Skip to content
  • Det finns inga förslag eftersom sökfältet är tomt.

Produkter Inom CRA: The Good, the Bad, and the Ugly

EU:s Cyber Resilience Act (CRA) närmar sig med stormsteg. Den nya lagen som ställer breda cybersäkerhetskrav på alla produkter med "digitala element" antogs i december 2024, och de första kraven börjar gälla redan 2026. För att följa lagen behöver företag identifiera vilka delar av sin produktportfölj som omfattas av CRA. Tyvärr är dessa avgöranden, likt allianserna i den klassiska filmen "The good, the bad and the ugly", allt annat än enkla och kan fyllas av såväl svek som fallgropar. I denna artikel ska vi utforska produktklassifiering i CRA och med både exempel och principer försöka tydliggöra vad som faktiskt gäller. Så ta på dig din fiktiva cowboyhatt, spänn fast revolvern och gör dig redo att rida ut i den vilda västern som det nya Digital Decade-regelverket CRA innebär.

The Good

Vi börjar med det som är enklast: produkter som, likt Blondie (the Good) spelad av Clint Eastwood, är tydliga, lätta att känna igen och som därmed tydligt faller inom eller utanför den nya förordningen. CRA omfattar produkter med digitala element, vilket i CRA artikel 3 (1) får en bred definition som innefattar allt från komplicerade industrimaskiner till den enklaste väckarklocka. Lyckligtvis kan vi använda andra delar av lagtexten för att begränsa omfattningen och identifiera de undantag som existerar. CRA artikel 2 (1) förtydligar till exempel att lagen omfattar produkter med digitala element som "tillhandahålls på marknaden" och vars "förutsebara användning omfattar en direkt eller indirekt logisk eller fysisk dataanslutning till en enhet eller ett nät". Från detta kan vi konstruera följande tumregel:

CRA påverkar fysiska och digitala produkter som har förmågan att koppla upp sig mot nätverk och säljs på den europeiska marknaden.

Om en produkt till exempel har förmågan att skicka data för analytics, kan ta emot mjukvaruuppdateringar, hanterar telemetridata, har Bluetooth eller Wi-Fi funktionalitet, eller förlitar sig på en teknisk backend-lösning, kommer den alltså sannolikt omfattas av CRA1.

Resonemanget har hittills varit ganska abstrakt, låt oss konkretisera frågan med hjälp av några praktiska exempel. Nedan följer en lista på produkter som faller tydligt inom eller utanför ramen för CRA med motiveringar till varför.

  • Smart termostat för hus: Kopplar upp mot lokalt nätverk för att dela sensordata -> CRA.
  • Enkel elektrisk väckarklocka: Enkel teknisk funktionalitet, ingen uppkoppling mot nätverk -> Inte CRA.
  • Analog studiohögtalare: Tar endast in ström och ljud, ingen uppkoppling mot nätverk -> Inte CRA.
  • Smart-TV: Tar emot streamingdata från internet -> CRA.
  • Enkel konferensskärm/monitor: Tar endast in och visar upp videosignal. Ingen nätverksuppkoppling -> Inte CRA.
  • Konferensskärm/monitor som får video via WI-FI: Uppkoppling till Wi-Fi -> CRA.
  • Klassisk FM/AM bilradio: Lyssnar bara efter radiovågor, ingen nätverkskoppling -> Inte CRA.
  • Modern stand-alone bilradio: Har Bluetooth, internetuppkoppling, etcetera -> CRA.

Listan ovan är så klart långt från omfattande, men den ger förhoppningsvis en intuition om vilka produkter som faller inom eller utom ramen för CRA. Äventyret tar dock inte slut här. Det finns ytterligare en nyansering som måste göras för de produkter som omfattas av CRA: nämligen hur kritiska de är.

