Cyber Resilience Act: Hva betyr det for deg?

Cybertruslene øker, og EUs Cyber Resilience Act gir norske bedrifter en klar beskjed: Sikkerhet er ikke lenger valgfritt. Så hvordan kan norske bedrifter unngå sikkerhetshull – og ta ledelsen i et nytt digitalt landskap?
Tore Eide
Senior Forretningsutvikler
tore.eide@inventas.no
kretskort_embedded_chip_2-1

Bilde → En uskyldig liten enhet koblet til et nettverk kan være alt som skal til for å åpne en bakdør inn i et selskap. Det er her EU sin nye Cyber Resilience Act (CRA) kommer inn i bildet.

EUs Cyber Resilience Act (CRA) sender et tydelig signal

Cybersikkerhet er ikke lenger et valg, men en nødvendighet. Det handler om å beskytte brukere og selskap mot stadig mer sofistikerte trusler og sikre tilliten til teknologien vi bruker hver dag. Med den farten verden endrer seg, ser vi en eksponentiell økning i cybertrusler. Det er ikke lenger bare enkeltpersoner eller småbedrifter som rammes – hele selskaper og nasjoner kan settes ut av spill. En uskyldig liten enhet koblet til et nettverk kan være alt som skal til for å åpne en bakdør inn i et selskap. Det er her EU sin nye Cyber Resilience Act (CRA) kommer inn i bildet.

CRA er et direktiv som stiller strenge krav til hvordan produkter med digitale komponenter skal sikres. For norske bedrifter som opererer i EU-markedet, betyr dette mer enn bare tekniske justeringer – det handler om å sikre at produktene dine er trygge og klare for fremtidens utfordringer.

Hvorfor er CRA viktig for norske bedrifter?

Hvis produktene dine ikke oppfyller CRA-kravene, risikerer du å miste tilgangen til EU-markedet. Men det er ikke alt. Oppfyller du ikke kravene kan det resultere i bøter på opptil 15 millioner euro – eller 2,5 % av årsomsetningen. Dette direktivet er vedtatt i EU og vil bli innlemmet i norsk lov gjennom EØS. Det betyr at kravene vil gjelde også her – og det finnes ingen vei utenom.

Norske bedrifter som venter for lenge, risikerer en rask og kostbar omstilling når fristen nærmer seg. Å bygge inn sikkerhet etter at produktet er ferdig, er både dyrt og tidkrevende. Derfor lønner det seg å komme i gang nå, slik at sikkerheten blir en naturlig del av utviklingsprosessen fra starten av. Som en del av dette kan man også etablere gode interne rutiner for dokumentasjon og oppdateringer, noe som vil gjøre det enklere å møte fremtidige krav.

Men ikke se på CRA som en byrde. Se heller på det som en mulighet til å vise kundene dine at du tar sikkerhet på alvor – og at du tenker fremover. Norske bedrifter som tilpasser seg tidlig, kan faktisk få et konkurransefortrinn. Ved å vise at du har kontroll på sikkerheten, bygger du tillit og posisjonerer deg som en pålitelig aktør i markedet. Det gir deg ikke bare trygghet nå, men også et forsprang når kravene trer i kraft. I en tid der cyberangrep og datalekkasjer stadig blir vanligere, vil bedrifter som satser på sikkerhet stå sterkere – både i markedet og i kundenes øyne.

Hva innebærer CRA?

Direktivet gjelder for alle produkter med digitale komponenter som selges i EU – og det favner bredt:

  • Produktene må ha innebygd sikkerhet allerede fra designstadiet.

  • De må kunne sikkerhets-oppdateres over tid.

  • All programvare må dokumenteres gjennom en Software Bill of Materials (SBOM).

For norske bedrifter betyr dette at man ikke bare kan slurve med sikkerhet lenger. Tall viser at hele 90 % av IoT-enheter har manglende sikkerhet. Med nye krav vil ikke produsenter komme unna med det lenger. CRA setter standarden for hvordan man skal eliminere slike svakheter og sikre at produktene er trygge gjennom hele livssyklusen. 

Direktivet har også klare tidsfrister: 

  • Innen to år må produsenter etablere sikkerhetsmekanismer og dokumentasjon, 

  • Det tredje året handler om å sette opp oppdateringsrutiner og systemer for å kunne overvåke og vedlikeholde produktene. 

