Modulet helt kort

Dette modul giver jer et blik ind i, hvordan lovgivningen ser ud omkring IoT-cybersikkerhed for producenter og jeres produkter. Her præsenteres et generelt overblik over de mest relevante lovgivninger, deres indvirken og samspillet i den generelle produktlovgivning inden for EU.

"Direktiver og forordringer" af CyPro under licens CC BY-NC-ND

Praktiske oplysninger

Det tager ikke mere end 15 minutter at få overblik over indholdet i dette modul. Indholdet er målrettet produktejere, udviklere, projektledere og complianceansvarlige, og det anbefales som minimum, at produktejere eller lignende inddrages i processen med at evaluere på impact af lovgivning i jeres organisation og forretning.   

EU produktlovgivning

Inden for produktlovgivning i EU er det generelt CE-mærket, der tænkes på. Denne mærkning er tiltænkt at vise ejeren eller brugeren af et produkt, at produktet overholder de essentielle krav, som er bestemt gennem forskellige stykker lovgivning, hvor hver lov adresserer forskellige områder inden for produktsikkerhed. Dette kan f.eks. være Legetøjsdirektivet, Lavspændingsdirektivet eller Radioudstyrsdirektivet. 

Overordnet er EU-lovgivning for produkter struktureret efter det, som kaldes New Legislative Framework (NLF). Dette rammeværk har til formål at ensrette de underliggende love for at sikre et konsistent format på tværs af disse  og gøre det lettere at arbejde med krav fra forskellige stykker lovgivning. Kravene kommer i to former: direktiver og forordninger. Den store forskel mellem disse er at forordninger gælder direkte for produkter og er ensartede på tværs af medlemslandene, hvorimod direktiver skal implementeres i lovgivningen i hvert enkelt medlemsland, hvilket giver mulighed for variationer i de nationale implementeringer.

Inden for cybersikkerhed er der 3 væsentlige stykker lovgivning:

• • Direktivet for Netværks- og Informationssikkerhed (NIS2). 
  • Forordningen om cyberrobusthed (CRA) 
  • Radioudstyrsdirektivets delegerede forordning 2022/30 

Direktivet for Netværks- og Informationssikkerhed (NIS2)

NIS2 direktivet omhandler sikringen af det der kaldes de vigtige og væsentlige enheder. Det er de virksomheder og organisationer hvis tjenester, aktiviteter og produkter som vores samfund er afhængig af for at opretholde sin drift. Da der er tale om et direktiv skal det altså implementeres i national lovgivning i hvert enkelt medlemsland. Dette betyder at der kan være variationer i nationale NIS2 krav i de forskellige medlemslande. Altså at NIS2 i Danmark og Tyskland ikke nødvendigvis er identiske.

For at være i betragtning til NIS2 er der nogle krav som man skal leve op til. I udgangspunktet skal man ligger over grænserne for hvad der klassificeres som en mellemstor virksomhed. Det betyder at man skal beskæftige 50 eller flere personer samt havde en årlig omsætning eller samlet balance på mere en €10 mio. Derudover skal man havde sit primære virke indenfor en eller flere af de sektorer der er listet i Tabel 1 og Tabel 2. Der er desuden nogle enkelte områder der er omfattet alene på baggrund af deres aktiviteter. Dette er f.eks. udbydere af offentlige elektroniske kommunikationsnetværk, domænenavnssystemer og andre der udbyder tjenester hvis forstyrrelse kan havde en e indvirkning på den offentlige sikkerhed og sundhed. Hvis man er i tvivl om man er omfattet af nogle af disse særregler, anbefales det at læse direktivets artikel 2 og rådføre sig med relevant myndighed der har det pågældende ressortområde.

"Væsentlige sektorer under NIS2" af CyPro under licens CC BY-SA 4.0

"Vigtige sektorer under NIS2" af CyPro under licens CC BY-SA 4.0

Forpligtelser ift. NIS2

Hvis I som virksomhed er omfattet af NIS2, er der en række krav man skal leve op til. Overordnet er man som omfattet virksomhed eller organisation forpligtet til at implementere:

passende og forholdsmæssige tekniske, operationelle og organisatoriske foranstaltninger.

Her skal der tages udgangspunkt i alle de trusler, der kan være i forhold til de tjenester, man leverer. 

