Europaparlaments- og rådsforordning (EU) 2024/2847 av 23. oktober 2024 om et rammeverk for cyberrobusthet om horisontale krav til cybersikkerhet for produkter med digitale elementer og endring av forordning (EU) nr. 168/2013 og (EU) 2019/1020 og direktiv (EU) 2020/1828 (Cyber Resilience Act)
Rammeverk for digitale produkters og tjenesters robusthet (Cyber Resilience Act)
Europaparlaments- og rådsforordning publisert i EU-tidende 20.11.2024
Tidligere
- Foreløpig holdning (forhandlingsmandat) vedtatt av Rådet 19.7.2023 med pressemelding
- Kompromiss fremforhandlet av representanter fra Europaparlamentet og Rådet 30.11.2023
- Europaparlamentets plenumsbehandling 12.3.2024 med pressemelding
- Rådsbehandling 10.10.2024 (enighet med Europaparlamentet) med pressemelding
Bakgrunn
BAKGRUNN (fra departementets EØS-notat, sist oppdatert 8.8.2023)
Sammendrag av innhold
Europakommisjonen la 15. september 2022 frem forslag om regulering av krav til cybersikkerhet i produkter med digitale elementer og software (Cyber Resilience Act, CRA). Omfanget av produkter som dekkes av forslaget til regulering er svært bredt og vil gjelde alt fra eksempelvis smartklokker og leketøy til rutere og brannmurer samt programvare som benyttes i produktene. Lovforslaget skal redusere sårbarheter i produkter som plasseres på markedet i EU/EØS, og sikre at produsenter blir ansvarlige for cybersikkerheten i produktene gjennom hele produktets livssyklus. Dette innebærer et ansvar fra utviklings- og designfasen og inntil fem år fra produktet plasseres på markedet. Reguleringen vil gjelde for alle produkter som er koblet enten direkte eller indirekte til en annen enhet eller et annet nettverk. Dette omfatter produkter som er koblet til et annet utstyr eller nettverk gjennom en kabel, ledning eller trådløst, eller gjennom programvaren i produktet. Produkter som ikke er direkte koblet til et annet utstyr eller nettverk omfattes også av reguleringen hvis produktet for eksempel er en del av et større system som er koblet til et nettverk eller system. På noen produktområder er det allerede fastsatt krav til nettsikkerhet på EU-nivå, og de er unntatt fra reguleringen. Dette gjelder medisinsk utstyr (forordning (EU) 2017/745), in-vitro diagnostisk medisinsk utstyr (forordning (EU) 2017/746), produkter omfattet av luftfartsregulering (forordning (EU) 2018/1139) og produkter omfattet av typegodkjenning av kjøretøy (forordning (EU) 2019/2144). Forordningen får heller ikke anvendelse på produkter med digitale elementer som er utviklet utelukkende for nasjonal sikkerhet eller militære formål, eller for produkter spesifikt designet for å behandle klassifisert informasjon.
EU har søkt å etablere et cybersikkerhetsøkosystem gjennom regler om kritisk infrastruktur, cybersikkerhetsberedskap og respons, og sertifisering av cybersikkerhetsprodukter. CRA skal ifølge Kommisjonen utfylle dette økosystemet. Reguleringen er ment å komplementere kravene i det grunnleggende EU cybersikkerhetsrammeverket i EU, Directive on the Security of Network and Information Systems (NIS2) og EU Cybersecurity Act.
Reglene som foreslås er basert på EUs produktlovgivning og vil fastsette:
a) regler for markedsføring av produkter med digitale elementer for å sikre produktenes nettsikkerhet,
b) krav til design, utvikling og produksjon av produkter med digitale elementer, og forpliktelser for virksomhetene knyttet til disse produktene,
c) krav til sårbarhetshåndteringsprosessene som produsentene skal innføre for å sikre cybersikkerheten til produkter med digitale elementer gjennom hele livssyklusen, og forpliktelser for virksomhetene i disse prosessene. Produsentene vil også måtte rapportere aktivt utnyttede sårbarheter og hendelser,
d) regler om markedsovervåking og håndheving
Lenke til Europakommisjonens pressemelding om saken: State of the Union: New EU cybersecurity rules (europa.eu)
Lenke til faktaark om forslaget: Cyber Resilience Act - Factsheet | Shaping Europe’s digital future (europa.eu)
I pressemeldingen fra Europakommisjonen vises det til at maskinvare- og programvareprodukter i økende grad blir utsatt for vellykkede cyberangrep, noe som i følge rapporten som det vises til i pressemeldingen (Cybersecurity – Our Digital Anchor JRC Publications Repository - Cybersecurity, our digital anchor (europa.eu)), fører til en estimert global årlig kostnad for nettkriminalitet på 5.5 billioner euro per 2021. Produktene lider av to store problemer som fører til økte kostnader for brukerne og samfunnet. De har et lavt sikkerhetsnivå med sårbarheter og utilstrekkelige sikkerhetsoppdateringer, og brukerne har ikke tilstrekkelig forståelse for produktene og mangler tilgang til informasjon om produktene, noe som hindrer brukerne i å velge produkter med tilstrekkelige cybersikkerhetsegenskaper eller bruke dem på en sikker måte.
