Uppkopplade produkter såsom lås, lampor, sensorer och fordon har ökat explosionsartat i både hemmet och industrin. Den snabba tekniska utvecklingen skapar möjligheter, men innebär också risker som ställer höga krav på cybersäkerheten i produkter. Mot denna bakgrund kommer vi ägna 2025 års cybersäkerhetsmånad till att fokusera produktcybersäkerhet. I stället för att diskutera generella hot kommer vi låta tre av våra experter ge konkreta tips på hur era organisationer kan möta utmaningen.
I oktober varje år är det cybersäkerhetsmånad. En kampanj från EU:s cybersäkerhetsorgan ENISA, och i Sverige driven nationellt av MSB, för att uppmärksamma vikten av cybersäkerhet.
Från lås och robotdammsugare till industriella sensorer och insulinpumpar, antalet uppkopplade produkter ökar snabbt och återfinns i nästan alla delar av samhället. I och med ökningen av uppkopplade produkter ökar även cyberriskerna – ett lås kan manipuleras, en robotdammsugare kan användas för att kartlägga hem, sensorer kan slås ut och insulinpumpar blockeras. För att möta dessa risker har EU tagit fram den delegerade akten till Radio Equipment Directive (RED-DA) samt Cyber Resilience Act (CRA), vilka framför allt ställer krav på de som tillverkar uppkopplade produkter.
Att skapa och använda uppkopplade produkter med en hög nivå av cybersäkerhet har aldrig varit viktigare, både utifrån ett generellt riskperspektiv, och ur ett regulatoriskt perspektiv.
I detta blogginlägg kommer vi fråga tre av Knowits medarbetare vad det viktigaste är att tänka på gällande uppkopplade produkter.
Vad innebär RED-DA egentligen?
Simon Jonasson, cybersäkerhetskonsult berättar:
Radio Equipment Directive (RED) handlade ursprungligen om att skydda luftrummet från störningar och har funnits sedan 2014. Från och med 1 augusti 2025 innehåller det också cybersäkerhetskrav som gäller alla produkter som är internetuppkopplade.
Direktivet innehåller breda kravställningar, allt från att radioutrustning ska vara säker, till att radiospektrumet ska användas effektivt.
Under 2021 inkluderades ett cybersäkerhetsperspektiv i RED, i samband med den delegerade akten RED-DA (EU 2022/30) som ett komplement till direktivet. Detta komplement innefattar ett cybersäkerhetsperspektiv genom att ställa krav på skydd av nätverk, säkerställande av skydd för personuppgifter och integritet samt att säkerställa skydd mot bedrägeri. Detta innebär sammantaget att tillverkare måste införa säkerhetsmekanismer i sina produkter för att stärka nätverkssäkerheten, användarnas integritet och minska risken för bedrägerier.
En stor utmaning för produktbolag är att avgöra vilka produkter som täcks av de aktuella kraven. Vi kan enkelt bestämma att produkter med cellulär uppkoppling och Wi-Fi ingår. Det blir svårare när det gäller mer ovanliga protokoll, som är speciellt framtagna för ett särskilt syfte. Denna typ av protokoll förekommer vanligen inom industri- och OT-sektorn. Sammantaget kan vi se att det finns en otydlighet kring vilka regelverk som måste följas, vilka produkter som faller inom RED-DA samt vilka ändringar som krävs i befintliga produkter för att möta de nya kraven.
… och CRA vad ingår där?
Birgitta Landelius, cybersäkerhetskonsult, svarar:
Cyber Resilience Act (CRA) innebär att alla produkter med ”digitala element”, alltså hårdvara och mjukvara som kopplas upp eller integreras i andra system, måste uppfylla särskilda cybersäkerhetskrav. Förordningen trädde i kraft den 10 december 2024 och kommer tillämpas brett från och med den 11 december 2027. CRA anger cybersäkerhetskrav för design, utveckling produktion och sårbarhetshantering. Därtill beskrivs processkrav och hantering samt rapportering av allvarliga sårbarheter och incidenter.
Till skillnad från RED träffar CRA betydligt bredare och omfattar i stort sett alla produkter med digitala element och tillhörande fjärrdatabehandling som tillverkaren står för. Exempel fjärrdatabehandling som omfattas är molnlösningar som krävs för att produkten ska fungera. CRA kan innebära dryga sanktionsavgifter för de verksamheter som inte kan leva upp till förordningens krav. Som högst 15 miljoner euro, eller 2,5% av företagets totala omsättning.
En utmaning för de bolag som träffas av CRA är, i likhet med RED, den praktiska avgränsningen kring vilka produkter som räknas med i den breda formuleringen ”digitala element”, inklusive tillhörande fjärrdatabehandling. Därtill finns oklarheter kring hur lång supportperiod som är rimlig per produktkategori. Här ser vi ett behov av ytterligare vägledning och harmoniserande standarder, för att minska det just nu ganska breda tolkningsutrymmet och säkerställa efterlevnad.