The Bad

De tre huvudpersonerna i The Good, the Bad, and the Ugly är alla moraliskt gråa, men Angel Eyes (the Bad), innehar en särskilt prekär roll. På grund av sitt oberäkneliga beteende och sina många svek är han någon man behöver ha järnkoll på om en gemensam kupp ska genomföras. På samma sätt ställer CRA särskilda krav på vissa typer av produkter som anses vara extra farliga. I detta avsnitt utforskar vi vilka produkter som omfattas av dessa krav samt vad det innebär i praktiken.

Som vi i föregående sektion konstaterat omfattar CRA produkter med digitala element, alltså produkter med förmågan att koppla upp sig mot ett nätverk. Bland dessa definierar CRA två särskilda kategorier: viktiga produkter med digitala element och kritiska produkter med digitala element. Precis som namnen indikerar handlar detta om speciella produkttyper med särskilt stort skyddsvärde.

De produkter som inom CRA klassificeras som viktiga presenteras i CRA bilaga III. Exempel på produkter i denna klass är identitetsstyrningssystem (IAM), lösenordshanterare, webbläsare, operativsystem, mikroprocessorer och brandväggar. CRA Artikel 7 (2) ger oss anledningen till att just dessa produkter valts ut som viktiga: de har antingen "funktioner som är kritiska för cybersäkerheten hos andra produkter" eller "utför en funktion som medför en betydande risk för negativa effekter". Sårbarheter i denna produktgrupp riskerar alltså att skapa stor skada eller att snabbt sprida sig vidare till andra system där skada kan orsakas.

CRA specificerar i Bilaga IV endast tre produkttyper som kritiska2: hårdvaruenheter med säkerhetsboxar, smarta mätarportar inom smarta mätarsystem och smarta kort eller liknande enheter. Det som förenar dessa produkter i kritikalitet är att de utgör kritiska beroenden för samhällbärande verksamheter eller entiteter. Exploaterade sårbarheter i dessa produkter kan alltså "leda till allvarliga störningar i kritiska leveranskedjor" för hela EU-marknaden. Vad som utgör samhällsbärande verksamheter och entiteter definieras i en annan Digital Decade-lag, nämligen NIS2 (läs mer om NIS2 i detta inlägg).

Om ett företags produkter faller inom de viktiga eller kritiska kategorierna följer ett antal praktiska konsekvenser. Till exempel kan företag ofta uppfylla CRA för standardprodukter genom att genomföra egna säkerhetsutvärderingar. För vissa viktiga produkter och alla kritiska produkter måste däremot ett så kallat anmält organ involveras, vilket är en formellt utsedd organisation som utför granskningar. Detta medför att de riskanalyser och undersökningar som utförs för viktiga eller kritiska produkter ofta blir grundligare och arbetet med efterlevnad mer tidskrävande.

Om ett företag misstänker att någon av dess produkter faller inom de viktiga eller kritiska klasserna är det extremt viktigt att frågan utvärderas. Detta eftersom de medföljande grundligare granskningarna ökar sannolikheten att brister upptäcks, vilket kan leda till straff och höga bötesnivåer i enlighet med CRA artikel 64.

Med de tre produktkategorierna standard-, viktiga och kritiska produkter definierade kan vi nu gå vidare till artikelns sista och kanske svåraste sektion: de fula produkter som faller mellan eller på gränsen till någon av kategorierna.

The Ugly

Gränsdragningar medför alltid gränsfall. Situationer uppstår där det är oklart huruvida en produkts egenskaper gör att den faller under CRA eller inte. Likt Tuco (the Ugly) är dessa produkter ibland din vän och ibland din fiende, och precis som i filmen riskerar felaktiga bedömningar att bli dyra i längden. Att hantera dessa produkter är en av de mest utmanande aspekterna med CRA. Förhoppningsvis kan följande exempel och resonemang bidra till att ge klarhet i dimman.

