Med den ökande statliga oron för säkerheten för IoT-enheter, särskilt i kritisk nationell infrastruktur, kan du utveckla betydelsen av EU:s Cyber Resilience Act (CRA)?
Martin Nord: EU:s CRA är en viktig lagstiftning. Den har enorma konsekvenser för samhället i stort, för företag av olika slag inom de flesta branscher som använder IoT, och naturligtvis för slutanvändarna. Den tar itu med de växande cybersäkerhetsriskerna till följd av en kombination av ett större antal illvilliga aktörer med avancerad kapacitet och den ökade volymen IoT-enheter. Tyvärr har många av dessa enheter historiskt sett varit osäkra, vilket gör dem till främsta mål för cyberbrottslingar.
CRA är verkligen betydelsefullt eftersom det lägger ett betydande ansvar på tillverkare, mjukvaruutvecklare och distributörer att åtgärda dessa säkerhetsutmaningar för att kunna betjäna den europeiska inre marknaden. Dessa aktörer måste certifiera att IoT-enheterna är "säkra genom design". Säkerheten ska vara inbyggd i enheten från grunden, snarare än att läggas till i efterhand. Dessutom måste detta dokumenteras och certifieras.
Hur föreslår CRA att denna "secure by design"-strategi ska verkställas?
Martin Nord: CRA verkställer detta genom att lägga ansvaret för säkerheten på hela leveranskedjan för IoT-enheter, från tillverkare till distributörer och importörer. Om dessa bestämmelser inte följs kommer de, när de väl har godkänts av rådet, att hindra företag från att få CE-märkning för sina produkter, vilket är nödvändigt för marknadstillträde. Tillbakadragande och återkallande av produkter är korrigerande åtgärder som kan bli nödvändiga i vissa fall, om aktören har information om att produkten inte överensstämmer med kraven. Företag som inte uppfyller kraven kan dessutom åläggas flera olika typer av böter för överträdelser. Den strängaste är upp till 15 miljoner euro eller 2,5% av den globala omsättningen, beroende på vilket som är högst, för bristande efterlevnad av de grundläggande kraven på cybersäkerhet.
Detta säkerställer att alla intressenter som är engagerade i utveckling och leverans av IoT-enheter prioriterar säkerhetsåtgärder. Dessa parter ska implementera viktiga säkerhetsfunktioner som förbättrar säkerheten i praktiken, som att endast lansera säkra produkter i början, med korrekt dokumentation. Deras skyldighet sträcker sig också över produktens hela livslängd, med krav på att genomföra grundliga analyser, dela med sig av sårbarheter, tillhandahålla support och leverera säkerhetsuppdateringar för att åtgärda eventuella sårbarheter.
Vilken inverkan kommer denna lagstiftning att ha på den globala IoT-industrin?
Martin Nord: CRA påverkar främst EU-marknaden, men dess inverkan sträcker sig långt bortom detta på grund av marknadens storlek och branschens mål att förenkla produktvariationer. Jag förväntar mig att den globala IoT-industrin inte kommer att ignorera dessa regler genom att fokusera på marknader utanför EU. Dessutom diskuterar många andra länder liknande IoT-säkerhetsbestämmelser, vilket gör marknaden för osäkra enheter mindre. I USA arbetar man t.ex. med Cybersecurity Improvement Act, som är i linje med CRA. Det pågår till och med diskussioner om ömsesidigt erkännande av efterlevnadsstandarder mellan EU och USA. Det innebär att om ett företag uppfyller CRA-standarderna kommer det sannolikt också att uppfylla de amerikanska bestämmelserna, vilket effektiviserar det internationella samarbetet och efterlevnadsarbetet.
I slutändan tror jag att tillverkarna av IoT-enheter också har ett egenintresse av att säkerställa högsta möjliga säkerhetsstandarder för sina produkter. Med en harmoniserad lagstiftning inom många branscher har det nu blivit mer praktiskt att förverkliga denna ambition, även inom de mer priskänsliga marknadssegmenten för IoT.
.jpg?quality=high&width=720&height=376&name=2%20(1).jpg)
Vilka utmaningar ser du för tillverkare, importörer och distributörer när det gäller att uppfylla dessa nya standarder?
Martin Nord: Den främsta utmaningen är tidsramen för efterlevnad. Tillverkarna har 36 månader på sig att följa de nya reglerna, med en frist på 21 månader för incidentrapportering. Med tanke på att den typiska livscykeln för utveckling av IoT-enheter är cirka 18 månader måste företagen börja anpassa sina processer omedelbart. Det ekonomiska ansvaret och den stora mängden enheter som måste uppfylla kraven kommer också att utgöra betydande utmaningar. För att genomföra dessa förändringar krävs betydande investeringar i säkerhetsåtgärder och kontinuerliga uppdateringar, vilket kan vara resurskrävande, särskilt för mindre företag. För dem som redan är förberedda eller som gör snabba framsteg bör det dock innebära ökade vinster, eftersom marknaden kommer att belöna dem som kan erbjuda enheter som redan uppfyller kraven i lagstiftningen.
Hur kan IoT-tillverkare på bästa sätt förbereda sig inför implementeringen av CRA?
Martin Nord: Förberedelser är avgörande för att undvika de ekonomiska påföljderna av bristande efterlevnad. Tillverkare bör redan från början söka expertråd för att kunna navigera effektivt i dessa regler.
