Nyhet

Europeiska Kommissionen föreslår en Cyber Resilience Act

12 oktober 2022

Kommissionen presenterade 15 september ett förslag till en ny förordning med regler om cybersäkerhet med syfte att ska skydda konsumenter och företag från digitala produkter med otillräckliga säkerhetsfunktioner. Bakgrunden består till stor del av de det kraftigt ökade antalet cyberattacker under pandemin.

Kommissionen har uppskattat de årliga kostnaderna för dataintrång till minst 10 miljarder EUR. Till detta kommer de årliga kostnaderna för skadliga försök för att störa internettrafiken, som uppgår till minst 65 miljarder EUR. Förslaget (Cyber Resilience Act (COM (2022) 454 final) bygger på EU:s strategi för cybersäkerhet och strategin för EU:s säkerhetsunion.

 

Kommissionen föreslår följande åtgärder:

  1. Regler för utsläppande på marknaden av produkter med digitala komponenter för att säkerställa deras cybersäkerhet,
  2. nyckelkrav för utformning, utveckling och produktion av produkter med digitala komponenter samt skyldigheter för ekonomiska aktörer i fråga om dessa produkter,
  3. nyckelkrav för de processer för sårbarhetshantering som införs av tillverkare för att säkerställa cybersäkerheten i produkter med digitala komponenter under hela livscykeln och de ekonomiska aktörernas skyldigheter i samband med dessa processer
  4. en rapporteringsskyldighet för tillverkarna avseende aktivt utnyttjad sårbarhet och incidenter, samt
  5. regler om marknadskontroll och tillsyn.

 

Förordningen föreslås gälla alla produkter som direkt eller indirekt ansluts till en annan enhet eller till ett nätverk, med vissa undantag för bland annat medicintekniska produkter, luftfart och bilar som redan omfattas av existerande EU-lagstiftning.

Skyldigheter för ekonomiska aktörer

Ansvaret för att digitala produkter uppfyller säkerhetskraven faller enligt förslaget på tillverkarna, som ska säkerställa att kraven i förordningen efterlevs under produktens fullständiga tillverkningsprocess, inklusive vid utformning, utveckling och produktion. Tillverkarna ska även rapportera om sårbarheter under produktens livstid eller under fem år från det att produkten släpps ut på marknaden, beroende på vad som är kortast. Det ankommer dessutom på importörer och distributörer att endast importera respektive distribuera produkter som uppfyller de krav som föreskrivs i förordningen, vilket bland annat kan göras genom att undersöka den tekniska dokumentationen, eller att säkerställa att produkten i fråga har en CE-märkning.

Förslaget ålägger tillverkare att ta fram en så kallad ”declaration of conformity” samt övrig teknisk dokumentation som bevisar efterlevnad av nyckelkraven i förordningen. Denna dokumentation ska bland annat inkludera en detaljerad beskrivning av produkten, dess tillverkningsprocess och en riskbedömning samt testrapporter från tillverkningsprocessen.

En mer omfattande konformitetsbedömning föreslås för produkter som anses ha hög cyberrisknivå såsom operativsystem till datorer och mobiler, lösenordshanterare samt webbläsare. Denna konformitetsbedömning kommer bland annat kräva undersökning och tester genomförda av anmälda organ som utses och bevakas av den nationella tillsynsmyndigheten. Kommissionen föreslås kunna meddela särskilda krav rörande produkter med hög cybersäkerhetsnivå för vilka det kommer krävas ett EU-cybersäkerhetsintyg i enlighet med cybersäkerhetsakten (förordning 2019/881) för att beviljas CE-märkning.

Förslaget anger vidare nyckelkrav som alla produkter måste uppfylla under tillverkningsprocessen, vilket bland annat inkluderar att säkerställa att personuppgifter skyddas genom kryptering och att sårbarheter i produkter kan åtgärdas via säkerhetsuppdateringar. Tillverkare ska även genomföra en utförlig riskbedömning vars resultat ska ingå i dokumentationen som ska tas fram i samband med att produkten släpps ut på marknaden. Förslaget innehåller vidare krav avseende sårbarhetshantering under hela produktens livstid. Dessa innefattar bland annat en skyldighet att rapportera sårbarheter till EU:s cybersäkerhetsbyrå (ENISA) inom 24 timmar från att man blivit medveten om en sårbarhet. Användarna av produkten ska också informeras om incidenter och, om nödvändigt, om vilka åtgärder som de kan vidta. Produktens säkerhet ska testas och undersökas regelbundet av tillverkaren.