En produkttyp som ofta faller inom den "fula" kategorin är SaaS-plattformar som till exempel planeringsverktyget Jira. Jira används oftast genom SaaS-tjänsten Jira Cloud som användare når via sin webbläsare. När Jira används på detta sätt kan man argumentera att det är en molnbaserad tjänst som erbjuds till en kund snarare än en produkt med digitala element. Skäl (12) i CRA presenterar att just molnlösningar kan utgöra undantag som inte faller under CRA, och man skulle därmed kunna dra slutsatsen att Jira inte borde påverkas. Tyvärr slutar inte analysen där, då Jira också ger möjligheten att ladda ner mjukvaran för drift på egen server under namnet Jira Data Center. Funktionaliteten i dessa två varianter är till största del densamma. Det faktum att kunden behöver ladda ner, installera och drifta lösningen själv gör dock att Jira Data Center kan ses som en digital produkt snarare än en molntjänst. Eftersom Jira Data Center då är en produkt som kopplar upp mot ett nätverk faller den tydligt under CRA.

Om vi nu ställer oss i Atlassians (Jiras ägarföretag) skor, hur ska vi agera? Ska vi bekosta de processer och verktyg som krävs för CRA-efterlevnad för båda varianterna av Jira? Ska vi spara pengar genom att bara göra det för den ena? Kan Jira Cloud verkligen ses som en tjänst när majoriteten av koden sannolikt är densamma som för produkten Jira Data Center? Behöver vi implementera samma tekniska lösningar i Jira Cloud som i Jira Data Center? Hur ska vi bedöma de risker som finns associerade med båda lösningarna? Frågorna är många och svaren få. Målet i denna sektion är inte att berätta för Atlassian hur de ska cybersäkra sina produkter, utan att exemplifiera en viktig poäng: Att avgöra vilka produkter som påverkas av CRA, till vilken grad de påverkas och hur efterlevnad ska nås kan vara synnerligen svårt.

Det finns ännu ingen etablerad praxis för hur organisationer ska hantera gränsfallsprodukter som denna, så hur ska företag agera? I denna artikel presenterar vi två principer som kan vara till nytta.

För det första är det viktigt att förstå att produkter som faller inom den fula ambiguösa kategorin kräver case-by-case-behandling. För produkter som faller tydligt inom ramen för CRA kan man ofta effektivisera sitt efterlevnadsarbete genom att gruppera produkter med liknande komponenter och funktionalitet. För de fula produkterna är detta i vår mening dock alltför riskfyllt. Felaktiga bedömningar kan ge dryga böter vid en granskning, så om osäkerhet finns är det kritiskt att produkten behandlas separat.

Den andra principen är att alltid minnas att CRA är ett riskbaserat regelverk. De krav som en extern revision ställer kommer alltså vara en bedömningsfråga i förhållande till de risker som finns. En produkt som faller under CRA kan kräva väldigt få säkerhetskontroller om det finns omständigheter som förmildrar de associerade riskerna (det är till exempel svårare att sabotera en övervakningskamera som sitter inuti ett stängt kassavalv än en som sitter på en öppen gata). Utifrån detta anser vi att riskanalysen är det främsta verktyget vid bedömningar av den fula produktkategorin. Om du är osäker på hur du ska hantera en produkt i den fula kategorin, börja med en ordentlig riskanalys och utgå därifrån.

Avslutning

Som vi nu sett är produktklassificering inom CRA både enklare och svårare än man först kan tro. I många fall är det tydligt om en produkt träffas av CRA eller inte, men det finns också svåra gränsfall. Oavsett klassificering behövs en riskbaserad approach för att nå efterlevnad. Detta arbete är kritiskt och bör prioriteras av företag. Som vi såg i exemplet med Jira kan detta dock vara förvånansvärt svårt då klassificeringsprocessen snabbt resulterar i svåra tekniska och juridiska bedömningar. Vi i Knowits team inom cybersäkerhet och juridik har en unik förmåga att möta dessa frågor utifrån vårt långsiktiga strategiska arbete kring just dessa områden. Med tekniska experter såväl som juridiska specialister står vi redo att hjälpa er att navigera detta karga landskap, och se till att ni precis som Blondie kommer undan med både liv och plånbok i behåll.

1 Denna lista är inte omfattande utan enbart menad att visa på några exempel.
2 Fler produkttyper kan tillkomma framöver i enlighet med EU-kommissionens bedömningar.

Relaterade inlägg