Först och främst måste man identifiera om ens produkter omfattas av lagstiftningen, och krav nummer ett är att produkten faktiskt görs tillgänglig på marknaden. Lagstiftningen omfattar också endast "produkter med digitala element" ("PDE"), definierade som "alla programvaru- eller hårdvaruprodukter och deras lösningar för databehandling på distans, inklusive programvaru- eller hårdvarukomponenter som ska släppas ut på marknaden separat". Det kan bli nödvändigt att gå igenom definitionerna och tolkningarna i detalj för att t.ex. kunna dra slutsatser i fall som rör programvara och programvara med öppen källkod.
Det är också viktigt att notera att det finns vissa undantag för produkter, som t.ex. vissa reservdelar som är avsedda att ersätta identiska komponenter. Andra undantag gäller sektorer som för närvarande anses vara tillräckligt täckta av andra förordningar, t.ex. medicintekniska produkter, motorfordon, luftfartsprodukter, militär hårdvara och marin utrustning. Dessa kan dock komma att omfattas i framtiden, så man bör överväga att planera för hur man ska säkerställa efterlevnad oavsett.
Även om produkten inte skulle omfattas av CRA bör man vara uppmärksam på att andra förordningar fortfarande kan vara tillämpliga, t.ex. NIS2-direktivet.
Genomförandet av CRA är beroende av den specifika produkten, dess klassificering och dess kategori. Den fullständiga listan över krav finns i själva CRA-texten, eller så kan man hitta en partner som är specialiserad på att hjälpa företag med detta. Naturligtvis måste man se till att man täcker alla aspekter av bestämmelserna. Det räcker t.ex. inte att lansera en produkt som testats för att vara utan sårbarheter om detta inte dokumenteras eller om informationen inte är tillgänglig för användaren.
Att gå längre än minimikraven i CRA kan också vara fördelaktigt. I takt med att cyberbrottslingar utvecklar sin taktik kan proaktiva säkerhetsåtgärder hjälpa företag att ligga steget före förändringar i lagstiftningen och säkerställa att deras produkter förblir säkra och pålitliga.
Som en MVNO specialiserad på Cellular IoT-anslutning förstår vi på Com4 också vikten av att tillverkarna överväger hur de säkerställer att säkerhetsuppdateringarna når slutanvändarnas enheter. Tänk på att det kan vara mer angeläget att ha en hög framgångsgrad för dessa nu obligatoriska uppdateringar än för traditionella uppdateringar över luften, som firmware (FOTA), som kan vara mer "trevliga att ha".
- Täckning, datapris och teknik för radioaccess är alla viktiga parametrar när man väljer lösningar för WAN-anslutning (Wide Area Network). Detta bör vara en del av dialogen med leverantören av anslutningsmöjligheter.
- Det är också viktigt att ha en pålitlig konnektivitetspartner med en solid finansiell ställning för att undvika att tjänsten inte är tillgänglig i framtiden. Oförmåga att uppdatera produkten med säkerhetsuppdateringar kan leda till besvärliga och kostsamma processer för utbyte eller återkallelse om en sådan säkerhetsuppdatering behövs som en korrigerande åtgärd för att säkerställa efterlevnad, t.ex. på grund av en nyupptäckt sårbarhet.
- Jag vill också betona att utformningen av IoT-anslutningar är en integrerad del av produktutformningen, inklusive säkerhetsaspekter. Exempel på detta är SIM-formfaktorer som påverkar manipulationsskyddet (traditionella plastvarianter, inbäddade SIM-kort och integrerade SIM-kort), användning av fullt GSMA-certifierade lösningar som i allt större utsträckning kommer att krävas för att få tillgång till mobilnät, samt tilläggsprodukter för att säkra applikationskommunikationen från enheten till backend eller molnet.
- Konnektivitetsleverantören kan också ha andra övervakningsverktyg och säkerhetskontroller som kan förbättra säkerheten. Återigen är det viktigt att diskutera dessa och andra frågor med din konnektivitetsleverantör, eftersom varje användningsområde innebär sina egna utmaningar.
Vilka långsiktiga fördelar ser du med CRA för både företag och konsumenter?
Martin Nord: De långsiktiga fördelarna med CRA är betydande. För företagen innebär det att de kan skapa säkrare produkter, vilket kan förbättra deras rykte och förtroende hos kunderna. Det minskar också den ekonomiska risken för förlust av anseende och tjänster till följd av framgångsrika attacker mot deras tjänster. Det främjar också en mer motståndskraftig digital miljö, vilket minskar risken för kostsamma cyberattacker. För både konsumenter och medborgare innebär CRA ökad transparens och sinnesfrid, eftersom de vet att de uppkopplade enheter som de använder dagligen omfattas av stränga säkerhetsstandarder. Denna lagstiftning utgör ett viktigt steg mot ett säkrare och mer tillförlitligt IoT-ekosystem och samhället som helhet.
Några avslutande tankar om framtiden för IoT-säkerhet i ljuset av CRA?
Martin Nord: CRA är bara början. I takt med att cyberhotens landskap förändras kommer regleringarna att anpassas och utvecklas för att effektivt motverka dem. Det är viktigt för IoT-industrin att vara flexibel och framåtblickande, kontinuerligt förbättra säkerhetsåtgärderna och främja en kultur av medvetenhet om cybersäkerhet. Genom att göra det kan vi bygga en säkrare digital framtid för alla.
För eventuella frågor eller ytterligare information om hur du följer Cyber Resilience Act, vänligen kontakta Com4. Våra IoT-experter är redo att hjälpa dig att navigera i detta nya regleringslandskap och säkerställa att dina IoT-enheter uppfyller de högsta säkerhetsstandarderna.
