Prata EU Cyber Resilience Act med oss!

Ledare: Olle E Johansson och Per-Erik Eriksson

Prata EU Cyber Resilience Act (CRA-lagen) och NIS2-direktivet/Cybersäkerhetslagen med oss är delen i Prata ____ med oss som infaller den fjärde torsdagen varje månad. Under dessa träffar fördjupar vi oss i effekterna av den nya lagen, en lag som kommer beröra fler än vad man kanske tror.

Olle E Johansson har i över trettio år jobbat med kommunikation över IP-nätverk i många olika roller. Olle jobbade i många år som utvecklare av Asterisk – en telefonväxel i öppen källkod. I sin roll som nätverkskonsult och utvecklare jobbar han med allt från molntjänster till inbyggda system, där system- och nätverkssäkerhet alltid är en viktig del. Olle är ofta lärare på kurser och talare på konferenser runt om i Europa. Käpphästar för Olle är, förutom realtidskommunikation med WebRTC och SIP är PKI, TLS, IPv6 och TCP/IP.

Varför behöver vi lära oss om NIS2 och CRA? Några korta svar:

• När lagen börjar gälla kommer den ställa krav på att program/system-utveckling, inklusive hårdvara med inbyggd programvara, sker på ett säkert sätt så att alla programleverantörer i EU kan certifiera sin produkt (jämför CE-märkning). Detta gäller även för de som importerar och vidaresäljer programvara/prylar med programvara.
• Lagen kommer troligtvis att ha dramatiska effekter för företag - men även du som produktanvändare kommer att drabbas. Exempel finns redan där företagsledningar bestämt sig för att lägga ner vissa produkter istället för att ta risken med böter*. Du som utvecklar eller importerar och vidaresäljer programvara, och era kunder, kommer behöva se över hur ni jobbar med utveckling av säker programvara, dokumentation, lathundar, verktyg, löpande utbildning m.m.
• Endast små ändringar lär behövas för många produkter. Dock lär detta för merparten innebära behov av omfattande arbete för de som önskar kunna fortsätta sälja sin produkt utan att riskera sanktionsavgift (böter).

Vad beträffar arbetet med säker utveckling, sårbarhetshantering, hantering av tredje part och release av nya produkter etc, är det dags att börja arbetet nu. Vänta inte! Du/ni är redan sena…!

Vill du veta mer om CRA och läsa på på egen hand? Här kan du läsa lagtexten på Engelska. Och här finns en länk till en bra guide som svenska Induo gjort om CRA.

Överväger du att avvakta/prokrastinera? Detta är tidslinjen efter att lagen blivit antagen:

• 1 år efter att lagen antagits
  • Era produkter ska omfattas av effektiv sårbarhetshantering
  • Sårbarheter som upptäcks och redan utnyttjas ska rapporteras till ENISA inom 24 timmar
• 2 år efter att lagen antagits
  • Krav på att nya produkter är "säkra by default"
  • Krav även på att uppgraderingar av befintliga produkter är "säkra by default"
• 5 år efter att en produkt släppts ut på marknaden, eller produktens livslängd, om kortare
  • Uppgraderingar för att täppa till sårbarheter krävs
  • Information till användare om sårbarheter måste lämnas
• 10 år efter att en produkt introducerats på marknaden
  • Tillverkare och distributörer måste hålla reda på alla parter inblandade i distribution och tillverkning av produkten

*På samma sätt som med t.ex. GDPR finns böter i det fall man bryter mot lagen. Maxbeloppet är EUR 15 000 000, respektive 2,5% på den gobala omsättningen.