Cyber Resilience Act: Her er, hvad din virksomhed skal vide!

Cybercrime er i dag verdens mest lukrative kriminalitetsform, og cybertruslen er derfor hastigt stigende. Det er også grunden til, at EU har valgt at lade alle lovgivningskanoner i form af en række direktiver og lovsæt, som skal højne det fælles IT-sikkerhedsniveau i EU. Her kommer Cyber Resilience Act (CRA) til at spille en stor rolle. I denne artikel får du en dybdegående forståelse af, hvad Cyber Resilience Act indebærer, og hvordan din virksomhed kan forberede sig på at overholde lovkravene.

Antallet af virksomheder ramt af et cyberangreb i 2023 var en fordobling af antallet af virksomheder ramt året forinden. Det er derfor ikke svært at konkludere, at vi både på nationalt og internationalt niveau bliver nødt til at højne den generelle IT-sikkerhed. Netop derfor træder nye lovgivninger i form af NIS2, DORA og CRA-lovgivningen i kraft i de kommende år, og de underlagte virksomheder skal allerede nu i gang med at arbejde med deres compliance. René Matthiassen, rådgiver inden for IT-sikkerhed, forklarer i denne artikel, hvad CRA består af, hvem der er omfattet af lovgivningen, og hvilke krav der ligger til de underlagte virksomheder.

 

Hvad er Cyber Resilience Act?

Cyber Resilience Act er en lovgivning vedtaget af EU i november 2023, og har til formål at sikre en høj standard for cybersikkerhed hos europæiske virksomheder. Lovgivningen fokuserer på at gøre IT-systemer og digitale tjenester mere modstandsdygtige over for de stigende og stadigvæk mere intelligente cyberangreb hos både små og store virksomheder. Helt konkret omfatter lovgivningen krav til både hardware- og softwareprodukter samt digitale tjenester.

Loven gør op med utilstrækkelige sikkerhedsfunktioner i alt fra baby alarmer, robotstøvsugere, cirkulationspumper, smart-tv m.v. med indførelsen af obligatoriske cybersikkerhedskrav for producenter og forhandlere af sådanne produkter, hvor denne beskyttelse strækker sig gennem hele produktets livscyklus. Det gælder for både producenter og importører i EU. Da mere og mere af vores udstyr har forbindelse til internettet, er man dermed også mere udsat for eksempelvis hackerangreb og derfor stilles der krav til sikkerheden i produkterne for at beskytte forbrugerne” forklarer René Matthiassen.

 

Hvordan adskiller CRA-lovgivningen sig fra andet kommende lovgivning alla NIS2 og DORA?

EU har de seneste år haft travlt med at vedtage adskillelige nye lovsæt, som skal sikre de europæiske virksomheder mod cyberangreb. Her kan både NIS2- og DORA-direktiverne nævnes. Men hvad er forskellen på de forskellige direktiver og lovsæt, som netop nu vælter ned over virksomhederne?

“Cyber resillience act tager udgangspunkt i forbrugerne. Mens NIS2 omhandler virksomheder som leverer kritisk infrastruktur og som har stor betydning for driften af samfundskritiske funktioner, som eks. Transport, energi, sundhed m.fl. er DORA lavet til finansielle virksomheder, betalingsinstitutter, datacentraler samt forsikring og pensionsselskaber. Både NIS2 og DORA træder i kraft indenfor det næste halve års tid, hvor CRA indfases over 3 år, startende med de første krav i slutningen af 2025” forklarer René.

 

Hvem er omfattet af CRA-lovgivningen?

Cyber Resilience Act gælder for alle virksomheder, der opererer inden for EU og som tilbyder digitale produkter eller tjenester. Dette inkluderer både små, mellemstore og store multinationale virksomheder. Hvis din virksomhed designer, producerer, distribuerer eller sælger digitale produkter eller tjenester i EU, så er I omfattet af denne lovgivning. Forordningen trådte i kraft i første kvartal 2024 og reglerne finder anvendelse 36 måneder efter.

 

Hvad er kravene i Cyber Resilience Act?

At opnå et passende compliance-niveau kræver, at virksomheder får integreret sikkerhed i alle aspekter af deres digitale produkter og tjenester. Udover at bygge en sikkerhedsmur op omkring virksomheden, så kan et øget sikkerhedsniveau også beskytte både omdømme og bundlinje.

1. Sikkerhed fra design og standardindstillinger

En af de centrale krav er, at sikkerhed skal være en integreret del af virksomhedens produktdesign og standardindstillinger. Dette betyder, at virksomheder skal kunne garantere, at deres produkter er sikre ved levering og ikke kræver yderligere konfigurationer af fremtidige brugere for at opnå en acceptabel sikkerhedsniveau.

2. Kontinuerlig risikoanalyse

De underlagte virksomheder skal hertil løbende vurdere risiciene ved deres produkter og/eller tjenester. Dette indebærer at kunne identificere, vurdere og dokumentere potentielle sikkerhedstrusler og sårbarheder samt at implementere passende foranstaltninger for at mitigere disse risici.

3. Sikkerhedsopdateringer og vedligeholdelse

Lovkravene dikterer endvidere, at underlagte virksomheder regelmæssigt skal udsende sikkerhedsopdateringer for at rette kendte sårbarheder. Disse opdateringer skal være let tilgængelige og lette at installere for brugerne. Virksomheder skal også sikre, at deres produkter understøttes med sikkerhedsopdateringer i en passende periode efter salget.

4. Gennemsigtighed og rapportering

Afslutningsvist kræver lovgivningen, at virksomheder skal være transparante omkring deres cybersikkerhedsforanstaltninger og informere både kunder og myndigheder om eventuelle sikkerhedsbrister og de foranstaltninger, der træffes for at håndtere dem. Dette inkluderer også rapportering af alvorlige sikkerhedshændelser til relevante myndigheder inden for en fastsat tidsramme.

 

Hvordan kommer en virksomhed i mål med at blive CRA-compliant?

At blive CRA-compliant er en disciplin, som kræver fokus fra både medarbejdere og ledelse. Kravene i lovgivningen skal forståes til fulde, og hertil følger et større projekt med at få alle dele af forretningen compliant. Dette betyder både nye regelsæt og arbejdsrutiner for virksomhedens medarbejdere.

“Det handler om skabe sig et overblik over kravene, og hvor langt fra man fra disse. Det gøres med en GAP-analyse. Når overblikket er der, bør man sætte et projekt op med rutinerede eksperter, som har erfaringen med eks. compliance-programmer, udvikling og projekt- og forandringsledelse” forklarer IT-sikkerhedseksperten og uddyber:

“Men det er også vigtigt at virksomhedens medarbejdere – eksempelvis softwareudviklere, IT-arkitekter og især ledelsen er med i disse projekter. Selve rugbrødsarbejdet med lovkravene og at omsætte det til konkrete leverancer samt, hvordan virksomheden både skal kommunikere og få trænet og undervist virksomhedens medarbejdere, det kan man med fordel få ekstern hjælp til,” fortæller René.

 

Skal du være CRA-compliant inden 2025?

Hvis din virksomhed har brug for hjælp til at komme i mål med CRA’s krav, så kontakt vores senior rådgiver Allan von Staffeldt Beck på +45 3118 2488 eller ab@changegroup.dk.

Cyber Resilience Act (CRA)