De foranstaltninger, der implementeres, skal som minimum omfatte:

• Politikker for risikoanalyse og informationssystemsikkerhed.
• Håndtering af hændelser.
• Driftskontinuitet, såsom backup-styring og reetablering efter en katastrofe samt krisestyring.
• Forsyningskædesikkerhed, herunder sikkerhedsrelaterede aspekter vedrørende forholdene mellem den enkelte enhed og dens direkte leverandører eller tjenesteudbydere.
• Sikkerhed i forbindelse med erhvervelse, udvikling og vedligeholdelse af net- og informationssystemer, herunder håndtering og offentliggørelse af sårbarheder.
• Politikker og procedurer til vurdering af effektiviteten af foranstaltninger til styring af cybersikkerhedsrisici.
• Grundlæggende praksisser for cyberhygiejne og cybersikkerhedsuddannelse.
• Politikker og procedurer vedrørende brug af kryptografi og, hvor det er relevant, kryptering.
• Personalesikkerhed, adgangskontrolpolitikker og forvaltning af aktiver.
• Brug af løsninger med multifaktorautentificering eller kontinuerlig autentificering, sikret tale-, video- og tekstkommunikation og sikrede nødkommunikationssystemer internt i enheden, hvor det er relevant. 

Det handler med andre ord om at havde styr på de processer, der driver arbejdet omkring cyber- og informationssikkerhed i den pågældende enhed.

Forordningen om cyberrobusthed (CRA)

Forordningen om cyberrobusthed, eller blot CRA , er en forordning, der stiller krav til produkter med digitale elementer, der er defineret som:

”et software- eller hardwareprodukt og dets fjerndatabehandlingsløsninger, herunder software- eller hardwarekomponenter, der bringes i omsætning separat”

Dette skal i bund og grund forstås som alle elektriske og elektroniske produkter, der på en eller anden måde kan overføre data. De krav, der stilles i forordningen, er en del af de væsentlige krav, der kommer som led i CE-mærkning af et produkt og skal derfor håndteres tilsvarende. 

Forpligtelser ift. CRA

Overordnet er der to krav, man skal overholde, når man gør et produkt tilgængeligt på markedet:

1. Produktet skal opfylde de væsentlige cybersikkerhedskrav. 
2. Fabrikantens processer skal opfylde de væsentlige cybersikkerhedskrav.

Disse krav er specificeret i bilag I i forordningen. 

Her er det vigtig at holde sig opdateret, da der kan komme nye tillæg til forordningen, som medfører tilføjelser eller ændringer i bilaget.

Her er det vigtigt at være opmærksom på, at man er forpligtet til at håndtere sikkerheden i produkterne i hele deres levetid. 

I og med at forordningen har et meget bredt anvendelsesområde, vil den også ramme produkter af forskellig kritikalitet i deres anvendelse. I denne sammenhæng skal det bemærkes, at der ikke differentieres imellem de krav, der stilles til et produkt, men de metoder, man kan benytte til at foretage en overensstemmelsesvurdering, afhænger af den kritikalitetsklasse som det pågældende produkt ligger i. Her gør to forhold sig gældende:

1. Produktets væsentligste funktionalitet skal høre under en af de kategorier, der er anført i forordningens bilag III eller IV.
2. Produktets primære funktion skal være afgørende for cybersikkerheden i andre produkter eller vkunne medføre betydelig risiko for negative effekter.

Hvis ovenstående er opfyldt, vil produktet være anset som vigtigt, hvis det er nævnt i bilag III eller kritisk, hvis det er nævnt i bilag IV, hvilket giver mulighederne for overensstemmelsesvurderingsmetoderne i Tabel 3.

"Overensstemmelsesvurderingsmetoder for produktkategorier" af CyPro under licens CC BY-SA 4.0

Radioudstyrsdirektivet (RED)

Radioudstyrsdirektivet specificerer de væsentlige krav, der stilles til produkter, der kan sende eller modtage information trådløst. Direktivet suppleres af den delegerede forordning 2022/30, som  specificerer, hvilke typer af produkter der bliver omfattet af de væsentlige krav til cyber- og informationssikkerhed (Direktivets artikel 3.3 litra d, e og f). 

I bør som virksomhed dermed være opmærksomme på, at dette gælder for tre typer af radioprodukter:

1. Internetforbundet radioudstyr.
2. Radioudstyr der behandler persondata, er legetøj, er tiltænkt børn eller bæres på kroppen.
3. Internetforbundet radioudstyr, der kan overføre penge.

