Organisationer har brugt årevis på at fokusere på at sikre sig selv. Men i takt med at Cyber Resilience Act (CRA) truer, flyttes fokusset til de produkter, de er afhængige af, og forsyningskæderne bag dem.
I løbet af det sidste år, implementeringen af NIS2-direktivet dominerede bestyrelseslokaler i hele Europa. Organisationer kæmpede for at vurdere risikoeksponering, stramme deres adgangskontroller og sikre, at deres interne operationelle robusthed var i overensstemmelse med reglerne.
Men at sikre din organisation er kun halvdelen af arbejdet, når de tredjepartsværktøjer, der opererer i den, kan introducere deres egne sårbarheder.
Nu udvides det regulatoriske fokus fra køberne af teknologi til dem, der udvikler den. Med EU's lov om cybermodstandsdygtighed (CRA) er trådt i kraft trådte i kraft i slutningen af 2024, udvikler æraen med den "sikre organisation" sig hurtigt til æraen med det "sikre produkt".
For sikkerhedsledere betyder det, at styringen af forsyningskæden snart bliver betydeligt strammere. Dagene med blind tillid og statiske leverandørspørgeskemaer er forbi. Her er hvorfor CRA ændrer reglerne for engagement, og hvorfor milepælen i september 2026 er det vækkeur, branchen har brug for.
Milepælen i september 2026 giver anledning til et 24-timers realitetstjek
Selvom den fulde vægt af CRA's omfattende "secure by design" og CE-mærkningskrav først træder i kraft den 11. december 2027, kommer det første større operationelle skift meget tidligere.
Senest den 11. september 2026 indfører artikel 14 i CRA obligatorisk, hændelsesudløst sårbarhedsrapportering. Producenter af produkter med digitale elementer, der omfatter både hardware og software, skal rapportere aktivt udnyttede sårbarheder til Den Europæiske Unions Agentur for Cybersikkerhed (ENISA) og deres nationale Computer Security Incident Response Team (CSIRT).
Tidslinjen er stram og kræver tidlig underretning uden unødig forsinkelse (ofte fortolket som inden for 24 timer), efterfulgt af mere detaljeret rapportering, efterhånden som undersøgelserne skrider frem.
Som Eclypsiums Chase Snyder noter I en nylig analyse indeholder "CRA også adskillige klausuler, der kræver 'rettidig' anmeldelse, offentliggørelse og afhjælpning af sårbarheder", og håndhævelsen skal intensiveres inden september 2026.
Afgørende er det, at denne forpligtelse gælder for produkter, der allerede er på EU-markedet, og som stadig understøttes eller vedligeholdes, ikke kun nye softwareudgivelser.
For store købere skaber dette en betydelig ringvirkning i forsyningskædens risiko. Hvis dine leverandører er afhængige af open source-komponenter, der er ved at være udtjent (EOL), og mangler den interne styring til at spore dem, bliver deres manglende compliance hurtigt din operationelle sårbarhed.
Brobygning af kløften, når NIS2 møder CRA
For at forstå fremtiden for forsyningskædestyring, er man nødt til at se på, hvordan NIS2 og CRA passer sammen. De er ikke konkurrerende rammer; de er komplementære dimensioner af den samme holistiske resiliensmodel.
NIS2 er organisationscentreret. Det kræver, at essentielle og vigtige enheder håndterer risici på tværs af deres aktiviteter, herunder dybe tredjepartsafhængigheder. Det spørger: "Er jeres aktiviteter modstandsdygtige over for forstyrrelser, herunder leverandørsvigt?"
CRA er produktcentreret. Den regulerer den faktiske hardware og software, der strømmer gennem forsyningskæden. Den kræver designbaseret sikkerhed, løbende livscyklusopdateringer og grundig håndtering af sårbarheder. Den spørger: "Er de værktøjer, du implementerer, fundamentalt sikre?" Som Meticulous Research fremhæver i deres OT/ICS markedsanalyse"CRA's SBOM-krav ... skaber en strukturel drivkraft for værktøjer til sårbarhedsstyring" på tværs af NIS2- og CRA-scopes.
