EU-kommisionen föreslår nya cybersäkerhetskrav för uppkopplade produkter och vissa mjukvaror

Författare: Kave Noori

Euractvi rapporterar att EU-kommissionen i torsdags förra veckan (15 september 2022) föreslog en ny lag för att öka cybersäkerheten. Cyber Resilience Act, inför krav på cybersäkerhet för “produkter med digitala element”. Kraven omfattar både hårdvara och mjukvara som riktar sig till konsumenter och företag.

Lagen bygger på tankesättet att eftersom allt fler enheter är uppkopplade så ökar också sårbarheterna. Lagen kommer också att innehålla krav på öppenhet och information till användarna för att öka konsumenterna och företagens förtroende för produkterna.

Produkter med digitala element som kan utgöra en cybersäkerhetsrisk delas in i två klasser. Klass I representerar en lägre risk, medan klass II representerar en högre risk. När man fastställer vilken klass en produkt tillhör, tar man hänsyn till den potentiella effekten av produktens sårbarheter i fråga om cybersäkerhet och produktens avsedda användningsområde.

Klass I omfattar: Webbläsare, lösenordshanterare, programvara som söker efter och tar bort skadlig kod, programvara för fjärråtkomst/delning, programvara för hantering av mobila enheter, fysiska nätverksgränssnitt, brandväggar för konsumenter, samt routrar och modem för konsumenter.

Klass II omfattar: Operativsystem för servrar, stationära datorer och mobila enheter. Hypervisorer (virtualisering), infrastruktur för publika nycklar och utfärdare av digitala certifikat, routrar, modem för anslutning till internet och nätverksswitchar avsedda för företag, smarta kort, smarta kortläsare och tokens.

Enligt lagförslaget måste tillverkaren påvisa att produkten, dess digitala delar och tillverkarens rutiner för att åtgärda sårbarheter, uppfyller de grundläggande säkerhetskraven. Tillverkaren måste utifrån en lagreglerad process bedöma och säkerställa att produkten uppfyller kraven. Produkter i klass II som utgör en högre risk måste bedömas av en extern tredje part.

Enligt förslaget ligger det på medlemsstaterna att införa bestämmelser om sanktioner för tillverkare som bryter mot de föreslagna reglerna. Sanktionerna ska vara effektiva, proportionella och avskräckande. Medlemsländerna får införa sanktionsavgifter på upp till 15 000 000 euro eller, om den som begår överträdelsen är en internationell koncern, upp till 2,5 % av dess totala globala årsomsättning, beroende på vilket belopp som är störst.

FBI rensar hackade enheter från skadlig kod
Problemet med infekterade servrar och internetinfrastruktur som utgör en risk har blivit så stort att det amerikanska justitiedepartementet och FBI har börjat genomföra offensiva hackningsoperationer. Detta innebär att om en e-postserver på ett företag eller, låt oss säga, en router i hemmet har hackats och sitter fast i ett botnät och den som äger utrustningen inte åtgärdar säkerhetshålet inom en viss tid. Då kan de amerikanska myndigheterna som en sista utväg begära ett tillstånd från en domstol för att skicka kommandon till de infekterade nätverksenheterna i botnätet. FBI skickar då en instruktion till den infekterade enheten som raderar den skadliga koden.

Detta är en relativt ny utveckling som har orsakat en del kontroverser. Vissa anser att det är en kränkning av privatlivet, medan andra anser att det är ett nödvändigt steg för att hålla internet säkert.

Läs mer:

EURACTIVs artikel den 15 september om förslaget till Cyber resilliance act

EU kommisionens förslag till Cyber resilliance act

The Records artikel den 8 september om amerikanska myndigheters offensiva hackningsmetoder

Amerikanska justitiedepartementets pressmeddelande 6 april 2022 om en offensiv hackningoperation som utfördes för att rensa infekterade brandväggar som tagits över av ryska hackare

Forum för Dataskydds artikel den 30 maj 2022 om att EU skärper kraven för samhällsviktiga tjänster

Forum för Dataskydds artikel den 14 juni 2022 om utpressningstrojanerna och demokratin

Logga in

Ej medlem? Registrera dig

Återställ lösenord

Bli medlem

    Forum för Dataskydd bidrar till ett tryggt informationssamhälle och värnar om integritetsskydd idag och i morgon. Vi förstärker, förenklar och ökar medvetenheten kring integritetsskydd i Europa genom att skapa ett tongivande forum för samverkan och informationsspridning. Stärk ditt dataskyddsarbete med kompetens från drygt 800 medlemmar på våra seminarier och nätverksträffar. Medlemmar går gratis på våra seminarier och nätverksträffar samt till rabatterat pris på Nordic Privacy Arena.

    Studentmedlemskap upphör automatiskt efter ett år, därefter behövs ny ansökan. Ange också ert mecenatkortnr i meddelandefältet.


    Det är viktigt att meddela oss om du byter arbetsplats, faktureringsadress, telefonnummer, mailadress eller annan viktig information. När du byter arbetsplats eller annan ovannämnd information mailar du oss och meddelar detta på info@dpforum.se så att vi kan säkerställa kontinuitet i ditt medlemskap.


    Ordinarie medlemskap: 1645 kr per år.
    Student: Gratis första året, sedan 200 kr per år (är du anställd på ett företag gäller ordinarie pris).















    Genom att fylla i formuläret, godkänner jag att Forum för Dataskydd lagrar mina personuppgifter i sin databas som kommer användas för att förse mig med relevant information om Forum för Dataskydds tjänster och erbjudanden.

    This site is protected by reCAPTCHA and the Google Privacy Policy and Terms of Service apply.
    Go to cart