Cyber Resilience Act (CRA) kräver att säkerhet byggs in i varje uppkopplad produkt. För många företag innebär det nya processer, roller och rutiner. Så här tar ni stegen från krav till handling.
”Cyber Resilience Act är nära kopplad till CE-märkningen, och därmed till själva möjligheten att lansera produkter inom EU”, säger Isaac Caceres, säkerhetskonsult, utvecklare och embeddedspecialist på Assured. Han arbetar med penetrationstester mot IoT och hårdvara, liksom med embedded-utveckling.
För att leva upp till förordningen behöver företag skapa en tydlig struktur för cybersäkerhet i produktutvecklingen. Det handlar om att analysera hur man arbetar i dag och identifiera vilka delar som behöver stärkas.
”Därifrån utvecklar man sina processer – från designmöten och implementering till hur säkerhetstester ska utföras och dokumenteras. Allt måste vara i skrift och det kan ta upp till ett år att få allt på plats, så det gäller att börja i tid”, säger Isaac.
När nuläget är kartlagt handlar nästa steg om att omsätta analysen i praktiken. Ett bra sätt att börja är med en förstudie eller gapanalys som konkretiserar vilka åtgärder som behövs för att nå upp till CRA. Den lägger grunden för ett systematiskt säkerhetsarbete genom hela produktens livscykel.
Navigera rätt i gråzonerna
När grunden väl är lagd handlar nästa steg om att förstå hur reglerna ska tillämpas i praktiken. Gränsen för vad som räknas som en digital produkt kan dock vara svår att dra, och det skapar tolkningsutrymme för både företag och tillsynsmyndigheter.
”Regelverket är i gråskala och det finns många fallgropar. Man pratar om digitala element i stället för produkter. Det berör faktiskt allt som kan koppla upp sig mot internet – mjukvara, hårdvara utan programvara eller till och med ett videospel”, säger Isaac.
Testning som bevis – inte bara kontroll
För att uppfylla CRA behöver företag kunna visa hur säkerheten är integrerad i utvecklingen, inte bara vid lansering. Här spelar testning och verifiering en avgörande roll.
Assured hjälper företag att bygga säkerhetsstrukturer som fungerar i praktiken – i alla delar av projekten. Genom att kombinera djup kompetens inom cybersäkerhet med förståelse för regulatoriska krav stödjer vi kunder i allt från IoT och inbäddad elektronik, till komplexa industriella system. Med andra ord, områden där precision, spårbarhet och tydliga processer är avgörande för att klara granskning och uppfylla kraven i CRA.
”Vi arbetar med rådgivning kring hur processen ska dokumenteras och appliceras, men främst med testning för att optimera säkerheten”, säger Isaac och tillägger:
”Vi vill vara en del av utvecklingen och hjälpa våra kunder att möta de säkerhetsutmaningar som väntar. Kraven är höga och sanktionerna kan bli kännbara om man inte följer reglerna.”
Framåt mot en säkrare bransch
Isaac ser förordningen som en milstolpe som kommer att höja ribban för hela branschen. Det handlar inte bara om att uppfylla lagkrav, utan om att skapa förtroende för produkterna, den digitala infrastrukturen och varumärket.
”CRA är ingen enkel process, men den kommer att bidra till en säkrare marknad. Många produkter har fungerat bra men saknat ett grundläggande skydd. CRA gör säkerheten till en självklar del av produktutvecklingen. I dag kan man till exempel ta sig in via en IoT-produkt för att nå ett wifi-nätverk på grund av att säkerhet inte varit en prioritet inom elektronik”, säger Isaac.
Slutligen, nya hot, nya system och ny teknik kräver kontinuerligt lärande, betonar och avslutar Isaac:
”Vi har bred kompetens och unika forskningssamarbeten. Vi försöker hela tiden lära oss mer och hålla oss uppdaterade. Nästan varje dag lär jag mig något nytt. Det är avgörande inom IT-säkerhet”.
Kontakta oss och fråga om våra tjänster
Kontakta oss eller fyll i formuläret nedan för att ta reda på hur vi kan hjälpa er att uppfylla Cyber Resilience Act och säkra era produkter.