Hur påverkas svenska företag av EU:s nya Cyber Resilience Act (CRA)? Det var huvudfrågan när myndigheter, industriföretag, standardiseringsexperter och cybersäkerhetsspecialister samlades i Kista för CRA-dagen den 4 maj.
CRA är EU:s nya cybersäkerhetsförordning för produkter med digitala komponenter och syftar till att förbättra cybersäkerheten i både mjukvaror och hårdvaror. Förordningen trädde i kraft den 10 december 2024 och kraven införs stegvis med start i september 2026 för att börja tillämpas fullt ut från december 2027. Tillverkare, distributörer och importörer som vill verka på EU:s inre marknad behöver därför se över och uppdatera sina processer, system, applikationer, produkter och tjänster utifrån de nya kraven.
Standardisering, marknadskontroll, incidentrapportering och praktisk implementering stod i fokus under dagen – tillsammans med en tydlig uppmaning till företag om att redan nu börja förbereda och engagera sig tidigt i standardiseringsarbetet.
Deltagarna fick bland annat ta del av hur arbetet med CRA ser ut på europeisk nivå, hur implementeringen hanteras i Sverige samt insikter från företag som redan arbetar aktivt med att förbereda sig för de nya kraven.
Standardisering lyftes fram som strategiskt viktig
Dagen inleddes med en vd-panel där Annika Andreasen, vd för SIS, Bettina Funk, vd för ITS, och Thomas Korssell, vd för SEK Svensk Elstandard, diskuterade standardiseringens betydelse i takt med att nya europeiska regelverk införs. De betonade även vikten av att Sverige deltar tidigt i standardiseringsarbetet inom EU för att kunna påverka utvecklingen och tidigt få kunskap om kommande krav.
Thomas Korssell, vd för SEK Svensk Elstandard
Thomas Korssell lyfte betydelsen för företag att tidigt sätta sig in i de många regelverk som nu växer fram inom det digitala området. Han uppmanade också företag att delta aktivt i standardiseringsarbetet och informerade om hur standarder kan göra lagkraven mer praktiskt tillämpbara:
Jag tror att man ska vara ödmjuk inför uppgiften. Det kommer många regelverk inom det digitala området och allt är inte relevant för alla. Det viktiga är att engagera sig inom standardiseringen för att kunna vara med tidigt och påverka, att fundera på vad som är viktigt för det egna företaget och att skaffa sig information i tid. Lagstiftning kan ju vara ganska krånglig ibland för ett samhälle att uppfylla och standarder blir då ett hjälpmedel för att uppfylla lagstiftningen på ett enklare sätt.
Bettina Funk, vd för ITS, betonade samtidigt att företag inte behöver hantera omställningen själva:
Vi finns här för att hjälpa er att hitta rätt i standardiseringssystemet. Vi erbjuder utbildningar, stöd och möjligheter att diskutera sitt specifika fall. Våga fråga och våga kontakta de svenska standardiseringsorganisationerna som har kunskap inom området.
Bettina Funk, vd för ITS
Från EU-lagstiftning till harmoniserade standarder
Förmiddagen fokuserade på det europeiska arbetet kring CRA och de standarder som nu utvecklas för att stödja implementeringen. Programmet innehöll bland annat presentationer från experter som arbetar med de horisontella och vertikala standarderna för CRA.
Tommaso Bernabo från EU-kommissionens DG CONNECT presenterade huvuddragen i CRA och gick igenom centrala delar i lagstiftningen kopplat till cybersäkerhetskrav, riskbedömning, sårbarhetshantering och marknadskontroll.
Under presentationerna beskrevs också hur harmoniserade standarder ska hjälpa företag att visa överensstämmelse med CRA. Arbetet omfattar både horisontella standarder och standarder för specifika produktkategorier.
Svensk implementering av CRA
Under eftermiddagen riktades fokus mot hur CRA ska implementeras i Sverige.
Peggy Haase från Post- och telestyrelsen (PTS) presenterade cyberresiliensutredningen och det pågående arbetet med kompletterande svensk lagstiftning kopplat till CRA.
I övrigt berördes bland annat frågor om marknadskontroll, incidentrapportering, tillsyn och hur svenska myndigheter och företag påverkas av det nya regelverket.
Representanter från Myndigheten för civilt försvar och Nationellt samordningscenter för forskning och innovation inom cybersäkerhet (NCC-SE) förklarade också arbetet kopplat till incidentrapportering, cybersäkerhet och stöd till företag.
Industrins perspektiv
Även företagens arbete med CRA och hur cybersäkerhetskraven kan integreras i verksamheten belystes under dagen.
ASSA ABLOY delade erfarenheter från sitt arbete med att förbereda sig inför CRA och hur regelverket påverkar flera delar av organisationen, bland annat produktutveckling och hantering av cybersäkerhetsfrågor genom produktlivscykeln.
Samverkan och standardisering fortsatt viktigt
Två återkommande ämnen under dagen var hur företag praktiskt ska kunna förbereda sig inför de nya kraven och hur industrin kan delta i standardiseringsarbetet.
Flera talare betonade vikten av samverkan och att standardisering ger företag möjlighet att få tidig kunskap om kommande krav och bidra med praktiska erfarenheter i utvecklingen av framtida standarder.
För företag inom industri och OT är arbetet särskilt relevant inom SEK Svensk Elstandards tekniska kommitté SEK TK 65 – den tekniska kommitté som arbetar med industriell mätning, styrning och automation samt relaterade cybersäkerhetsfrågor.
Vill du veta mer om CRA eller är nyfiken på hur du kan bli en del av cyber- och standardiseringsnätverket genom SEK TK 65? Läs mer här.
Viktor Centing, kanslikontakt för SEK TK 65
