Publicerad 20 april 2023

Cyber Resilience Act

Innebörd, konsekvenser och tidplan för förordningsförslaget Cyber Resilience Act.

Senast uppdaterad: .

Innebörd

Cyber Resilience Act är ett förslag till förordning som syftar till att öka säkerheten och motståndskraften mot cyberattacker inom EU. Lagen innehåller bestämmelser om hur företag och organisationer ska hantera cybersäkerhet, inklusive att förebygga, upptäcka och hantera cyberattacker.

Konsekvenser

Förslaget innehåller regler för produkter med digitala komponenter och förslaget kan även till del tolkas som att främst rikta sig mot det som kallas IoT-produkter (Internet Of Things). Den ska även täcka andra typer av produkter, exempelvis ”kritiska system” eller operativsystem. Vilka dessa är beskrivs i Annex III till förordningen.

Förordningen innehåller:

  • Regler för att lansera digitala produkter på den gemensamma marknaden med avseende på cybersäkerhet.
  • Grundläggande cybersäkerhetskrav för tillverkare avseende utveckling, produktion och leverans av produkten.
  • Krav på leverantörer avseende hur dessa skall hantera sårbarheter under produkternas livscykel för att säkerställa att dessa är säkra.
  • Regler för att kunna övervaka och tillämpa att marknaden efterföljer de cybersäkerhetskrav som ställs.

Cyber Resilience Act kommer att få mycket stor betydelse för tillverkare av produkter som omger oss i vardagen, men förordningen är också specifikt riktad mot högriskprodukter där angrepp kan medföra stora konsekvenser. I denna grupp kan exempelvis sjukvårdsutrustning inbegripas.

Förordningen kan på grund av regler runt självcertifiering komma att försvåra för Open Source-utveckling och flera stora Open Source-organisationer har utryckt oro för hur förordningen kan komma att påverka Open Source projekt som inte har resurser att uppfylla tex certifieringskraven. Open Source programvara har uppskattats ingå i upp till 70% av alla produkter med digitala komponenter i EU.

Regleringarna i förordningen kommer i många fall att tangera andra EU-förslag som exempelvis NIS 2.

Detta gör SKR

SKR följer utvecklingen och kommer uppdatera här när det finns nyheter av värde för kommuner och regioner.

Tidplan, status

Både Europaparlamentet och Europeiska kommissionen fastställde sina förslag på ändringar av förordningen under sommaren och förväntas under september att starta trilogen där dessa och Europarådet förhandlar för att ta fram ett gemensamt förslag. Det anses rimligt att detta kan bli avklarat under 2023 och att ett förslag därmed skulle kunna komma upp för beslut under 2024.

Tidigast 2025–2026 kan förordningen komma att gälla som lag i Sverige.

Läs vidare

Cyber Resilience Act, förslag till förordning, EUR-Lex

Informationsansvarig

  • Johan Thulin
    Handläggare

Kontakta oss

Kontaktformulär SKR








Verifiering * (obligatorisk)
Vi kontrollerar att du är en människa och inte en robot.

SKR använder ett ärendehanteringssystem för effektiva processer för dig som behöver rådgivning och service.

Vill du inte lämna dina personuppgifter går det bra att ringa oss i stället på telefon

08 452 70 00.

Det går också bra att kontakta oss om du vill att dina personuppgifter gallras i systemet.

https://skr.se/dataskydd

Så hanteras ditt ärende