Standarder
2025
Modulet giver indføring i hvad en standard er, hvordan de laves og hvad de kan benyttes til i virksomhederne.
20. marts 2025
Dette læringsmodul er en del af byggeblokken:
Dette modul giver jer et blik ind i, hvordan lovgivningen ser ud omkring IoT-cybersikkerhed for producenter og jeres produkter. Her præsenteres et generelt overblik over de mest relevante lovgivninger, deres indvirken og samspillet i den generelle produktlovgivning inden for EU.
Det tager ikke mere end 15 minutter at få overblik over indholdet i dette modul. Indholdet er målrettet produktejere, udviklere, projektledere og complianceansvarlige, og det anbefales som minimum, at produktejere eller lignende inddrages i processen med at evaluere på impact af lovgivning i jeres organisation og forretning.
Inden for produktlovgivning i EU er det generelt CE-mærket, der tænkes på. Denne mærkning er tiltænkt at vise ejeren eller brugeren af et produkt, at produktet overholder de essentielle krav, som er bestemt gennem forskellige stykker lovgivning, hvor hver lov adresserer forskellige områder inden for produktsikkerhed. Dette kan f.eks. være Legetøjsdirektivet, Lavspændingsdirektivet eller Radioudstyrsdirektivet.
Overordnet er EU-lovgivning for produkter struktureret efter det, som kaldes New Legislative Framework (NLF). Dette rammeværk har til formål at ensrette de underliggende love for at sikre et konsistent format på tværs af disse og gøre det lettere at arbejde med krav fra forskellige stykker lovgivning. Kravene kommer i to former: direktiver og forordninger. Den store forskel mellem disse er at forordninger gælder direkte for produkter og er ensartede på tværs af medlemslandene, hvorimod direktiver skal implementeres i lovgivningen i hvert enkelt medlemsland, hvilket giver mulighed for variationer i de nationale implementeringer.
Inden for cybersikkerhed er der 3 væsentlige stykker lovgivning:
NIS2 direktivet omhandler sikringen af det der kaldes de vigtige og væsentlige enheder. Det er de virksomheder og organisationer hvis tjenester, aktiviteter og produkter som vores samfund er afhængig af for at opretholde sin drift. Da der er tale om et direktiv skal det altså implementeres i national lovgivning i hvert enkelt medlemsland. Dette betyder at der kan være variationer i nationale NIS2 krav i de forskellige medlemslande. Altså at NIS2 i Danmark og Tyskland ikke nødvendigvis er identiske.
For at være i betragtning til NIS2 er der nogle krav som man skal leve op til. I udgangspunktet skal man ligger over grænserne for hvad der klassificeres som en mellemstor virksomhed. Det betyder at man skal beskæftige 50 eller flere personer samt havde en årlig omsætning eller samlet balance på mere en €10 mio. Derudover skal man havde sit primære virke indenfor en eller flere af de sektorer der er listet i Tabel 1 og Tabel 2. Der er desuden nogle enkelte områder der er omfattet alene på baggrund af deres aktiviteter. Dette er f.eks. udbydere af offentlige elektroniske kommunikationsnetværk, domænenavnssystemer og andre der udbyder tjenester hvis forstyrrelse kan havde en e indvirkning på den offentlige sikkerhed og sundhed. Hvis man er i tvivl om man er omfattet af nogle af disse særregler, anbefales det at læse direktivets artikel 2 og rådføre sig med relevant myndighed der har det pågældende ressortområde.
Hvis I som virksomhed er omfattet af NIS2, er der en række krav man skal leve op til. Overordnet er man som omfattet virksomhed eller organisation forpligtet til at implementere:
passende og forholdsmæssige tekniske, operationelle og organisatoriske foranstaltninger.
Her skal der tages udgangspunkt i alle de trusler, der kan være i forhold til de tjenester, man leverer.
De foranstaltninger, der implementeres, skal som minimum omfatte:
Det handler med andre ord om at havde styr på de processer, der driver arbejdet omkring cyber- og informationssikkerhed i den pågældende enhed.
Forordningen om cyberrobusthed, eller blot CRA , er en forordning, der stiller krav til produkter med digitale elementer, der er defineret som:
”et software- eller hardwareprodukt og dets fjerndatabehandlingsløsninger, herunder software- eller hardwarekomponenter, der bringes i omsætning separat”
Dette skal i bund og grund forstås som alle elektriske og elektroniske produkter, der på en eller anden måde kan overføre data. De krav, der stilles i forordningen, er en del af de væsentlige krav, der kommer som led i CE-mærkning af et produkt og skal derfor håndteres tilsvarende.
Overordnet er der to krav, man skal overholde, når man gør et produkt tilgængeligt på markedet:
Disse krav er specificeret i bilag I i forordningen.
Her er det vigtig at holde sig opdateret, da der kan komme nye tillæg til forordningen, som medfører tilføjelser eller ændringer i bilaget.
Her er det vigtigt at være opmærksom på, at man er forpligtet til at håndtere sikkerheden i produkterne i hele deres levetid.
