Publicerad 20 april 2023

Cyber Resilience Act

Innebörd, konsekvenser och tidplan för förordningsförslaget Cyber Resilience Act. Förslaget antogs i Europparlamentet 12 mars 2024.

Senast uppdaterad: .

Innebörd

Cyber Resilience Act är ett förslag till förordning som syftar till att öka säkerheten och motståndskraften mot cyberattacker inom EU. Lagen innehåller bestämmelser om hur företag och organisationer ska hantera cybersäkerhet, inklusive att förebygga, upptäcka och hantera cyberattacker.

Konsekvenser

Förslaget innehåller regler för produkter med digitala element (PDE) och även om förslaget till del kan tolkas som att främst rikta sig mot det som kallas IoT-produkter (Internet Of Things) skall det även täcka andra typer av produkter, exempelvis ”kritiska system” eller operativsystem. Vilka dessa är beskrivs i Annex III till förordningen.

Förordningen innehåller krav på att:

  • Tillverkarna skall säkerställa att deras produkter (under hela deras livslängd) uppfyller ett antal cybersäkerhetskrav och hanterar sårbarheter på ett korrekt sätt.
  • Tillverkaren ska på begäran av tillsynsmyndighet förse denne med all information och dokumentation som behövs för att visa att produkten uppfyller säkerhetskraven.
  • Tillverkaren omfattas av rapporteringsplikt och skall Inom 24 timmar notifiera relevant nationell myndighet om identifierade sårbarheter i deras produkt. Även säkerhetsincidenter som påverkar produktens säkerhet skall rapporteras. Förordningen innehåller även krav på att rapportera till användaren av produkten.
  • Regler för importörens ansvar vid import av produkter med digitala element

Cyber Resilience Act kommer att få mycket stor betydelse för tillverkare av produkter som omger oss i vardagen, men förordningen är också specifikt riktad mot högriskprodukter där angrepp kan medföra stora konsekvenser. I denna grupp kan exempelvis sjukvårdsutrustning inbegripas.

Regleringarna i förordningen kommer i många fall att tangera andra EU-förslag som till exempel
NIS2.

Om NIS2

Detta gör SKR

SKR följer utvecklingen och kommer uppdatera här när det finns nyheter av värde för kommuner och regioner.

Tidplan, status

Trilogen är nu avslutad, Europaparlamentet och Europeiska kommissionen enades den 30 november 2023 om ett gemensamt förslag, förslaget antogs i parlamentet 12:e mars 2024. Nästa samt sista steg är att det formellt ska antas av kommissionen.

Cyber Resilience Act: Förslag som har antagits av parlamentet

Efter att förordningen trätt i kraft har leverantörerna 3 år på sig att efterleva kraven.

Läs vidare

Informationsansvarig

  • Johan Thulin
    Handläggare

Kontakta oss

Kontaktformulär SKR








Verifiering * (obligatorisk)
Vi kontrollerar att du är en människa och inte en robot.