I rättsakten om cyberresiliens fastställs minimikrav för internetuppkopplade produkter – nationellt genomförandeprojekt pågår

Rättsakten om cyberresiliens (Cyber Resilience Act, CRA) publicerades i EU:s officiella tidning 20.11.2024. Rättsakten om cyberresiliens fastställer minimikrav på cybersäkerhet för produkter och programvara som kan kopplas upp till internet eller annan utrustning. Ett projekt som bereder den nationella lagstiftning som ska komplettera förordningen pågår vid kommunikationsministeriet.

Rättsakten om cyberresiliens är direkt tillämplig som förordning, men kräver kompletterande nationell reglering i synnerhet för att marknadstillsynen och de myndighetsuppgifter som den förutsätter ska kunna ordnas samt för godkännande av anmälda organ och för administrativa påföljder. Kommunikationsministeriet har inlett ett projekt den 1 maj 2024 som ska bereda kompletterande nationell lagstiftning.

Förordningen förbättrar säkerheten i samhället genom att fastställa minimikrav för informationssäkerheten i fråga om utrustning och programvara

Tillämpningsområdet för rättsakten om cyberresiliens är omfattande och kraven i den gäller med vissa undantag brett produkter och programvara som kan kopplas upp till internet eller annan utrustning, det vill säga som innehåller ett sådant digitalt element som avses i förordningen. Sådana är till exempel övervakningskameror som ansluts till internet, kylskåp, smartklockor, tv-apparater, datorer, telefoner, applikationer och leksaker. Förordningen ska också gälla programvara, såsom applikationer och spel, samt produkter som är avsedda för annat än konsumentbruk, såsom operativsystem och programvara som ingår i apparater och maskiner, fjärravläsbara sensorer och fjärrstyrningssystem. 

Bakom ligger utvecklingen med anknytning cybersäkerheten, där utrustning och programvara i allt högre grad blir föremål för cyberattacker, vilket kan medföra betydande kostnader i samhället för konsumenter, företag, sammanslutningar och myndigheter. Rättsakten bedöms förbättra samhällets övergripande säkerhet när det finns mer informationssäkra apparater i bruk och på marknaden än tidigare.

I fortsättningen kommer det att vara en förutsättning för marknadstillträde i EU att säkerhetskraven enligt förordningen uppfylls. I fortsättningen ska tillverkare underrätta EU:s cybersäkerhetsbyrå ENISA och den nationella CSIRT-enhet som hanterar personuppgiftsincidenter om sårbarheter som aktivt utnyttjats i produkter och programvara.

För största delen av produkterna ska överensstämmelse med kraven påvisas genom självutvärdering. I fråga om vissa produkter förutsätts andra sätt, såsom utvärdering av tredje part. Sådana produkter är till exempel routrar, brandväggsprogram, webbläsare, operativsystem, vissa mikroprocessorer samt programvara för hantering av användarrättigheter och lösenord. Även andra produkter kan frivilligt ansöka om tredjepartsutvärdering för att påvisa överensstämmelse med kraven.

Utvärderingen av tredje part ska göras av det anmälda organet. Målet är att det i Finland ska vara möjligt att ansöka om att bli anmält organ senast våren 2026.

Vad händer nu?

Avsikten är att de nationella kompletterande bestämmelserna ska sändas på remiss vintern 2025 och till riksdagen under höstsessionen 2025.

Förordningen börjar tillämpas 11.12.2027 efter en övergångsperiod. Anmälan om sårbarheter som utnyttjats aktivt tillämpas dock redan från och med 11.9.2026 och bestämmelserna om anmälda organ från och med 11.6.2026.

Mer information:

Veikko Vauhkonen, regeringssekreterare, tfn 0295 342 168, [email protected]
Marko Priiki, specialsakkunnig, tfn 0295 342 187, [email protected]