Du vet det sannolikt inte ännu, men för de allra flesta är tiden kort tills ni berörs av lagen. Alltså hög tid att börja prata om lagen, och ta reda på mer.
Dags också för Dataföreningen att starta ytterligare en ”Prata …. med oss!”-aktivitet dvs ”Prata EU Cyber Resilience Act (EU CRA) med oss!”
Nätverksledare: Per-Erik Eriksson, Västra kretsens säkerhetsexpert, talesperson säkerhet och dataskydd OCH sammanhållande för Dataförenings remissvar avseende den nya lagen, programleder tillsammans med Olle E. Johansson.
När: 4:e torsdagen i månaden kl 12:00 – 13:00, första tillfället blir alltså 2023-01-26 12:00 – 13:00
Olle E. Johansson, Edvina AB, har i över trettio år jobbat med kommunikation över IP-nätverk i många olika roller. Olle jobbade i många år som utvecklare av Asterisk – en telefonväxel i öppen källkod. I sin roll som nätverkskonsult och utvecklare jobbar han med allt från molntjänster till inbyggda system, där system- och nätverkssäkerhet alltid är en viktig del. Olle är ofta lärare på kurser och talare på konferenser runt om i Europa. Käpphästar för Olle är, förutom realtidskommunikation med WebRTC och SIP är PKI, TLS, IPv6 och TCP/IP.
Kostnadsfritt för medlemmar i Dataföreningen, fr.o.m. mars betalar icke medlem 300 kr per gång.
Info/bakgrund till denna aktivitet
När lagen börjar gälla kommer den ställa krav på att program/system-utveckling, inklusive hårdvara med inbyggd programvara, sker på ett säkert sätt så att alla programleverantörer i EU kan certifiera sin produkt (jämför CE-märkning). Detta gäller även för de som importerar och vidaresäljer programvara/prylar med programvara.
Effekten av lagen torde gå att jämställa med GDPR, inte minst kommer många, många, många företag i EU behöva vidta åtgärder. Exempel finns redan där företags ledning har bestämt sig för att lägga ner vissa produkter istället för att ta risken med böter. Inte bara högsta ledningen utan även t.ex. produktägare torde alltså ha anledning att se om sitt hus.
På samma sätt som med t.ex. GDPR finns böter i det fall man bryter mot lagen. Maxbeloppet är EUR 15 000 000, respektive 2,5% på den gobala omsättningen.
Du som utvecklar eller importerar och vidaresäljer programvara, och era kunder, kommer behöva se över hur ni jobbar med utveckling av säker programvara, dokumentation, lathundar, verktyg, löpande utbildning m.m.
Vidare kommer ni behöva se över vad ni har levererat till kund. Och… en hel del ytterligare…
Du som vill veta mer, lagtexten är nyttig läsning. Länk till lagtexten (engelsk och svensk)
Googlar du så lär du hitta ytterligare material. Använd t.ex. sökbegreppet EU cyber resilience act, eller detta som är försättsbladet på den lagtext som just nu är på remiss i Sverige.
COM(2022) 454 final
2022/0272 (COD)
Förslag till
EUROPAPARLAMENTETS OCH RÅDETS FÖRORDNING
om övergripande cybersäkerhetskrav för produkter med digitala element och om ändring av förordning (EU) 2019/1020
Ähhh, det här var jobbigt/dyrt etc, avvaktar/prokrastinerar!
För er som eventuellt överväger att avvakta/prokrastinera. Dessa tider gäller
- 2023-02-21 Remissvar ska ha kommit Finansdepartementet till del.
- (Dataföreningen avser vara klar med sitt remissvar i god tid till detta datum)
- Lagen antas – oklart när exakt lagen antas, någon gång under första halvåret 2023 har nämnts som troligt alternativ
- 1 år efter att lagen antagits
- Era produkter ska omfattas av effektiv sårbarhetshantering
- Sårbarheter som upptäcks och redan utnyttjas ska rapporteras till ENISA inom 24 timmar
- 2 år efter att lagen antagits
- Krav på att nya produkter är ”säkra by default”
- Krav även på att uppgraderingar av befintliga produkter är ”säkra by default”
- 5 år efter att en produkt släppts ut på marknaden, eller produktens livslängd, om kortare
- Uppgraderingar för att täppa till sårbarheter krävs
- Information till användare om sårbarheter måste lämnas
- 10 år efter att en produkt introducerats på marknaden
- Tillverkare och distributörer måste hålla reda på alla parter inblandade i distribution och tillverkning av produkten
Endast små ändringar lär behövas för många produkter. Dock, lär detta för merparten innebära behov av omfattande arbete för de som önskar kunna fortsätta sälja sin produkt utan att riskera sanktionsavgift (böter…)
Vad beträffar arbetet med säker utveckling, sårbarhetshantering, hantering av tredje part och release av nya produkter etc.
Vänta inte! Börja arbetet omedelbart. Du/ni är redan sena…!