Från och med den 1 augusti 2025 måste produkter som kategoriseras som internetuppkopplad radioutrustning uppfylla de nya cybersäkerhetskrav som adderas till EU:s redan existerande Radio Equipment Directive (RED). I detta inlägg sammanfattar vi vad de nya kraven innebär, vilka utmaningarna är och sist men inte minst – hur vi kan hjälpa er att tolka och uppfylla cybersäkerhetskraven!
I maj 2014 publicerades Radio Equipment Directive (2014/53/EU) med målsättningen att skapa ett juridiskt ramverk för radioutrustning på den europeiska marknaden. Direktivet innehåller krav på allt ifrån att radioutrustning ska vara säker, till att radiospektrumet ska användas effektivt. I takt med digitalisering och en ökad mängd uppkopplade enheter identifierades behovet av att inkludera cybersäkerhetsaspekter i direktivet.
Till följd av detta antogs i oktober 2021 den delegerade akten (EU 2022/30) som ett komplement till direktivet med särskilt avseende på artikel 3(3) och dess tilläggspunkter. Dessa punkter innefattar väsentliga krav som rör cybersäkerhet för produkter som bedöms kunna ha potentiella risker kopplade till cybersäkerhet. Genom att inkludera dessa aspekter strävar det uppdaterade direktivet efter att skapa en säkrare och mer robust miljö för internetuppkopplad radioutrustning.
Vad innebär då kraven i tilläggspunkterna? De tre punkterna berör tre olika områden vilka alla har en koppling till cybersäkerhet och de är som följer:
3(3)(d) – säkerställa skydd av nätverk
3(3)(e) – säkerställa skydd för personuppgifter och integritet
3(3)(f) – säkerställa skydd mot bedrägeri
Sammanfattningsvis är syftet att öka motståndskraften i nätverk genom att tillverkare måste införa säkerhetsmekanismer i sina produkter som ska minska risker för att uppkopplade enheter används för att störa andra tjänster i ett nätverk. Kopplat till detta ska också den personliga integriteten vid användning av uppkopplade enheter stärkas genom att mekanismer för att skydda personliga data införs. Slutligen ska även åtgärder som minskar risker för att utsättas för monetärt bedrägeri vid elektroniska betalningar implementeras.
En nära besläktad reglering som också kommer att bli en stor spelare kopplat till cybersäkra produkter är Cyber Resilience Act (CRA). När CRA börjar tillämpas 2027 kommer sannolikt kraven i RED att ersättas vilket blir ytterligare en aspekt för organisationer att ta höjd för.
Att navigera genom alla dessa regleringar, både nya och gamla, kan vara knepigt. Att förstå kravställningen är svårt, och att samtidigt förstå vilka regleringar som är applicerbara för sin organisation är även det en utmaning.
Särskilt svårt är det när det kommer till att bedöma vilka produkter som täcks av de nya kraven utpekade i den delegerade akten. Att produkter som har kapabilitet för cellulär uppkoppling och Wi-Fi faller under kraven är ganska enkelt att bestämma, men när det kommer till mer ovanliga protokoll, som kanske till och med är specialtillverkade är det svårare. Detta är mycket vanligt inom industri och OT-sektorn, som ofta använder sig av mindre avancerade och äldre protokoll som är trådlösa (t.ex., Wireless Hart), men inte direkt internetuppkopplade.
Det finns en avsaknad av vägledning från lagstiftare hur man ska tolka skrivningarna vilket leder till att många organisationer går vilse i dessa frågeställningar. I fallet för RED finns det vägledande standarder under utveckling, men dessa är försenade. Detta påverkar särskilt produktutvecklande bolag som nu måste komma fram till hur de ska tolka och applicera regleringen för att nå upp till säkerhetskraven som ställs på produkterna.
I själva verket finns det tre frågeställningar som organisationer måste utreda för att möta de nya kraven.
Dessa frågeställningar bör tas hand om så snart som möjligt för att kunna möta kraven som blir obligatoriska i augusti 2025. Det kan vid första anblick verka som lång tid, men tiden går snabbt och plötsligt är vi framme. Att som organisation redan nu börja rusta sig är därför ett klokt beslut, för att inte riskera att missa deadlinen.
Vi har tidigare hjälpt produktutvecklande bolag att analysera lagstiftning och produkter för att se till att kraven från lagstiftningen möts. Detta kan göras på många olika sätt, men vi ser att ett kombinerat tillvägagångssätt fungerar mest effektivt. Det första som måste göras är att skapa en förståelse för organisationen och produkterna som behöver analyseras. Det är viktigt att organisationen har ett fungerande arbetssätt för att utveckla produkter säkert för att kunna anpassa produkterna efter en uppdaterad kravställning på säkerhet. Sedan behövs en juridisk överflygning för att analysera landskapet av regleringar för att hitta vilka som är applicerbara för organisationen och vilka de inte träffas av.
Sist behövs en tolkning av de tekniska standardkraven för att kunna skapa en säker arkitektur i produkterna som uppfyller RED och samtidigt ser till att de produkter som når marknaden är motståndskraftiga mot attacker. Det innefattar också att ta fram lämplig kravställning mot leverantörer av uppkopplade produkter. Förutom att produktens design ska vara säkrad finns det också konkreta krav på att övervaka produkten under användning och leverera säkerhetsuppdateringar över produktens livscykel vilket betyder att man måste kunna hantera cybersäkerhetsincidenter. Man får inte heller inte leverera produkter med tidigare kända sårbarheter.
För att sammanfatta är utmaningen tveklöst stor för alla produktutvecklande bolag som faller inom ramen för kommande regleringar. RED kommer att ställa krav på produktutvecklande bolag, och för att möta dessa krav behöver arbete utföras, både på en juridisk nivå och på en teknisk nivå. Rätt insatser behövs göras i tid, och genom att påbörja arbetet redan nu kan organisationer öka sina chanser att lyckas. Detta gäller inte minst med tanke på att fler regleringar såsom CRA väntar runt hörnet.
Har du frågor om Radio Equipment Directive?
Välkommen att höra av dig till Dennis Selin, regionsansvarig för Knowits erbjudanden inom cybersäkerhet och juridik i Göteborgsområdet.