Cyber Resilience Act (CRA) - Implementering og compliance
Europa-Kommissionen har sat en klar kurs for europæiske virksomheder i dette årti. Der er fokus på Europas digitale omstilling henimod 2030, hvor virksomheder skal være med til at skabe større digital sikkerhed og tryghed. For at lykkes med det har kommissionen iværksat fire større direktiver og love, som din virksomhed med stor sandsynlighed bliver omfattet af. Et af dem er Cyber Resilience Act (CRA), der er et centralt lovgivningsinitiativ fra den Europæiske Union, der har til formål at sikre et højt niveau af cybersikkerhed på tværs af digitale produkter og tilknyttede tjenester. CRA’s tilgang til produktsikkerhed kommer bl.a. til at påvirke OT-miljøer, især med hensyn til produktlivscyklusstyring. Der er heldigvis hjælp at hente, hvis din virksomhed er omfattet CRA. Når vi er en del af dit team, arbejder vores rådgivere med at implementere en effektiv cybersikkerhedsstyring gennem f.eks. IEC 62443, så din virksomhed kan blive compliant med Cyber Resilience Act (CRA).
Allan von Staffeldt Beck
Hvad er Cyber Resilience Act (CRA)?
Som en del af EU’s ”digitale årti” er Cyber Resilience Act (CRA), udover NIS2, Cybersecurity Act og Digital Operational Resilience Act (DORA), et af fire direktiver og love der rammer europæiske virksomheder og organisationer i de kommende år. Cyber Resilience Act (CRA) er et centralt lovgivningsinitiativ fra den Europæiske Union, der har til formål at sikre et højt niveau af cybersikkerhed på tværs af digitale produkter og tilknyttede tjenester. Det omhandler sikkerheden af netværk og informationssystemer, med fokus på aspekter som risikostyring, hændelsesrespons og forsyningskædesikkerhed. I en OT-sikkerhedskontekst er forståelsen af CRA afgørende for overholdelse og forbedring af cybersikkerhedsresiliens.
Som med den seneste europæiske teknologiregulering vil CRA komme med truslen om høje bøder for manglende overholdelse – op til €15 millioner eller 2,5 % af den globale omsætning. Aftalen mellem EU-institutionerne baner vejen for, at CRA kan komme ind i EU's vedtægtsbøger efter en formel godkendelse, hvilket sker i begyndelsen af 2024. Herefter vil forpligtelser i henhold til loven træde i kraft over en trinvis overgangsperiode med bl.a. sårbarhedsrapporteringsforpligtelser, der begynder efter 21 måneder (det vil sige i slutningen af 2025). Resterende forpligtelser træder i kraft efter tre år, altså i 2027. Selvom CRA gælder bredt for "products with digital elements" (PDE), er det især fokuseret på visse 'vigtige' eller 'kritiske' PDE'er. Den endelige liste over PDE'er i disse kategorier er endnu ikke offentliggjort, men den vil sandsynligvis omfatte elementer, der dækker både software (såsom antivirussoftware og VPN'er) og tilsluttede enheder såsom "smart home"-enheder, forbundet legetøj og wearables.
Kernekrav i CRA
- Målrettet en bred vifte af digitale produkter og tjenester (PDE) med fokus på producenter, distributører og importører.
- Design af PDE'er til at opfylde visse essentielle cybersikkerhedskrav gennem risikovurdering og beskyttelse mod kendte sårbarheder.
- Underretning af identificerede sårbarheder (inden for 24 timer) til den relevante nationale cybersikkerhedsmyndighed - enheden, der vedligeholder den sårbare PDE og potentielt ENISA.
- Underretning af alvorlige sikkerhedshændelser til ENISA - den relevante nationale cybersikkerhedsmyndighed og brugere af PDE.
Forbedret OT-sikkerhed med CRA og IEC 62443
Både CRA og IEC 62443 understreger en proaktiv tilgang til cybersikkerhed, idet risikovurdering og -styring prioriteres. De går ind for en security-by-design-filosofi, der sikrer cybersikkerhedsovervejelser gennem hele produktets livscyklus. Begge rammeværk understreger vigtigheden af hændelseshåndtering og -respons, der sikrer beredskab mod cybertrusler. Integrering af CRA-principper inden for IEC 62443-rammen kan føre til en mere holistisk sikkerhedsstrategi i OT-miljøer. Ved at tilpasse CRA's forbrugerproduktfokuserede tilgang til IEC 62443's fokus på industrielle kontrolsystemer kan virksomhederne opnå en mere robust security posture (minimizing the attack surface).
Virksomheder der arbejder med at blive compliant med Cyber Resilience Act kan bl.a. opnå nogle af disse fordele:
- Minimering af risici ifm. compliance med EU-lovgivning
- Licens to operate, da CRA bliver krav fra kunder og til underleverandører
Bliv compliant med Cyber Resilience Act (CRA)
Gennem vores fire-trins implementeringsmodel for CRA hjælper vi din virksomhed med at skabe en robust cybersikkerhed, der er afgørende for kritiske industrielle operationer.
Trin 1: Foranalyse
For at komme i gang med risikovurderingen er det vigtigt at afklare mål for projektet, scope samt afstemme forventninger. En rådgiver fra ChangeGroup hjælper med at analysere og kortlægge virksomhedens sikkerhedsmål og rammer ud fra forretningsstrategi og målsætninger. Foranalysen skaber afsæt for etablering af et sikkerhedsudvalg samt afklaring af mål for informationssikkerhed og dermed risikovurderingen i relation til Cyber Resilience Act (CRA).
Trin 2: Risikovurdering
Vi kortlægger din virksomheds informationssikkerhedsrisici i samarbejde med procesejere, systemejere, platformsejere og brugere inden for rammerne og de foruddefinerede kriterier. Analysen klarlægger risikobilledet ud fra en prioriteret liste over risici forbundet med Cyber Resilience Act (CRA).
Trin 3: Udarbejdelse af risikohåndteringsplan
Efter analysen udarbejder vi en plan for håndtering af dine risici ud fra et cost/benefit perspektiv og din sikkerhedsmålsætning. Det indebærer bl.a. afklaring af, om den enkelte risiko skal accepteres, flyttes, helt undgås eller inddæmmes yderligere, f.eks. ved hjælp af kontroller.
Trin 4: Implementering og forankring
Planen fødes ind i implementeringsprojektet af CRA, som eksekveres gennem fokus på projektledelse og forandringsledelse, der sikrer, at målsætninger realiseres. Vi arbejder med virksomhedens processer, arbejdsgange, politikker, retningslinjer og kontroller. Gennem fokus på forandringsledelse skaber vi en kulturforandring omkring håndtering af informationssikkerhed og sikrer høj forankring af det nye årshjul i organisationen.
Øg OT-sikkerheden sammen med os
Hos ChangeGroup hjælper vi flere kunder med at beskytte deres virksomheds informationer. 150 af vores dygtige konsulenter er bl.a. certificeret i EU persondataforordningen, CIPP/E, CIPM, ISO 27001 og IEC 62443. Vores rådgivere og subject matter-eksperter hjælper med at udarbejde en risikovurdering, der kortlægger informationssikkerhedsrisici. Det skaber et solidt afsæt for din sikkerhedsstrategi, samt effektiv udnyttelse af ressourcer i de områder, hvor din virksomhed er mest sårbar jf. IEC 62443.