Cybersäkerhet är just nu ett riktigt hett ämne. Flera nya direktiv och förordningar kommer att träda i kraft under de närmsta åren, men många företag är helt omedvetna om den kommande skärpningen av EU:s lagstiftning. Detta trots att den ska leda till förbättrat dataskydd, förhindra bedrägerier och skydda kommunikationsnät.
Inom Europeiska unionen (EU) står företag snart inför allt strängare krav när det gäller cybersäkerhet. Företag som befinner sig under berörda sektorer måste därför ha ett ökat cyberskydd för sina verksamheter och de kan förbereda sig genom att sätta sig in i de nya lagarna. För tillverkare av produkter innehållandes trådlös utrustning är det hög tid att låta dem uppdateras för att kunna möta den nya kravbilden.
Trådlös utrustning kan bli olaglig att sälja
NIS2, som direktiv, är redan gällande i EU, men unionsländerna har fått en övergångsperiod på sig att få till att alla bitar är på plats – NIS2 ska vara fullt ut implementerat den 18 okt 2024. En av de första och mest betydande förändringarna sker genom införandet av radioutrustningsdirektivet den 1 augusti 2024. Detta direktiv omfattar enheter med trådlös radiokommunikation, vilket även inkluderar helt vanliga trådlösa headset. Efter detta datum blir det olagligt att sälja de flesta av dagens trådlösa IoT-enheter inom EU – så länge de inte uppfyller de nya kraven i direktivet. För att få fortsätta sälja sådana enheter inom EU måste tillverkarna förnya CE- märkningen efter de nya EU-direktiven.
Syftet med de nya kraven är bland annat att skydda kommunikationsnät, förbättra användarnas dataskydd samt att förhindra bedrägerier och intrång på nätansluten utrustning. De nya kraven gäller utrustning som direkt eller indirekt kopplar upp sig på internet – allt från mobiltelefoner, nätverksutrustning och leksaker till smarta klockor. Utrustningen ska i framtiden dessutom ha egenskaper som skyddar exempelvis personuppgifter och personers integritet.
Samhällsviktiga sektorer får ökade krav på cybersäkerhet
NIS2-direktivet (Network and Information Security) förväntas träda i kraft i slutet av 2024. Detta direktiv har utvidgat listan över samhällsviktiga sektorer som omfattas av krav på cybersäkerhet. Direktivet berör både myndigheters och företags processer, policies och strategier gällande cyber- och informationssäkerhet. NIS2-direktivet kommer att påverka vår svenska lagstiftning i dessa frågor och lagen kommer att vara bindande.
Det är EU:s målbild att alla organisationer som fyller viktiga samhällsfunktioner ska omfattas av NIS2. Det innebär exempelvis att sektorer som livsmedelsproduktion, avfallshantering, tillverkning av elektrisk utrustning, kemisk industri och IKT-tjänster kommer att beröras. Även läkemedelstillverkare och tillverkare av medicinsk utrustning kommer att påverkas.
Teoretiskt kommer NIS2 primärt att gälla för medelstora och stora företag, eftersom de kommer att bli skyldiga att implementera ledningssystem för informationssäkerhet. I praktiken blir även många småföretag påverkade när de större företagen kommer kräva att deras underleverantörer också̊ har korrekta processer för cybersäkerhet på plats.
Tuffaste kravet gäller alla produkter med digital dimension
En ännu mer omfattande förändring sker via cyberresiliensakten (CRA) som förväntas införas någon gång under 2025–2026. Denna akt kommer att omfatta alla produkter som har ett digitalt inslag – vilket de flesta elektroniska komponenter och programvarukomponenter har idag. För att uppfylla de nya kraven för CE-märkning inom cybersäkerhet flyttas alltså ansvaret ut till tillverkarna som måste säkerställa att produkter, bestående av digitala komponenter, som släpps ut på EU-marknaden uppfyller de nya säkerhetskraven mot cyberhot.
Ta tjuren vid hornen och undvik avbrott i försäljningen
Det är alltså viktigt för företag att vara medvetna om dessa kommande förändringar inom EU-reglerna och agera i god tid. Ignorera inte de nya kraven, eftersom försäljning av icke-godkända produkter kan bli olaglig och snabbt medföra allvarliga konsekvenser.
Varsågod – här kommer en kort summering
- Radioutrustningsdirektivet träder i kraft 1 augusti 2024
- De nya kraven omfattar all utrustning med trådlös radiokommunikation
- Utrustning som säljs inom EU måste uppfylla de nya kraven
- Syftet är att allmänt förbättra EU:s dataskydd och förebygga cyberhot
Se nu till att du och din organisation säkerställer att ni har koll på detta. Stay safe and secure. Idag. Imorgon. And on and on. Och du, behöver du hjälp så har vi en expert ett klick, ett mail eller ett samtal, bort.