Tillsyn och efterlevnad

Kommissionens förslag fördelar ett antal befogenheter mellan medlemsstaterna, ENISA och Kommissionen. Medlemsstaterna ska utse nationella myndigheter vars uppgift är att säkerställa efterlevnad, bevaka och undersöka arbetet som genomförs av tillverkarna och de anmälda organen vid exempelvis efterlevnadsbedömningar. Medlemsstaterna ska även föreskriva påföljder för bristande efterlevnad vilket ska bestå av böter som inte överskrider EUR 15 000 000 eller 2.5% av den berörda aktörens årsomsättning.

ENISA föreslås ta emot anmälningar från tillverkare om sårbarheter och brister som upptäckts i produkter och vidarebefordra dessa till de berörda nationella myndigheterna samt till de nationella kontaktpunkter som ska ha utsetts av medlemsstaterna i samband med ikraftträdandet av det föreslagna NIS2-direktivet. Baserat på de anmälningar som tas emot ska ENISA vart annat år producera en teknisk rapport om trender avseende cybersäkerhetsrisker relaterade till digitala produkter.

Kommissionen föreslås få befogenhet att uppdatera listan av produkter med hög cyberrisknivå mot bakgrund av produktutveckling och trender. Kommissionen ska också säkerställa samordning och samarbete mellan anmälda organ. Kommissionen föreslås vidare få en central roll i de olika förfaranden som ska tillämpas när produkter med betydande cybersäkerhetsrisker upptäcks.

Förordningens mål

Enligt Kommissionen kommer förordningen att leda till färre cyberattacker och därigenom lägre kostnader för incidenthantering. Kommissionen menar att ökad cybersäkerhet i digitala produkter även kommer förbättra företagens ambitioner avseende säkerhetsnivå och bidra till ökad efterfrågan för produkter med digitala komponenter genom att konsumenternas förtroende för produkterna stärks. Kommissionen menar också att rätten till dataskydd kommer att stärkas genom att konsumenter och användare får tydligare instruktioner och information vid köp av produkter med digitala komponenter.

Förslagets bemötande

Förslaget har generellt fått ett positivt bemötande men kritik har riktats mot att vissa definitioner är vagt formulerade och att de inte tar hänsyn till skillnaderna i de olika produkternas utvecklings- och tillverkningsprocesser, vilket riskerar att leda till godtyckliga beslut. Det har även betonats att förordningen kommer leda till höga kostnader för berörda ekonomiska aktörer, vilket kan leda till att små och medelstora företag utesluts från marknaden.

Nästa steg

Förslaget har nu lämnats till Europaparlamentet och Rådet. Efter antagande och ikraftträdande kommer tillverkare, anmälda organ och medlemsstater ha 24 månader på sig att anpassa sig till de nya kraven. Avsikten är att förordningen ska komplettera EU:s cybersäkerhetsram som inkluderar direktivet om säkerhet i nätverks-och informationssystem (NIS_direktivet) – för vilket Kommissionen har föreslagit en förstärkning (förslag till NIS2-direktiv) – och cybersäkerhetsakten.

 

Se Kommissionens pressmeddelande här och förslaget till förordningen här.

Kunskap är nyckeln till en lyckad patentstrategi

Patentprocesser är ofta tekniskt komplicerade, tidskrävande och innebär höga kostnader för de inblandade parterna, vilket kan verka avskräckande särskilt för små och medelstora företag. Företag som tidigt skaffar sig strukturer för hantering av sina rättigheter och etablerar åtgärder uppnår dock strategiska fördelar som kan vara avgörande för framgång i framtida processer. Detta kan också ge ekonomiska fördelar på lång sikt.
24 november 2022

IPR-intensiv industri i EU presterar bättre än övrig industri

Den fjärde analysrapporten från den Europeiska immaterialrättsmyndigheten (EUIPO) och Europeiska patentverket (EPO) har nyligen publicerats. Undersökningen är ett viktigt underlag för företagen vid sina beslut om investeringar i immateriella rättigheter såsom patent, varumärken, design och upphovsrätt. Håkan Borgenhäll, specialist på immaterialrätt på Vinge, har sammanställt de viktigaste resultaten av rapporten.
18 november 2022

Från sommarnotarie till biträdande jurist

Våren 2023 börjar Markus Hedbys arbeta som biträdande jurist på Vinge. Vägen till anställning gick via en plats som sommarnotarie. Den 1 november öppnar ansökan till sommarnotarieprogrammet 2023.
15 november 2022