hvordan man overholder den nye eu cyber resilience act banner

Sådan overholder du den nye EU-lov om cyberresiliens

Britisk lovgivning stjæler sjældent en march mod EU. Alligevel er det præcis, hvad der skete i april 2024, da Storbritanniens produktsikkerheds- og telekommunikationsinfrastruktur (PSTI) lov, som regulerer tilsluttede enheder, blev lov. Men hvad PSTI formåede i hastighed, mistede den i omfang. EU-versionen, Cyber ​​Resilience Act (CRA), er langt bredere og mere detaljeret og vil sætte en høj bar for overholdelse – hvilket kræver en stringent tilgang til styring af cyberrisiko.

På et højt niveau er CRA designet til at forbedre sikkerheden og pålideligheden af ​​tilsluttet teknologi og gøre det lettere for købere at skelne produkter af høj kvalitet takket være et dragemærkeskema. Med bøder på op til €15 mio. eller 2.5 % af den årlige omsætning er manglende overholdelse ikke en mulighed, og for britiske virksomheder, der ønsker at udnytte det store EU-marked, er det et must. Heldigvis vil overholdelse af bedste praksis sikkerhedsstandarder som ISO 27001 gøre meget af det tunge løft.

Hvad dækker det?

CRA gælder for:

  • Produkter med digitale elementer (PDE'er) – med andre ord software eller hardware, der kan forbindes til en enhed eller et netværk
  • En PDE's "fjerndatabehandling"-løsninger
  • En PDE's software eller hardwarekomponenter, som markedsføres separat

I praksis betyder det en bred vifte af produkter, herunder smarte enheder som smartphones, tablets, pc'er, tv'er og køleskabe, wearables og endda børnelegetøj. Nogle produktkategorier såsom medicinsk udstyr og køretøjer, som allerede er reguleret, er endnu ikke omfattet af CRA.

Hvad skal du gøre?

Lovgivningen vil gælde for producenter, deres autoriserede repræsentanter, importører, distributører og forhandlere. Det meste af overholdelsesbyrden vil falde på producenterne, som skal:

  • Vurder PDE-cybersikkerhedsrisici og sørg for, at produkter er designet og fremstillet i overensstemmelse med CRA's væsentlige cybersikkerhedskrav (ECR'er)
  • Sørg for, at komponenter, der kommer eksternt, ikke kompromitterer PDE'ens sikkerhed
  • Dokumenter og ret sårbarheder rettidigt
  • Giv sikkerhedssupport i fem år eller produktets levetid (alt efter hvad der er kortest)
  • Underret EU's sikkerhedsagentur ENISA inden for 24 timer efter, at du er blevet opmærksom på aktiv sårbarhedsudnyttelse eller en anden sikkerhedshændelse med oplysninger om korrigerende foranstaltninger
  • Angiv detaljerede oplysninger om, hvordan du installerer produktopdateringer, hvem du skal rapportere sårbarheder til og andre producentoplysninger
  • Etabler en overensstemmelsesvurderingsproces for at verificere CRA-overholdelse

Importører skal være opmærksomme på ovenstående for at opfylde deres forpligtelser til at sikre, at kun kompatible PDE'er sælges i EU. CRA har en omfattende liste over ECR'er opført i bilag I af lovgivningen, som er designet til at være åbne snarere end detaljefokuserede for at holde dem relevante, efterhånden som teknologien udvikler sig. De omfatter krav om, at PDE'er skal være:

  • Produceret fri for kendte sårbarheder, der kan udnyttes og med en sikker konfiguration som standard
  • Designet og fremstillet med "passende" niveauer af cybersikkerhed indbygget og på en måde, der reducerer virkningen af ​​sikkerhedshændelser
  • I stand til at beskytte mod uautoriseret adgang med stærk autentificering
  • I stand til at beskytte fortroligheden af ​​lagrede, transmitterede eller behandlede oplysninger, såsom via kryptering
  • I overensstemmelse med dataminimeringsprincipperne
  • Designet og produceret med en begrænset angrebsflade
  • Designet til at sikre, at sårbarheder kan repareres via produktopdateringer, automatisk hvor det er muligt
  • Produceret sammen med en politik for afsløring af sårbarhed

Tid til at planlægge

John Moor, leder af IoT Security Foundation (IoTSF), forklarer, at selvom det ikke er tid til at gå i panik endnu, bliver producenterne nødt til at begynde at samarbejde med deres forsyningskæder for at bestemme, hvordan nye produkter vil overholde CRA.