Forpligtelser ift. Radioudstyrsdirektivet

Afhængigt af hvilke af ovenstående kategorier et produkt hører under, er der op til tre væsentlige krav, som produktet skal leve op til. For internetforbundet radioudstyr gælder følgende: 

”Radioudstyret skader ikke nettet eller dets funktion eller misbruger netressourcer på en sådan måde, at det medfører en uacceptabel forringelse af tjenesten.”

Altså handler kravet primært om beskyttelse af de netværk som produktet er tilsluttet. Her er det vigtigt at huske at det er alle netværk, ikke kun de trådløse. Det handler altså ikke nødvendigvis om at beskytte produktets væsentlige funktioner.

Det andet krav, man kan blive mødt af, omhandler databeskyttelse og lyder således:

”Radioudstyret er i stand til at sikre, at personoplysninger om brugeren og abonnenten og disses privatliv beskyttes.”

Her handler det udelukkende om beskyttelse af data, der kan være følsomme samt de tilhørende sikkerhedsfunktioner.

Endelig er der kravet omkring beskyttelse af produkter, der kan overføre penge:

”Radioudstyret understøtter visse faciliteter, der sikrer beskyttelse mod svig.”

Dette omhandler internetforbundet radioudstyr, der kan overføre penge, monetær værdi eller virtuel valuta. Her skal det bemærkes, at de generelle krav til internetforbundet udstyr også er i spil, da den delegerede forordning fastlægger, at det omtalte udstyr skal være internetforbundet for at være omfattet af kravet.

Direktivet stiller desuden et krav om, at der benyttes harmoniserede standarder til overensstemmelsesvurdering af de overnævnte krav. Dette betyder, at man kun kan lave en selvevaluering (Modul A) hvis der findes en passende standard herfor, som er publiceret i EU-tidende. Her findes EN 18031-1, -2 og –3, som hver adresserer et af de tre væsentlige krav. 

Yderligere ressourcer og viden

NIS2: https://eur-lex.europa.eu/eli/dir/2022/2555/oj

CRA: https://eur-lex.europa.eu/eli/reg/2024/2847/oj

RED Link: https://eur-lex.europa.eu/eli/dir/2014/53/oj/eng

RED DA Link: https://eur-lex.europa.eu/eli/reg_del/2022/30/2023-10-27

Ekspertens råd

Lovgivning omkring cybersikkerhed er et relativt komplekst område at bevæge sig ind på, specielt hvis man ikke har prøvet at CE mærke et produkt før. De tre lovgivninger, vi har gennemgået, har alle vidtrækkende indvirkninger på IoT-produkter og deres producenter, hvilket gør dem komplekse at gå i gang med. Det anbefales at I rådfører jer med eksterne specialister inden for dette område for at sikre, at I kommer godt fra start, og at I får lagt en grundig plan for, hvordan I lever op til kravene, således at der ikke er områder, der bliver overset eller over/under implementeret. Her er det også vigtigt, at der er opbakning fra den øverste ledelse, da det i sidste ende vil være deres ansvar, at kravene overholdes, og fordi de bl.a. kan blive pålagt personlige sanktioner.

Udbytte

I dette modul har vi gennemgået de vigtigste aspekter af lovgivningen inden for cybersikkerhed og produktlovgivning i EU. Vi har set på CE-mærkningens betydning, New Legislative Framework (NLF) og forskellen mellem direktiver og forordninger. Vi har også dykket ned i specifikke lovgivninger som NIS2-direktivet, Forordningen om cyberrobusthed (CRA), og Radioudstyrsdirektivet (RED).

Næste skridt

Når I har fået et overblik over de væsentlige krav, som jeres virksomhed eller produkt er omfattet af, er det vigtigt at lægge en plan for, hvordan I skal leve op til kravene. Her kan det være meget fordelagtigt at se på, hvad der findes af standarder og rammeværk, der adresserer de problemstillinger, I står med. Dette kommer vi ind på i modulet Standarder.

Indholdselementerne ovenfor er udviklet gennem projektet:
’CyPro – Cybersikker produktion i Danmark’ af Aarhus Universitet, Alexandra Instituttet, DAMRC, UGLA Insights og FORCE Technology støttet af Industriens Fond. Materialet fra projektet er offentliggjort under licens CC BY-SA 4.0

CyPro