Cyber Resilience Act (CRA) blev offentliggjort for nyligt i EU-Tidende. Forordningen indeholder krav til cybersikkerheden for produkter med digitale elementer. Berørte virksomheder har nu 36 måneder til at implementere kravene i CRA. Visse anmeldelsespligter skal allerede opfyldes inden for de næste 21 måneder. Hvem skal helt præcist opfylde pligterne? Og hvad kræves der i CRA?
Ostfildern , 20. nov. 2024
Pilz informerer og giver tips til implementeringen – retligt bindende: Sådan kan virksomheder forberede sig på Cyber Resilience Act nu
EU-retsakt om cyber-resiliens (CRA): Formålet med CRA er at beskytte forbrugere og virksomheder bedre mod cyberangreb. CRA indeholder til dette formål mange krav til producenter, importører og forhandlere af produkter med digitale elementer, som er i stand til at kommunikere med andre produkter. Dette omfatter også hard- og softwareprodukter. Det påvirker dermed produkter fra både B2C-sektoren, som smartphones eller robotstøvsugere, og B2B-sektoren, som styringer og sensorer, samt rene softwareprodukter som operativsystemer. CRA blev offentliggjort i Den Europæiske Unions Tidende den 20.11.2024. Som forordning er denne lov direkte gældende i EU-medlemslandene.
De vigtigste krav til maskinproducenter
- Risikovurdering og -garanti: Producenter skal koncipere og udvikle produkter på en sådan måde, at der er garanti for en passende grad af cybersikkerhed gennem hele produktets livscyklus.
- Styring af svage punkter: Kendte svage punkter skal afhjælpes af producenten gennem gratis sikkerhedsopdateringer, medmindre andet er aftalt mellem producenten og erhvervsbrugeren.
- Dokumentation: Producenter skal identificere og dokumentere deres produkters svage punkter og komponenter.
- Anmeldelsespligter: Producenten skal anmelde et udnyttet svagt punkt via ENISA's (European Union Agency for Cybersecurity) anmeldelsesplatform inden for 24 timer efter, at det svage punkt er blevet kendt.
Det kan maskinproducenter gøre nu
Som ekspert i sikker automatisering anbefaler Pilz, at alle maskinproducenter hurtigt beskæftiger sig med kravene fra CRA og udvikler samarbejdskoncepter sammen med komponentproducenter og driftsansvarlige. I hvilken netværkszone skal en maskine anvendes? Hvordan skal softwareopdateringer håndteres? Hvis sådanne spørgsmål er afklaret på forhånd, kan alle erhvervsaktører opfylde deres nye organisatoriske og tekniske forpligtelser. Pilz har i årtier hjulpet maskinproducenter og brugere med deres maskiners og anlægs sikkerhed – også i forbindelse med de nye krav inden for emnet Industrial Security. For uden Security kan en maskine og de gennemførte Safety-foranstaltninger angribes og er ubeskyttede. Her gælder det om at gennemføre forebyggende foranstaltninger.
2 praktiske råd til implementering af kravene i CRA
- Sørg altid for at være opdateret: Abonnementer på nyhedsbreve og RSS-feeds på eur-lex.europa.eu informerer om lovændringer på EU-niveau.
- Common Security Advisory Framework (CSAF) er et standardiseret open-source-framework til kommunikation og automatiserbar distribution af maskinbearbejdelige informationer om svage punkter og risikoreduktion, såkaldte Security Advisories.
Pilz Skandinavien K/S
Ellegårdvej 25 D
6400 Sønderborg
Denmark
Telefon: +45 74436332
E-mail: pilz@pilz.dk
Telefon: +45 74436332
E-mail: pilz@pilz.dk