datumet satt till den 18 oktober 2024, men svenska myndigheter har beslutat att omvandla direktivet till en nationell lag vid namn Cybersäkerhetslagen, som först börjar gälla den 1 januari 2025. Så vilket datum är det egentligen som gäller?

– Det är tyvärr inte glasklart hur det här hänger ihop. Min personliga tolkning är att vi kan följa svensk lag som går igenom den 1 januari 2025. Med det sagt bör företag oavsett börja förbereda sig redan nu, säger Per-Erik Eriksson.

Vilka branscher och sektorer påverkas?

NIS2 kommer att påverka företag som klassificeras som samhällsviktig verksamhet och sysselsätter minst 50 personer, eller har en årsomsättning på minst 10 miljoner euro. Den omfattar dessutom deras underleverantörer, liksom företag som specifikt valts ut av MSB. 

Begreppet samhällsviktig verksamhet täcker verksamheter, tjänster och infrastrukturlösningar som är avgörande för samhällets grundläggande funktion, värde och säkerhet. Dessa kategoriseras dessutom i två grupper: viktiga verksamhetsutövare och väsentliga verksamhetsutövare.

Sektorer som räknas som viktiga verksamhetsutövare:

Post- och budtjänster
Avfallshantering
Tillverkning, produktion och distribution av kemikalier
Produktion, bearbetning och distribution av livsmedel
Tillverkning
Digitala leverantörer
Forskning

Sektorer som räknas som väsentliga verksamhetsutövare:

Energi
Transport
Bankverksamhet
Finansmarknadsinfrastruktur
Hälso- och sjukvårdssektorn
Dricksvatten
Avloppsvatten
Digital infrastruktur
Förvaltning av IKT-tjänster
Offentlig förvaltning
Rymden

Sanktioner och personligt ansvar 

Verksamheter som brister i efterlevnaden av NIS2 riskerar liksom vid CRA kraftfulla sanktioner. För väsentliga enheter är kraven högre och sanktionsavgiften kan därför bli upp till 2 procent av föregående års omsättning, medan den motsvarande siffran för viktiga enheter är 1,4 procent. Utöver dessa ekonomiska straff kan verksamheter även ställas inför säljförbud eller användningsförbud av sina produkter och tjänster.

Ett ytterligare tillägg i lagen berör det personliga ansvaret hos ledning och styrelse. Vid allvarliga överträdelser kan dessa personer beläggas med näringslivsförbud och får därmed inte verka i ledande position för företaget framöver.

Konkurrensfördelar och affärsmöjligheter med NIS2

Liksom vid diskussionen om CRA vill Per-Erik Eriksson gärna lyfta vilka möjligheter den nya lagen skapar för företag. Hans förslag är att ledningsgruppen inte bara diskuterar direktivet med sina utvecklare och produktansvariga, utan också lägger tid på att inkludera marknadsavdelningen. 

– Om företag effektivt marknadsför hur de arbetar med NIS2 har de möjlighet att förbättra sitt varumärke. Jag är övertygad om att säkerhet kommer att vara ett viktigt konkurrensmedel framöver och skapa både affärsmöjligheter och konkurrensfördelar, avslutar han.

”Om företag effektivt marknadsför hur de arbetar med NIS2 har de möjlighet att förbättra sitt varumärke. Jag är övertygad om att säkerhet kommer att vara ett viktigt konkurrensmedel framöver och skapa både affärsmöjligheter och konkurrensfördelar.”

Per-Erik Eriksson

Läs mer om hur vi kan hjälpa dig