I og med at forordningen har et meget bredt anvendelsesområde, vil den også ramme produkter af forskellig kritikalitet i deres anvendelse. I denne sammenhæng skal det bemærkes, at der ikke differentieres imellem de krav, der stilles til et produkt, men de metoder, man kan benytte til at foretage en overensstemmelsesvurdering, afhænger af den kritikalitetsklasse som det pågældende produkt ligger i. Her gør to forhold sig gældende:
Hvis ovenstående er opfyldt, vil produktet være anset som vigtigt, hvis det er nævnt i bilag III eller kritisk, hvis det er nævnt i bilag IV, hvilket giver mulighederne for overensstemmelsesvurderingsmetoderne i Tabel 3.
Radioudstyrsdirektivet specificerer de væsentlige krav, der stilles til produkter, der kan sende eller modtage information trådløst. Direktivet suppleres af den delegerede forordning 2022/30, som specificerer, hvilke typer af produkter der bliver omfattet af de væsentlige krav til cyber- og informationssikkerhed (Direktivets artikel 3.3 litra d, e og f).
I bør som virksomhed dermed være opmærksomme på, at dette gælder for tre typer af radioprodukter:
Afhængigt af hvilke af ovenstående kategorier et produkt hører under, er der op til tre væsentlige krav, som produktet skal leve op til. For internetforbundet radioudstyr gælder følgende:
”Radioudstyret skader ikke nettet eller dets funktion eller misbruger netressourcer på en sådan måde, at det medfører en uacceptabel forringelse af tjenesten.”
Altså handler kravet primært om beskyttelse af de netværk som produktet er tilsluttet. Her er det vigtigt at huske at det er alle netværk, ikke kun de trådløse. Det handler altså ikke nødvendigvis om at beskytte produktets væsentlige funktioner.
Det andet krav, man kan blive mødt af, omhandler databeskyttelse og lyder således:
”Radioudstyret er i stand til at sikre, at personoplysninger om brugeren og abonnenten og disses privatliv beskyttes.”
Her handler det udelukkende om beskyttelse af data, der kan være følsomme samt de tilhørende sikkerhedsfunktioner.
Endelig er der kravet omkring beskyttelse af produkter, der kan overføre penge:
”Radioudstyret understøtter visse faciliteter, der sikrer beskyttelse mod svig.”
Dette omhandler internetforbundet radioudstyr, der kan overføre penge, monetær værdi eller virtuel valuta. Her skal det bemærkes, at de generelle krav til internetforbundet udstyr også er i spil, da den delegerede forordning fastlægger, at det omtalte udstyr skal være internetforbundet for at være omfattet af kravet.
Direktivet stiller desuden et krav om, at der benyttes harmoniserede standarder til overensstemmelsesvurdering af de overnævnte krav. Dette betyder, at man kun kan lave en selvevaluering (Modul A) hvis der findes en passende standard herfor, som er publiceret i EU-tidende. Her findes EN 18031-1, -2 og –3, som hver adresserer et af de tre væsentlige krav.
NIS2: https://eur-lex.europa.eu/eli/dir/2022/2555/oj
CRA: https://eur-lex.europa.eu/eli/reg/2024/2847/oj
RED Link: https://eur-lex.europa.eu/eli/dir/2014/53/oj/eng
RED DA Link: https://eur-lex.europa.eu/eli/reg_del/2022/30/2023-10-27
Lovgivning omkring cybersikkerhed er et relativt komplekst område at bevæge sig ind på, specielt hvis man ikke har prøvet at CE mærke et produkt før. De tre lovgivninger, vi har gennemgået, har alle vidtrækkende indvirkninger på IoT-produkter og deres producenter, hvilket gør dem komplekse at gå i gang med. Det anbefales at I rådfører jer med eksterne specialister inden for dette område for at sikre, at I kommer godt fra start, og at I får lagt en grundig plan for, hvordan I lever op til kravene, således at der ikke er områder, der bliver overset eller over/under implementeret. Her er det også vigtigt, at der er opbakning fra den øverste ledelse, da det i sidste ende vil være deres ansvar, at kravene overholdes, og fordi de bl.a. kan blive pålagt personlige sanktioner.
I dette modul har vi gennemgået de vigtigste aspekter af lovgivningen inden for cybersikkerhed og produktlovgivning i EU. Vi har set på CE-mærkningens betydning, New Legislative Framework (NLF) og forskellen mellem direktiver og forordninger. Vi har også dykket ned i specifikke lovgivninger som NIS2-direktivet, Forordningen om cyberrobusthed (CRA), og Radioudstyrsdirektivet (RED).
Når I har fået et overblik over de væsentlige krav, som jeres virksomhed eller produkt er omfattet af, er det vigtigt at lægge en plan for, hvordan I skal leve op til kravene. Her kan det være meget fordelagtigt at se på, hvad der findes af standarder og rammeværk, der adresserer de problemstillinger, I står med. Dette kommer vi ind på i modulet Standarder.
Indholdselementerne ovenfor er udviklet gennem projektet:
’CyPro – Cybersikker produktion i Danmark’ af Aarhus Universitet, Alexandra Instituttet, DAMRC, UGLA Insights og FORCE Technology støttet af Industriens Fond. Materialet fra projektet er offentliggjort under licens CC BY-SA 4.0
Få dit certifikat for denne færdige byggeblok. Anmod blot om certifikatet via certifikatknappen, og vi sender dig det personlige certifikat.