Cybersikkerhed for produkter og enheder bliver snart obligatorisk i EU

Mange virksomheder er fortsat bekymrende uvidende på tærsklen til en strammere EU-lovgivning om cybersikkerhed. Især for industrielt udstyr og forbrugerapparater bliver redesign nødvendigt. Et dusin cybersikkerhedsdirektiver eller -regler træder i kraft i løbet af de næste par år. Overtrædelse af disse vil gøre salget af eksisterende produkter og digitale tjenester ulovlige. Derfor skal beslutningstagere og produktudviklere i både apparat- og softwaresektorer sætte sig ind de nye love og begynde at forberede sig.

Den første væsentlige stramning af reglerne vedrørende enheder vil blive håndhævet via Radio Equipment Directive fra den 1. august 2024. Den gælder for enheder med trådløs radiokommunikation, herunder også for trådløse headsets. Denne dag bliver størstedelen af de trådløse IoT-enheder, der sælges i dag, ulovlige at sælge inden for EU, da de ikke længere er i overensstemmelse med direktivet. Ønsker man som virksomhed at fortsætte med at sælge eksisterende, trådløse IoT-enheder i EU, er man nødt til at forny CE-mærkningen for at overholde de nye krav.

NIS2-direktivet træder i kraft ved udgangen af 2024. Det udvider listen over enheder, der er afgørende og vigtige for samfundet, til at omfatte sektorer inden for fremstilling af elektrisk udstyr, kemisk industri og ICT-services. I princippet vil NIS2 kun gælde for mellemstore og store virksomheder, der vil være forpligtet til at implementere styringssystemer til håndtering af informationssikkerheden. I praksis er mange små virksomheder også underlagt kravene, da de større virksomheder også skal kræve, at deres underleverandører har passende cybersikkerhedsrelaterede processer på plads.

Endnu mere vidtrækkende er Cyber Resiliency Act, som vil træde i kraft i løbet af 2025-26. Den vil gælde for alle produkter med en digital dimension, dvs. alle apparater, software og mange elektroniske og softwarekomponenter. Disse skal opfylde de nye CE-mærkningskrav for cybersikkerhed.

Det er vigtigt at bemærke, at disse ændringer i EU-reguleringerne kræver opmærksomhed og handling fra både softwarevirksomheder og producenter af industriel udstyr. For en agil softwarevirksomhed, eksempelvis, kan CE-mærkning være et relativt ukendt begreb.

Sætter man sig som virksomhed ikke ind i lovændringerne, venter der alvorlige problemer. Der er samtidig en akut mangel på eksperter, der forstår lovgivningen og kan implementere den i praksis. Der er meget at lære.

Tiden er moden til at finde de rette samarbejdspartnere til at løse de udfordringer, der følger med ændrede reguleringer. Det er også vigtigt at tage diskussionen om nye krav med underleverandører og øvrige partnere.

Handler man som virksomhed rettidigt på den nye cyber-sikkerhedslovgivning, kan man fortsætte med at sælge sine produkter og ydelser uden afbrydelse. Herudover kan man sikre sig mod strafferetligt ansvar og betydelige administrative bøder i tilfælde af en skadelig cyber-sikkerheds hændelse, der involverer virksomhedens produkter og drift.