Hoppa till huvudinnehåll
Säkerhet 2025-01-15

EU:s regleringar för cybersäkerhet – byggnormer för en tryggare cyberdomän?

Vi vet att ”allt” blir mer uppkopplat och att detta ökar hotbilden mot organisationer och konsumenter. Cyberattacker, dataintrång och sårbarheter i digitala produkter har faktiskt blivit vardagsmat i nyhetsflödet, vilket borde göra cybersäkerhet till prioriterat i ledningsgrupper. EU har adresserat detta under sitt pågående ”digitala årtionde” med en rad av nya direktiv och förordningar som syftar till att skapa en säkrare digital miljö.

Carl-Johan Ekelund
Carl-Johan Ekelund
Security Team Lead
Eu Regleringar Cybersäkerhet

Som resultat av dessa kommer både produkter och tjänster kunna CE-märkas utifrån säkerhet, lite som byggnormer där en byggnad konstrueras på ett beprövat och tillförlitligt sätt!

Ett skifte mot ordning och reda för Cybersäkerhet

Tidigare har cybersäkerhet till stor del varit en ”frivillig” fråga för företag, styrd av marknadens krav snarare än lagar. Detta förändras nu.

Med regler som Cyber Resilience Act (CRA) och NIS2-direktivet tvingas företag att tänka om och integrera cybersäkerhet redan i designfasen av sina produkter. För konsumenterna innebär detta tryggare produkter, medan det för företagen betyder ökade krav på dokumentation, tester och certifiering.

Ett av de mest intressanta tillskotten i EU:s regelverk är CRA. Denna förordning, som förväntas träda i kraft inom de närmaste åren, ställer minimikrav på cybersäkerhet för alla produkter med digitala komponenter som säljs inom EU. Det innebär att allt från smarta kylskåp till industriella styrsystem måste uppfylla vissa standarder för att få säljas på marknaden, bland annat vilka open source-bibliotek som inkluderats i koden. Log4j någon? Produkter som inte lever upp till dessa krav kommer inte längre kunna CE-märkas, vilket i praktiken blockerar dem från EU-marknaden.

💡 Vad är CE-märkning och varför är den viktig?

CE-märkningen är en symbol som visar att en produkt uppfyller EU:s grundläggande krav på hälsa, säkerhet och miljö. Märkningen är viktig för att lagligt sälja produkter inom EU och har hittills främst fokuserat på områden som elsäkerhet och miljökrav. För att ge ett exempel: mobiltelefoners design CE-märks för att inte ge elstötar.

Nu breddas kraven för att inkludera cybersäkerhet!

Med CRA kommer tillverkare behöva bevisa att deras produkter är säkra mot cyberhot innan de kan CE-märkas. Det handlar inte bara om att uppfylla grundläggande säkerhetskrav, utan också om att visa att produkterna är designade för att kunna uppdateras och skyddas mot framtida hot. Detta skifte gör CE-märkningen till en ännu viktigare kvalitetsstämpel, inte bara för fysisk säkerhet utan också för digital trygghet.

Vilka regler gäller redan idag?

Flera regler är redan på plats som påverkar företag och produkter:

  • Radio Equipment Directive (RED): Denna förordning reglerar säkerhetskrav för radioutrustning och inkluderar från augusti 2024 även cybersäkerhetskrav. Produkter som t.ex. trådlösa routrar måste då CE-märkas utifrån dessa nya säkerhetskrav.
  • EU Cybersecurity Act: Introducerad 2019, men på gång att förändras, ett europeiskt ramverk för certifiering av cybersäkerhet. Certifieringen är ännu inte obligatorisk, men kommer bli en viktig grund för att uppfylla framtida krav enligt CRA.
  • NIS2-direktivet: Detta direktiv, förverkligas sannolikt i Sverige som ”Cybersäkerhetslagen” under 2025, ställer höga krav på organisationer inom kritiska sektorer, som energi, transporter och sjukvård, att säkra sina nätverk och system. Även om direktivet inte direkt rör CE-märkning, kommer dess fokus på robust cybersäkerhet indirekt påverka produktutveckling och tjänsteleveranser.