Ejere af aktiver under NIS2 er ikke passive deltagere i dette skift. De forbliver ansvarlige for at vurdere og styre leverandørrisiko, men vil i stigende grad stole på deres leverandørers overholdelse af kreditvurderingsregler som en del af denne sikkerhedsmodel.
Slutningen på "statisk" tillid
Historisk set har styring af forsyningskæden været baseret på statisk dokumentation. En leverandør udfyldte et årligt sikkerhedsspørgeskema, afleverede en SOC 2-rapport, og tillid var etableret, i det mindste på papiret.
Under CRA er statisk tillid ikke længere tilstrækkelig.
Reguleringen introducerer kontinuerlig livscyklusstyring. Når en leverandør er tvunget til at vedligeholde en dynamisk softwareliste (SBOM) og aktivt rapportere fejl inden for en fastsat tidsramme, skal køberen have mekanismer på plads til at modtage, behandle og handle på disse data i realtid.
"CRA udvider ansvaret dybt ind i forsyningskæderne" forklarer Joe Hughes, vicepræsident for risikostyring i forsyningskæden, Fortress Information Security. "Kontrakter skal nu tydeligt beskrive leverandørforpligtelser, herunder SBOM'er".
Derudover har de kommercielle indsatser aldrig været højere. Hvis en kritisk softwareleverandør ikke overholder kreditvurderingsbureauets produktsikkerhedskrav inden fristen i december 2027, vil deres produkt blive frataget sin CE-mærkning. Uden et CE-mærke kan det ikke lovligt sælges eller anvendes på EU-markedet.
For indkøbsteams opløfter dette CRA-compliance fra en teknisk detalje til et fundamentalt kommercielt krav. Hvis din leverandør ikke overholder reglerne, kan du blive juridisk tvunget til at rippe og udskifte deres software, hvilket fører til operationelle udfordringer.
Opbygning af en aktiv forsyningskædestrategi
Dette regulatoriske skift repræsenterer en stor mulighed for fremsynede CISO'er til at bevæge sig fra defensiv, afkrydsningsfeltbaseret compliance til aktiv, indtægtsbeskyttende forvaltning. For at forberede sig på CRA-fristerne i 2026 og 2027 sammen med de løbende NIS2-forpligtelser skal ledere handle nu:
Kræv gennemsigtighed tidligtVent ikke til september 2026 med at spørge dine leverandører, hvordan de planlægger at håndtere ENISA-rapporteringskravene. Integrer CRA-parathed i dine indkøbskontrakter og leverandørers evalueringer i dag.
Kortlæg de "usynlige" afhængighederBrug det lovgivningsmæssige pres for SBOM'er til at få reel indsigt i fjerde- og femtepartsrisici. Forstå hvilke open source-frameworks, der er begravet i de kommercielle standardprodukter (COTS), du er afhængig af.
Saml dit risikoperspektivHåndtering af leverandørrisiko på tværs af NIS2, DORA og CRA ved hjælp af fragmenterede regneark er en opskrift på overskredne deadlines og blinde vinkler. Overgang til dynamiske, samlede styringsplatforme, der forbinder leverandørprofiler, hændelseslogfiler og compliance-statusser direkte til dit centrale risikoregister.
"Ledere kan betragte CRA som en katalysator til at opbygge stærkere, mere gennemsigtige og mere robuste forsyningskæder," ifølge OPSWAT's køreplan om softwareoverholdelse.
Modstandsdygtighed er ikke længere en isoleret øvelse
Det regulatoriske landskab sender et klart budskab: Modstandsdygtighed er ikke længere en isoleret intern øvelse. I takt med at fokus skifter fra sikre organisationer til sikre produkter, bliver forsyningskædestyring det ultimative verifikationslag for forretningsstabilitet.
Ved at omfavne dette skift nu forbereder du dig ikke bare på en regulatorisk deadline. Du opbygger en verificeret og hærdet forsyningskæde, der beskytter din driftsmæssige oppetid og accelererer din vækst i en stadig mere ustabil digital verden.
Udvid din viden
Blog: Forsyningskæder er komplekse, uigennemsigtige og usikre: Regulatorer kræver bedre
Guide: Sikring af forsyningskæden
