I december 2024 trädde cyberresiliensförordningen, Cyber Resilience Act, CRA, i kraft i EU. Det innebär mycket högt ställda krav på cybersäkerhet i alla typer av produkter, både hårdvara och mjukvara, som har någon form av digital komponent i sig.

CRA innebär inte bara höga säkerhetskrav på en produkt vid tillverkning eller försäljning. Den kräver också att tillverkaren ansvarar för att produkten går att uppdatera säkerhetsmässigt och att sårbarheter kan identifieras under hela livscykeln. Tillverkaren måste också kunna informera användare eller kunder om en sårbarhet upptäcks, vilket kräver en användar- och kundkontakt som många tillverkningsföretag inte har idag. 

För att tillverkningsföretag ska kunna uppfylla CRA i sin helhet krävs att verksamheten ser över både sina utvecklingsprocesser, styrning, testkapacitet, informationssäkerhet och kundrelationer. Det är hög tid att prioritera detta arbete då alla krav måste vara uppfyllda i december 2027, för att över huvud taget få sälja produkter i EU.

– Det är bråttom för de företag som ännu inte börjat arbeta med CRA, säger Mats Lindblad, Business Area Manager GRC & Advisory på Orange Cyberdefense. I korthet är mina rekommendationer att börja med en GAP-analys för att identifiera vad som måste på plats för att uppfylla kraven i sin helhet. Förutom en plan och strategi för att stänga gapen är det viktigt att få ett systematiskt riskhanteringsarbete på plats, att ta fram processer och ramverk, samt att införa ett effektivt arbete med sårbarhetsidentifiering, övervakning, incidenthantering, kundinformation samt revision och uppdatering av kraven.

Orange Cyberdefense har lång erfarenhet av att arbeta med tillverkande företag och upplever att kännedomen om vad CRA innebär och vad som krävs av verksamheten är låg.

Mats Lindblad har en rad tips och råd till tillverkande företag för att göra anpassningarna enklare och mer effektiva, samt att få ett systematiskt säkerhetsarbete på plats, vilket kommer att krävas för att få sälja produkterna inom EU.