Vad innebär detta för företag?

För företag innebär de nya reglerna flera stora förändringar:

  • Ökade utvecklingskostnader: Säkerhetskrav som måste uppfyllas redan vid designstadiet innebär att företag behöver investera mer i forskning, tester och säkerhetslösningar.
  • Hårdare marknadskrav: Företag som inte lever upp till de nya standarderna riskerar att tappa den europeiska marknaden helt eller delvis.
  • Stärkt konkurrensfördel: För företag som snabbt anpassar sig till de nya reglerna finns möjligheter att ta ledningen i en marknad där säkerhet blir en konkurrensfaktor.

Vad kommer härnäst?

EU:s arbete med cybersäkerhetsregleringar är långt ifrån över. Utöver CRA och NIS2 väntar vi på att AI Act ska träda i kraft, vilket kommer ställa krav på riskbedömning i samband med utveckling av AI-system. För organisationer som omfattas av AI Act är AI-tillämpningarna som bedöms vara på nivån ”oacceptabel risk” förbjudna att utveckla, importera eller erbjuda inom EU.

cybersäkerhetsregleringar EU ligislative landscape
Bild från ENISA

Företag som vill ligga steget före bör redan nu börja arbeta med cybersäkerhet som en integrerad del av sin verksamhet. Genom att följa de frivilliga certifieringsramverk som finns tillgängliga via ENISA, EU:s cybersäkerhetsmyndighet, kan företag positionera sig inför kommande regleringar. Observera att när en lag börjar gälla så förväntas man ha efterlevnad mot den så påbörja arbetet så tidigt som möjligt.

Om vi följer dessa ”byggnormer” – är vi säkra då?

Både ja och nej, så vi säger väl som juristen – det beror på. Utmaningen ligger i att förutsättningarna i cyberdomänen förändras snabbare än i den analoga världen. Grundförutsättningarna för ett hus- eller vägbygge kan såklart förändras vilket kan leda till problem, men kännedom om risker och åtgärder för ett vanligt bygge är vanligtvis bättre.

I cyber kan risker och scenarios också vara svårare att förutse då utvecklingen ständigt rör sig. Omvärldsbevakning är ett viktigt område och vi behöver vara agila.

Sammanfattning och nyttor

De nya EU-reglerna för cybersäkerhet är viktiga. Istället för att behandla cybersäkerhet som ett onödigt ont, tvingas företag nu att bygga in säkerhet redan från början. Här kommer det systematiska säkerhetsarbetet göra stor nytta då det ska ta hänsyn till befintliga och kommande krav.

För konsumenterna, för oss i vår privata sfär, innebär detta tryggare produkter och tjänster medan det för företagen betyder både utmaningar och möjligheter.

Cybersäkerhet är inte längre bara en teknisk fråga – det är en ledningsfråga att information hanteras säkert i digtala uppkopplade system. Genom att anpassa sig till de nya reglerna kan företag inte bara säkra sin plats på marknaden, tänk konkurrensfördelar alltså, utan också bidra till en säkrare digital framtid för alla där vi slipper se vårt ”digitala hus” rasa när Kalle Anka och hans vänner önskar God Jul eller små grodorna ska hoppa runt midsommarstången!

Hur får vi koll på alla förkortningar som krockar och går i armkrok? Hör av er, det finns en förkortning för det med.

Carl-Johan Ekelund
Kontakta grna mig
Carl-Johan Ekelund, Security Team Lead
Skicka e-post
Referenser och läs mer

 

Cybersäkerhet

Skydda din verksamhet med effektiv cybersäkerhet

Cybersäkerhet är en investering som skyddar era digitala resurser och bidrar till en tryggare online-miljö. Vi erbjuder skräddarsydda lösningar för att skydda din verksamhet mot cyberhot.

Mer om Cybersäkerhet
Flexibel arbetsplats Vilka är attackvektorerna på ”kopieringsmaskinen” alla missar?