EU-kommisionen föreslår nya cybersäkerhetskrav för uppkopplade produkter och vissa mjukvaror

Författare:

|

Datum:

|

Författare: Kave Noori

Euractvi rapporterar att EU-kommissionen i torsdags förra veckan (15 september 2022) föreslog en ny lag för att öka cybersäkerheten. Cyber Resilience Act, inför krav på cybersäkerhet för ”produkter med digitala element”. Kraven omfattar både hårdvara och mjukvara som riktar sig till konsumenter och företag.

Lagen bygger på tankesättet att eftersom allt fler enheter är uppkopplade så ökar också sårbarheterna. Lagen kommer också att innehålla krav på öppenhet och information till användarna för att öka konsumenterna och företagens förtroende för produkterna.

Produkter med digitala element som kan utgöra en cybersäkerhetsrisk delas in i två klasser. Klass I representerar en lägre risk, medan klass II representerar en högre risk. När man fastställer vilken klass en produkt tillhör, tar man hänsyn till den potentiella effekten av produktens sårbarheter i fråga om cybersäkerhet och produktens avsedda användningsområde.

Klass I omfattar: Webbläsare, lösenordshanterare, programvara som söker efter och tar bort skadlig kod, programvara för fjärråtkomst/delning, programvara för hantering av mobila enheter, fysiska nätverksgränssnitt, brandväggar för konsumenter, samt routrar och modem för konsumenter.

Klass II omfattar: Operativsystem för servrar, stationära datorer och mobila enheter. Hypervisorer (virtualisering), infrastruktur för publika nycklar och utfärdare av digitala certifikat, routrar, modem för anslutning till internet och nätverksswitchar avsedda för företag, smarta kort, smarta kortläsare och tokens.

Enligt lagförslaget måste tillverkaren påvisa att produkten, dess digitala delar och tillverkarens rutiner för att åtgärda sårbarheter, uppfyller de grundläggande säkerhetskraven. Tillverkaren måste utifrån en lagreglerad process bedöma och säkerställa att produkten uppfyller kraven. Produkter i klass II som utgör en högre risk måste bedömas av en extern tredje part.

Enligt förslaget ligger det på medlemsstaterna att införa bestämmelser om sanktioner för tillverkare som bryter mot de föreslagna reglerna. Sanktionerna ska vara effektiva, proportionella och avskräckande. Medlemsländerna får införa sanktionsavgifter på upp till 15 000 000 euro eller, om den som begår överträdelsen är en internationell koncern, upp till 2,5 % av dess totala globala årsomsättning, beroende på vilket belopp som är störst.

FBI rensar hackade enheter från skadlig kod
Problemet med infekterade servrar och internetinfrastruktur som utgör en risk har blivit så stort att det amerikanska justitiedepartementet och FBI har börjat genomföra offensiva hackningsoperationer. Detta innebär att om en e-postserver på ett företag eller, låt oss säga, en router i hemmet har hackats och sitter fast i ett botnät och den som äger utrustningen inte åtgärdar säkerhetshålet inom en viss tid. Då kan de amerikanska myndigheterna som en sista utväg begära ett tillstånd från en domstol för att skicka kommandon till de infekterade nätverksenheterna i botnätet. FBI skickar då en instruktion till den infekterade enheten som raderar den skadliga koden.

Detta är en relativt ny utveckling som har orsakat en del kontroverser. Vissa anser att det är en kränkning av privatlivet, medan andra anser att det är ett nödvändigt steg för att hålla internet säkert.

Läs mer:

EURACTIVs artikel den 15 september om förslaget till Cyber resilliance act

EU kommisionens förslag till Cyber resilliance act

The Records artikel den 8 september om amerikanska myndigheters offensiva hackningsmetoder

Amerikanska justitiedepartementets pressmeddelande 6 april 2022 om en offensiv hackningoperation som utfördes för att rensa infekterade brandväggar som tagits över av ryska hackare

Forum för Dataskydds artikel den 30 maj 2022 om att EU skärper kraven för samhällsviktiga tjänster

Forum för Dataskydds artikel den 14 juni 2022 om utpressningstrojanerna och demokratin