Når Cyber Resilience Act (CRA) træder i kraft den 11. december 2027, bliver det en milepæl for cybersikkerheden i Europa. Bag lovens tekniske præcisering står blandt andre vores Principal Security Architect Michael Bladt Stausholm, der er med til at omsætte loven til konkrete standarder.
CRA skal beskytte alle produkter med digitale elementer – både hardware og software – og deres brugere. Men loven kan være svær at fortolke, og det er her, standarderne kommer ind i billedet, forklarer Michael, der sidder i det projektteam hos CEN/CENELEC, der arbejder med sårbarhedsvurderinger. CEN, CENELEC og ETSI udgør sammen det europæiske system for teknisk standardisering.
“I loven står der, at man skal sørge for, at der ikke er en kendt sårbarhed i ens produkt. Men hvad betyder det helt præcist?” eksemplificerer han. ”Det kan man med fordel finde ud af ved at følge en standard.”
Kun de mest kritiske produkter er forpligtet til at følge harmoniserede standarder eller få deres sikkerhed vurderet af en såkaldt ’notified body’. For de resterende 90-95% er brugen af standarder frivillig, men fordelagtig, understreger Michael. “Hvis man følger en harmoniseret standard, må man formode, at éns produkt overholder loven. Og hvis der efterfølgende under en kontrol opdages mangler, er det standardens skyld, ikke virksomheden.”
Sikkerhed er slutmålet, men der er flere veje derhen
I CEN/CENELEC arbejder Michael og hans europæiske kolleger med at definere, hvordan virksomheder kan håndtere sårbarheder i praksis. Et centralt fokusområde er at sikre, at både nye og eksisterende produkter opfylder kravene. Det er en udfordring, især for ældre produkter, fortæller han.
“Det kan godt ske, at man har lavet et produkt på en gammel måde, men så skal det tilpasses og rettes til. Det betyder ikke nødvendigvis, at hele produktet skal genbygges, men man skal lave en ny trusselsvurdering og adressere de problemer, man finder.”
Hvordan sikrer vi ældre, digitale produkter?
Et af de komplekse aspekter ved CRA er, hvordan loven interagerer med den eksisterende produktlovgivning. Som Michael påpeger, er dette område særligt udfordrende for software, hvor en række eksisterende fortolkninger af loven er udfordret: “Hvis du laver et stykke software, der ligger til download, hvornår er det så på markedet? Og hvis du laver en opdatering, hvornår er det så en væsentlig ændring, der kræver ny compliance? Det er spørgsmål, vi arbejder på at besvare.”
CRA er en af de første love, der forsøger at regulere det vilde vesten inden for softwareudvikling, understreger Michael. For ham er det essentielt at finde den rigtige balance mellem innovation og regulering: “Lovgivningen skal ikke skade innovationen i Europa, men af hensyn til brugerne og samfundet som helhed kommer der nu nogle krav, man ikke kan komme udenom.”
Fra vision til mærkbar sikkerhed i virkeligheden
Arbejdet med at konkretisere CRA foregår primært i CEN/CENELEC WG9, hvor Michael og hans ekspertkolleger fra resten af Europa skriver de første udkast til standarder. Når en standard er klar, sendes den videre til nationale udvalg som Dansk Standard, hvor repræsentanter fra medlemslandene vurderer dens kvalitet og anvendelighed.
“Det er et omfattende arbejde. Men når standarderne er på plads, vil de give virksomheder en konkret vejledning til at overholde loven,” siger han. Med Michaels hjælp får virksomheder en praktisk vejledning til at sikre deres produkter og dermed skabe en mere sikker digital fremtid for alle europæere.
Ⓒ 2024 - Alexandra Instituttet A/S
CVR Nr. 24 21 33 66