"Produkter på markedet er uden for rækkevidde for nu, men kan have brug for en end-of-life plan," siger han til ISMS.online. "Selvom tidslinjen er cirka 36 måneder, vil nogle hensættelser komme tidligere. Produktproducenter skal være kompatible på den dato, og i betragtning af at alle i forsyningskæden skal tage ejerskab, tyder det på fremadrettet planlægning."

Ud over at arbejde med disse forsyningskædepartnere bør producenter også vurdere, om interne processer er egnede til formålet ud fra et risiko- og sårbarhedsstyringsperspektiv, hævder Moor.

”Så kommer vi til selve produktet. Det er her, sikkerhed og privatlivs-by-design praksis træder i kraft. Mange producenter vil allerede være bekendt med disse elementer ud over den traditionelle funktionalitet, ydeevne og kraftovervejelser,” siger han. "Hvor kan de få hjælp? Konsulenter, testlaboratorier og organisationer som IoTSF. Vi blev oprettet i 2015 og kunne se, hvordan verden var på vej. Derfor har vi forudset, hvad der skulle komme, og har indlejret rådgivning, processer og metoder i vores guider og værktøjer."

Hvordan ISO 27001 kan hjælpe

I betragtning af CRA's langvarige og krævende overholdelseskrav kan organisationer også drage fordel af at følge allerede etablerede best practice-standarder, der er relevante for loven. Moor siger, at produktudviklingsstandarderne ISO/SAE 21434 for biler og IEC/ISA 62443 for industrielle kontrolsystemer nok er de mest relevante. Andre eksperter siger dog også, at der er en vis overlapning med ISO 27001.

Adam Brown, administrerende sikkerhedskonsulent hos Sort And, fortæller ISMS.online, at det kunne lægge et "godt grundlag" for britiske tech-firmaer, der kigger på CRA.

"ISO 27001's systematiske tilgang til risikostyring, sikker udvikling, forsyningskædesikkerhed, hændelsesrespons og livscyklusstyring dækker mange af de samme områder, som CRA lægger vægt på. ISO 27001 er dog rettet mod organisatorisk sikkerhed, mens CRA er rettet mod individuelle produkter,” tilføjer han.

"Organisationer, der har været igennem ISO-akkreditering, vil forstå risikovurdering; CRA kræver også en grundig risikovurdering pr. produkt. Secure by Design and Default: CRA Anneks 1(h) kræver, at produkter designes, udvikles og produceres for at begrænse angrebsoverflader, herunder eksterne grænseflader. Ligeledes omhandler ISO 27001's Annex A.14 sikker udvikling og support til informationssystemer, herunder integration af sikkerhed gennem hele softwareudviklingens livscyklus."

Den gode nyhed er, at tilpasning til ISO 27001 ikke kun vil sætte producenterne klar til succes med CRA-overholdelse. Det kan også hjælpe med at skabe et sikkert grundlag for en række andre branchebestemmelser og krav, fra NIS 2 til GDPR. Det kan være på tide at tage et kig.

Forfatter

Phil Muncaster

Phil Muncaster har været it-journalist i 20 år. Han startede som reporter på virksomhedens IT-titlen IT Week i 2005 og gik videre til rollen som nyhedsredaktør, før han rejste for at forfølge en freelancekarriere. Siden da har Phil skrevet for titler, herunder The Register, hvor han arbejdede som Asien-korrespondent, mens han havde base i Hong Kong i over to år, MIT Technology Review, SC Magazine, Infosecurity Magazine og andre.

Se alle indlæg af Phil Muncaster

Relaterede indlæg

SOC 2 er her! Styrk din sikkerhed og opbyg kundernes tillid med vores kraftfulde overholdelsesløsning i dag!