Cybersäkerhet för produkter och företag blir snart obligatoriskt inom EU
Många företag är fortfarande omedvetna om den förestående skärpningen av EU:s cybersäkerhetslagstiftning. Särskilt för industriutrustning och konsumentenheter är det redan hög tid att uppdatera konstruktionen. Ett dussintal olika direktiv eller förordningar inom cybersäkerhet träder i kraft under de kommande åren. Om dessa inte uppfylls kommer försäljningen av befintliga produkter och digitala tjänster att bli olaglig. Därför är det nu dags för beslutsfattare och produktutvecklare inom både enhets- och programvarusektorn att sätta sig in i den nya lagstiftningen och börja förbereda sig.
Den första betydande skärpningen av regelverket för enheter sker i och med införandet av radioutrustningsdirektivet den 1 augusti 2024. Direktivet omfattar enheter med trådlös radiokommunikation – till och med trådlösa headset. Från och med den dagen blir det olagligt att sälja de flesta av dagens trådlösa IoT-enheter inom EU, eftersom de inte längre uppfyller kraven i direktivet. Om ett företag vill fortsätta att sälja dagens trådlösa IoT-enheter inom EU måste det förnya CE-märkningen för att leva upp till de nya kraven.
NIS2-direktivet (Network and Information Security) träder i kraft i slutet av 2024. Det innebär att listan över samhällsviktiga sektorer utökas till att omfatta tillverkning av elektrisk utrustning, kemisk industri och IKT-tjänster. I princip kommer NIS2 endast att gälla för medelstora och stora företag, som kommer att vara skyldiga att implementera ledningssystem för informationssäkerhet. I praktiken kommer dock även många småföretag att bli föremål för dessa krav, eftersom de större företagen måste kräva att deras underentreprenörer har lämpliga cybersäkerhetsprocesser på plats.
Ännu mer långtgående är cyberresiliensakten som träder i kraft under 2025–26. Den omfattar alla produkter med en digital dimension, det vill säga alla enheter, all programvara och många elektroniska komponenter och programvarukomponenter. Dessa måste då uppfylla de nya kraven på CE-märkning för cybersäkerhet.
Det är därför viktigt att notera att dessa förändringar av EU-reglerna kräver insatser av såväl programvaruföretag som tillverkare av industriutrustning. För ett företag som arbetar med exempelvis agil programvaruutveckling kan CE-märkning vara ett okänt begrepp.
Om företaget ignorerar dessa krav kan det ställas inför allvarliga problem. Det råder akut brist på människor som förstår den nya lagstiftningen och kan implementera den i praktiken. Det är mycket att sätta sig in i.
Nu är det dags att hitta rätt samarbetspartner och tillsammans utröna vad som behöver göras när det gäller det nya regelverket. Det är viktigt att inleda en diskussion om nya krav med underentreprenörer och andra samarbetspartner.
Genom att i god tid ta höjd för den nya cyberlagstiftningen kan ett företag fortsätta att sälja sina produkter och tjänster utan avbrott. Dessutom kan ett företag som uppfyller reglerna undgå straffrättsligt ansvar och dryga böter i händelse av en cyberincident som involverar företagets utbud och verksamhet.