Eksisterende lovgivning knyttet til cybersikkerhet gjelder visse produkter med digitale elementer, mens de fleste maskinvare- og programvareprodukter for øyeblikket ikke er dekket av noen EU-lovgivning. Det nåværende juridiske rammeverket i EU adresserer blant annet ikke cybersikkerheten til ikke-innebygd programvare, selv om cybersikkerhetsangrep i økende grad retter seg mot sårbarheter i slike produkter.
Det er identifisert to hovedmål med sikte på å sikre at det indre marked fungerer tilfredsstillende. For det første skal reguleringen legge til rette for utvikling av sikre produkter med digitale elementer ved å sikre at maskinvare- og programvareprodukter markedsføres med færre sårbarheter og sikre at produsenter tar sikkerhet på alvor gjennom et produkts livssyklus; og legge til rette for at det skal bli mulig for brukerne å ta hensyn til cybersikkerhet når de velger og bruker produkter med digitale elementer.
Fire konkrete mål er satt:
1. sørge for at produsenter forbedrer sikkerheten til produkter med digitale elementer i design- og utviklingsfasen og gjennom hele livssyklusen;
2. sikre et sammenhengende cybersikkerhetsrammeverk, som legger til rette for samsvar for maskinvare- og programvareprodusenter;
3. forbedre transparens for sikkerhetsegenskapene til produkter med digitale elementer, og
4. gjøre det mulig for bedrifter og forbrukere å bruke produkter med digitale elementer på en sikker måte.
Merknader
Rettslige konsekvenser
Ved en fremtidig gjennomføring i norsk regelverk må det vurderes behov både for lovendringer og behov for forskrift som kan sette de nærmere spesifikke kravene til aktuelle produkter.
Økonomiske og administrative konsekvenser
I høringen Cyber resilience act – new cybersecurity rules for digital products and ancillary services (europa.eu) som ligger til grunn for Kommisjonens forslag, vises det til at initiativet forventes å ha positive økonomiske konsekvenser. Å innføre horisontale cybersikkerhetskrav for digitale produkter og tilleggstjenester vil forbedre cybersikkerheten for forbrukere og brukere i hele forsyningskjeden og øke utvalget av varer og tjenester med høyere sikkerhet. Dette vil kunne styrke tilliten til den digitale økonomien, bidra til økonomisk vekst og investeringer. Videre vil forbedring av cybersikkerheten til produkter og tjenester bidra til å redusere tap av inntekter på grunn av cyberangrep, og redusere utgifter for å forhindre angrep. En studie utført av Kommisjonen i 2021 for å vurdere behovet for horisontale cybersikkerhetskrav for digitale produkter indikerte at fordelene med regulatorisk intervensjon ville oppveie de potensielle kostnadene. Å innføre ett sett med krav til samme type produkt på EU-nivå i stedet for ulike potensielt avvikende nasjonale regler, vil redusere regulatoriske kostnader og lage like spillregler for aktørene i markedet. Dette forventes å fremme konkurranse og innovasjon og stimulere den digitale overgangen. Initiativet forventes også å ha positive sosiale konsekvenser ved at nettkriminalitet reduseres. Det vil forbedre beskyttelsen av grunnleggende rettigheter (spesielt personopplysninger) ved å bidra til å redusere antall og alvorlighetsgraden av hendelser, inkludert datainnbrudd. Til slutt vises det i høringen til at styrking av cybersikkerheten til digitale produkter og tilleggstjenester kan ha positive miljøpåvirkninger ved å bidra til bredere bruk av siste generasjons digitale infrastruktur og tjenester, som er mer bærekraftige. Initiativet kan også føre til utskifting av eldre infrastrukturer, som ikke bare er mindre sikre, men også mindre energieffektive og miljøvennlige. Rettsakten innebærer plikter for produsenter og andre markedsaktører som gjør digitale produkter og software tilgjengelig på markedet i EU/EØS. Nye krav vil innbære at produkter som dekkes av rettsakten må være konstruert slik at de ivaretar kravene til cybersikkerhet. Dette vil innebære økte kostnader for produsenter.
For det offentlige vil en gjennomføring av ny regulering innebære kostnader til regelverksendringer og ressurser til oppfølging med tilsyn med at aktørene overholder kravene. Det må også påregnes noen kostnader knyttet til deltaktelse i aktuelle arbeidsgrupper under Kommisjonen og oppfølging av rapporteringsplikter i forordningen.
Sakkyndige instansers merknader
Rettsakten er under vurdering i spesialutvalget for indre marked, der berørte departementer er representert.
Vurdering
Det vurderes at en regulering som vil sette horisontale krav til digitale produkter og tilleggstjenester vil bidra til økt cybersikkerhet i Norge som i resten av EU/EØS og at heller ikke Norge har nasjonale regler som ivaretar de utfordringene som er skissert knyttet til cybersikkerhet. En regulering på EU/EØS nivå vurderes som hensiktsmessig. Forslaget anses som EØS-relevant. Behovet for tilpasningstekst er under vurdering.
Status
19.juli 2023 vedtok Rådet sin forhandlingsposisjon og det ble sendt ut en pressemelding Cyber resilience act: member states agree common position on security requirements for digital products - Consilium (europa.eu)