Om vi betraktar produktsäkerhet ur ett juridiskt perspektiv, vad är viktigt att tänka på då?
Diden Göthberg, jurist, svarar:
Utvecklingen av uppkopplade produkter och produktsäkerhet är inte bara tekniskt utmanande, den är även juridiskt komplex, särskilt eftersom dessa produkter behandlar personuppgifter. Enligt Dataskyddsförordningen (GDPR) är personuppgifter varje upplysning som avser en identifierad eller identifierbar fysisk person, vilket innebär att många uppkopplade produkter omfattas av GDPR. När en uppkopplad produkt samlar in, lagrar eller överför personuppgifter såsom hälsodata från en insulinpump eller rörelsemönster från en robotdammsugare ökar riskexponeringen markant.
GDPR kräver att personuppgifter skyddas genom lämpliga tekniska och organisatoriska åtgärder. Säkerhetsnivån ska vara anpassad till riskerna med behandlingen. Här är det avgörande att tillämpa principerna Privacy by Design (inbyggt dataskydd) och Privacy by Default (dataskydd som standard). Produkterna ska från början vara konstruerade för att skydda personuppgifter genom dataminimering, kryptering och säkra standardinställningar. Om samtycke används som laglig grund så måste det ges frivilligt, informerat och aktivt, och användaren ska enkelt kunna återkalla det.
CRA och RED kompletterar GDPR genom att ställa krav på cybersäkerhet i produkter med digitala element. Det innebär att produkter som hanterar personuppgifter måste uppfylla både cybersäkerhetskrav och dataskyddskrav, en dubbel börda som kräver noggrann design och dokumentation. Varken CRA eller RED innehåller en uttrycklig bestämmelse som anger att GDPR har företräde, men det är rättsligt vedertaget att GDPR gäller fullt ut vid all behandling av personuppgifter.
Vad är viktigt för företag att tänka på kopplat till produktcybersäkerhet?
"För verksamheter som innehar uppkopplade produkter bör miljön där produkten placeras vara säker. CRA föreskriver att tillverkaren har skyldighet att analysera potentiella cybersäkerhetsrisker, och samtidigt ha det avsedda ändamålet i beaktning. Även hänsyn till den rimligen förutsebara användningen av produkten innefattas i riskanalysen. Detta gör att det i information till användaren, exempelvis en säkerhetsmanual, kan stå hur användaren eller operatören ska installera produkten på ett säkert sätt, samt att kunden kanske behöver applicera ytterligare fysiska åtgärder för att kunna garantera defense-in-depth.
Vidare syftar CRA till att göra det enklare för konsumenter att välja säkra produkter. Genom CE-märkning och omfattande teknisk- och användarinformation ska kunden ges möjlighet att bilda sig en uppfattning kring om produkten innehåller tillräckliga säkerhetsmekanismer som passar den aktuella driftmiljön."
– Birgitta Landelius
"En mycket viktig aspekt kring hela frågan om produktcybersäkerhet är att vara medveten om att det inte går att vänta med arbetet, utan man måste som produktutvecklande bolag börja redan nu. Det kommer också påverka hela organisationen. Vi kan bara skapa rätt förutsättningar för att utveckla cybersäkra produkter om alla hjälps åt. Det går inte lägga allt ansvar på ”Den där säkerhetspersonen som vi anställde som sitter där borta i hörnet”. Att integrera cybersäkerhet i existerande processer, men också skapa nya processer för till exempel incidenthantering, med rätt ansvarsfördelning är A och O för att lyckas."
– Simon Jonasson
"Samlat kan sägas att när uppkopplade produkter behandlar personuppgifter så ökar cyberhoten. GDPR kräver att dessa risker hanteras proaktivt genom säkerhetsåtgärder, transparens och ansvarstagande. I ljuset av cybersäkerhetsmånaden 2025 bör organisationer inte bara fokusera på teknisk säkerhet, utan även på juridisk efterlevnad och integritetsskydd. Kombinationen av GDPR, RED och CRA innebär en utmaning som kräver samverkan mellan juridik och teknik."
– Diden Göthberg
Produktsäkerhet är inte bara ett teknikproblem, utan en affärskritisk fråga som rör hela organisationen. Med nya regulatoriska krav som RED och CRA och även GDPR ställs högre krav än någonsin på att säkerhet och integritet byggs in från början. Vi hoppas att vi med detta inlägg har inspirerat er till att ta ett helhetsgrepp om produktcybersäkerhet, från teknik till juridik.
