Cyber Resilience Act (CRA) publicerades nyligen i EU:s officiella tidning. Förordningen innehåller riktlinjer för cybersäkerheten hos produkter med digitala komponenter. Berörda företag har nu 36 månader på sig att implementera kraven som står i CRA. Vissa anmälningsskyldigheter ska följas redan inom de kommande 21 månaderna. Vad exakt innebär skyldigheten? Och vad är det som krävs i CRA?
Ostfildern , 20 nov. 2024
Pilz informerar och ger tips om implementeringen – Rättsligt bindande: Hur företag nu kan förbereda sig inför Cyber Resilience Act
EU:s rättsakt om cyberresiliens: Målet med CRA är att bättre skydda konsumenter och företag mot cyberattacker. CRA omfattar en mängd krav för tillverkare, importörer och återförsäljare av produkter med digitala element som kan kommunicera med andra produkter. Detta innefattar maskin- och programvara. Produkter från B2C-området, som t.ex. smarttelefoner och robotdammsugare, berörs av förordningen, och det gör även produkter från B2B-området, som t.ex. styrningar och sensorer, men också rena programvaruprodukter som operativsystem. CRA publicerades i EU:s officiella tidning den 20.11.2024. Som förordning är lagen omedelbart gällande i EU:s medlemsländer.
De viktigaste kraven för maskintillverkare
- Riskbedömning och riskgaranti: Tillverkare måste utforma och utveckla produkter så att en lämplig nivå av cybersäkerhet kan säkerställas under hela produktlivscykeln.
- Sårbarhetshantering: Kända svaga punkter ska åtgärdas av tillverkaren genom kostnadsfria säkerhetsuppdateringar, om inte tillverkaren och den kommersiella användaren har något annat avtalat.
- Dokumentation: Tillverkare måste identifiera och dokumentera produkternas svaga punkter och komponenter.
- Anmälningsskyldighet: inom 24 timmar efter det att en utnyttjad svag punkt har upptäckts ska tillverkaren anmäla detta via anmälningsplattformen ENISA (European Union Agency for Cybersecurity).
Vad man som maskintillverkare kan göra nu
Som expert inom säker automation rekommenderar Pilz att alla maskintillverkare inom snar framtid sätter sig in i kraven i CRA och utvecklar koncept för samarbete tillsammans med komponenttillverkarna och operatörerna. I vilken nätverkszon ska en maskin drivas? Hur ska programvaruuppdateringar hanteras? När sådana frågor har besvarats kan alla näringslivsaktörer utföra sina nya organisatoriska och tekniska uppgifter. Sedan decennier hjälper Pilz maskintillverkare och användare med säkerheten för deras maskiner och anläggningar – även med de nya kraven vad gäller industrial security. Utan security är en maskin nämligen sårbar och oskyddad, även tillsammans med vidtagna safety-åtgärder. Här gäller det att vidta förebyggande åtgärder.
2 praktiska tips för implementeringen av CRA-riktlinjerna
- Håll dig uppdaterad: De som prenumererar på nyhetsbrev och RSS-flöden på eur-lex.europa.se håller sig informerade om lagändringar på EU-nivå.
- Common Advisory Framework (CSAF) är ett standardiserat ramverk med öppen källkod för förmedling och automatiserbar fördelning av maskinbehandlad sårbarhets- och mildringsinformation, så kallade Security Advisories.
Pilz Skandinavien K/S, dansk Filial
Smörhålevägen 3
434 42 Kungsbacka
Sweden
Telefon: +46 300 13990
E-post: pilz.se@pilz.dk
Telefon: +46 300 13990
E-post: pilz.se@pilz.dk