Prata EUCRA med oss innebär att vi ses en gång i månaden för att tala om den nya lagen. Kort sagt så fördjupar vi oss i effekterna av den, och nosar på ämnet med nätverksledare Olle E. Johansson som planlägger & styr samtalen, tillsammans med Per-Erik Eriksson, som även är nätverksledare för Prata Säkerhet med oss! ur Prata __ med oss- grupperna.
Vi står inför en lag som kommer beröra många fler än vad man kanske tror. Och för de flesta är tiden kort tills man själv berörs av lagen. Därför är vi under våra Meet&Learns nyfikna på ämnet och fördjupar oss i allt som lagen kan beröra.
När lagen börjar gälla kommer den ställa krav på att program/system-utveckling, inklusive hårdvara med inbyggd programvara, sker på ett säkert sätt så att alla programleverantörer i EU kan certifiera sin produkt (jämför CE-märkning). Detta gäller även för de som importerar och vidaresäljer programvara/prylar med programvara.
Lagen kommer troligtvis att ha dramatiska effekter för företag - men även du som produktanvändare kommer att drabbas. Exempel finns redan där företagsledningar bestämt sig för att lägga ner vissa produkter istället för att ta risken med böter*. Du som utvecklar eller importerar och vidaresäljer programvara, och era kunder, kommer behöva se över hur ni jobbar med utveckling av säker programvara, dokumentation, lathundar, verktyg, löpande utbildning m.m.
Endast små ändringar lär behövas för många produkter. Dock lär detta för merparten innebära behov av omfattande arbete för de som önskar kunna fortsätta sälja sin produkt utan att riskera sanktionsavgift (böter).
Vad beträffar arbetet med säker utveckling, sårbarhetshantering, hantering av tredje part och release av nya produkter etc, är det dags att börja arbetet nu. Vänta inte! Du/ni är redan sena…!
Du som vill veta mer, lagtexten är nyttig läsning. Här kan du läsa den på Engelska. Och här finns en länk till en bra guide som svenska Induo gjort om CRA.
För er som eventuellt överväger att avvakta/prokrastinera. Dessa tider gäller
- 2023-02-21 Remissvar ska ha kommit Finansdepartementet till del.
- (Dataföreningen avser vara klar med sitt remissvar i god tid till detta datum)
- Lagen antas - oklart när exakt lagen antas, någon gång under första halvåret 2023 har nämnts som troligt alternativ
- 1 år efter att lagen antagits
- Era produkter ska omfattas av effektiv sårbarhetshantering
- Sårbarheter som upptäcks och redan utnyttjas ska rapporteras till ENISA inom 24 timmar
- 2 år efter att lagen antagits
- Krav på att nya produkter är "säkra by default"
- Krav även på att uppgraderingar av befintliga produkter är "säkra by default"
- 5 år efter att en produkt släppts ut på marknaden, eller produktens livslängd, om kortare
- Uppgraderingar för att täppa till sårbarheter krävs
- Information till användare om sårbarheter måste lämnas
- 10 år efter att en produkt introducerats på marknaden
- Tillverkare och distributörer måste hålla reda på alla parter inblandade i distribution och tillverkning av produkten
*På samma sätt som med t.ex. GDPR finns böter i det fall man bryter mot lagen. Maxbeloppet är EUR 15 000 000, respektive 2,5% på den gobala omsättningen.
När: 4:e torsdagen i månaden kl 12:00 - 13:00
Frekvens av träffar: Månadsvis
ALLTID kostnadsfritt för medlemmar i Dataföreningen.
Om nätverksledarna
Olle E. Johansson
Olle E. Johansson, Edvina AB, har i över trettio år jobbat med kommunikation över IP-nätverk i många olika roller. Olle jobbade i många år som utvecklare av Asterisk – en telefonväxel i öppen källkod. I sin roll som nätverkskonsult och utvecklare jobbar han med allt från molntjänster till inbyggda system, där system- och nätverkssäkerhet alltid är en viktig del. Olle är ofta lärare på kurser och talare på konferenser runt om i Europa. Käpphästar för Olle är, förutom realtidskommunikation med WebRTC och SIP är PKI, TLS, IPv6 och TCP/IP.
Per-Erik Eriksson
Per-Erik har i över trettio år arbetat med säkerhet och internet. Han är styrelseledamot i Dataföreningen Västra Kretsen och Västra kretsens talesperson vad gäller säkerhet och dataskydd/privacy. Per-Erik ansvarar också för Dataföreningens remissvar till Finansdepartementet avseende den föreslagna EU Cyberresilience akten. Per-Erik startade i maj 2020 aktiviteten Prata säkerhet med oss som därefter körts varje 1:a torsdagen i månaden. Under vägen har detta knoppat av ytterligare 3 aktiviteter där han även medverkar som moderator.