Dette betyr at klokken tikker, og at bedrifter som handler raskt vil ha et klart fortrinn.

Det som kanskje er nytt for mange, er at CRA deler produkter inn i risikokategorier. Mens noen produkter kan tilfredsstille kravene med enklere tiltak, må mer kritiske systemer, som energistyring, gjennom strengere vurderinger. Det betyr at kravene kan variere avhengig av produktets bruksområde.

Hva er OTA, og hvorfor er det viktig?

Over-the-Air (OTA)-oppdateringer er kanskje det viktigste verktøyet i verktøykassen når det gjelder å oppfylle CRA-kravene. Kort fortalt lar OTA deg oppdatere produktene dine remote, uten at kunden trenger å gjøre noe som helst. Det betyr at oppdateringer kan sendes ut raskt, og potensielle sikkerhetshull kan tettes før de blir utnyttet.

For eksempel: 

Har du et produkt som allerede er ute hos kundene, men du oppdager et sikkerhetsproblem? Med OTA kan du sende ut en oppdatering med en gang. Det er ikke bare effektivt, det er også billigere enn å bygge systemet selv, hente inn produkter eller sende teknikere ut i feltet.

Uten OTA er det nesten umulig å holde tritt med de stadig mer komplekse kravene i CRA. Det er rett og slett nøkkelen til å sikre at produktene dine holder mål – og til å holde kundene dine trygge.

Software Bill of Materials (SBOM)

Software Bill of Materials SBOM er et annet nøkkelaspekt i CRA. Dette er i bunn og grunn en detaljert liste over all programvare som brukes i produktet ditt, inkludert tredjepartskomponenter. Hvorfor er dette viktig? Jo, fordi det gir deg og kundene dine full oversikt over hva som faktisk befinner seg i produktet.

Tenk på det som ingredienslisten på en matvare. Hvis det oppdages et problem med en bestemt ingrediens, kan produsenten raskt identifisere hvilke produkter som er berørt – og ta de nødvendige grepene. SBOM fungerer på samme måte, men for programvare. Det hjelper deg å holde oversikt over hvilken kode som er brukt, og hvilke oppdateringer som er nødvendige.

For mange bedrifter kan innføringen av SBOM være en omfattende prosess. Men det er en investering som betaler seg i form av økt sikkerhet og bedre compliance.

Hva kan Inventas bidra med?

Vi i Inventas er klare til å hjelpe bedrifter med å navigere i det nye landskapet som CRA skaper. 

Her er noen av måtene vi kan bistå på:

  • Designe og utvikler sikre systemer som oppfyller CRA-kravene.

  • Gi råd om valg av riktige komponenter og teknologi.

  • Integrere OTA-løsninger i samarbeid med våre partnere.

  • Hjelpe til med å lage og vedlikeholde SBOM for produktene dine.

Inventas har lang historie med å jobbe tett med kunder for å utvikle produkter som møter både dagens og morgendagens krav. Vi vet hva som kreves for å få ting til å fungere – fra idé til ferdig produkt.

Tidlig involvering er viktig

Hos Inventas ser vi gang på gang at tidlig involvering utgjør hele forskjellen. Å tenke sikkerhet fra dag én er mye billigere og enklere enn å lappe på noe som allerede er utviklet. Vi kan hjelpe dere med å bygge sikkerhet direkte inn i designet, noe som sparer tid, penger og frustrasjon i ettertid.

Vi vet også at sikkerhet handler om mer enn bare teknologi. Det handler om prosesser, mennesker og strategi. Derfor jobber vi tett med kundene våre for å sikre at hele organisasjonen er beredt når CRA-kravene trer i kraft.

Cyber Resilience Act er ikke bare enda et sett med regler – det er en grunnleggende endring i hvordan vi tenker på sikkerhet i digitale produkter. Og ja, det kan være utfordrende. Men med de rette verktøyene og partnerne, er det også en enorm mulighet.

Hos Inventas er vi klare til å hjelpe deg å ta steget inn i fremtiden. Vi har erfaringen, ekspertisen og engasjementet som skal til for å sikre at produktene deres ikke bare møter kravene, men også setter standarden. Det beste tidspunktet å sette i gang, er nå – og vi er her for å hjelpe.