EU foreslår nye cyberregler for digitale produkter: “Det er et wake-up-call”
Sine Riis Lund | |
Print
EU-Kommissionen fremlægger for første gang obligatoriske cybersikkerhedskrav for en bred vifte af digitale produkter. International erhvervsorganisation advarer mod "omfattende bureaukrati".
Computerspil, smartphones, computere, legetøj og kaffemaskiner er blandt de produkter, der kan blive omfattet af nye EU-regler for cybersikkerhed.
For første gang foreslår EU-Kommissionen at indføre obligatoriske cybersikkerhedskrav for digitale produkter, der blandt andet vil skulle igennem godkendelsesprocesser, før de kan sælges og bruges på EU-markedet.
“Det, vi præsenterer i dag, er et wake-up-call,” sagde Margarítis Schinás, næstformand med ansvar for fremme af vores europæiske levevis, på et pressemøde torsdag.
Han forklarede, at det er en vigtig dag i EU’s historiebøger for cybersikkerhed, fordi forslaget lukker et “virkelig vigtigt hul” i EU’s juridiske ramme.
“Indtil nu har vi undgået standarder for cybersikkerhed for produkter, men i dag kommer vi med det, og det handler om at adressere det her på en måde, som er øjeblikkelig, direkte og skarp, overfor de såkaldte sårbarheder og trusler,” sagde Margarítis Schinás.
Kommissionen henviser til en rapport, der beretter, at en organisation et sted i verden bliver udsat for ransomwareangreb hvert 11. sekund, og at de anslåede samlede årlige omkostninger ved cyberkriminalitet nåede op på 5,5 billioner Euro i 2021.
Nye krav til producenter
Den nye forordning med navnet Cyber Resilience Act (CRA) omfatter både hardware og software og vil blandt andet fastsætte regler for markedsføring og stille væsentlige krav til design, udvikling og produktion af digitale produkter.
Forslaget ønsker at gøre producenter ansvarlige for cybersikkerhed gennem et produkts livscyklus, så de eksempelvis sørger for at levere software- og sikkerhedsopdateringer til deres produkter, kryptering, stærke autentificeringsmekanismer og support i et “rimeligt tidsrum”.
Desuden skal forbrugerne blive bedre informeret om cybersikkerheden af de produkter, de køber og bruger.
“Ligesom vi kan stole på et stykke legetøj eller et køleskab med CE-mærkning, vil forordningen om cyberrobusthed sikre, at de internetforbundne produkter og den software, vi køber, overholder strenge cybersikkerhedsforanstaltninger. Den vil placere ansvaret, hvor det hører hjemme: hos dem, der bringer produkterne i omsætning," udtaler ledende næstformand Margrethe Vestager i en pressemeddelelse.
Bureaukrati og forbrugersikkerhed
Men EU-forslaget introducerer omfattende bureaukrati, der kan bremse eller endda stoppe udrulningen af nye teknologier og tjenester, som Europa har brug for, advarer den digitale brancheorganisation, Computer & Communications Industry Association (CCIA Europe).
"Disse cybersikkerhedsregler bør stræbe efter at luge dårlige produkter ud fra EU-markedet, men det nuværende CRA-forslag vil føre til, at innovative produkter hober sig op i venteværelser, før de kan bruges af europæere. I stedet bør de nye regler anerkende globalt accepterede standarder og lette samarbejdet med betroede handelspartnere for at undgå dobbelte krav," udtaler CCIA Europes Public Policy Director, Alexandre Roure, i en pressemeddelelse.
Den europæiske forbrugerorganisation, Beuc, mener derimod, at forslaget “væsentligt” vil kunne forbedre situationen i dag, hvor vi har flere og flere forbundne produkter i vores liv, “men mange af dem har ikke engang de mest basale cybersikkerhedsfunktioner,” bemærker vicegeneraldirektør Ursula Pachl.
"Dagens forslag markerer et velkomment brud i virkeligheden med dårlig cybersikkerhed for forbrugerprodukter, men vi har brug for yderligere forbedringer for at få denne lov til at levere fuldt ud til folk,” udtaler Ursula Pachl i en pressemeddelelse.
Myndigheder skal overvåge
Som eksempel peger hun på, at visse forbrugerprodukter, såsom børneenheder, smart home-systemer, sikkerhedsenheder eller internetroutere, bør klassificeres som højrisiko og kræve certificering fra tredjeparter.
“Producenter bør også tackle cybersikkerhedssårbarheder i løbet af et produkts forventede levetid. Forbrugerne skal også have mere effektive klagemekanismer til deres rådighed for at få retfærdig kompensation, når tingene går galt," siger hun.
Hvis produkterne overholder kravene, kan de få CE-mærket og blive solgt frit i det indre marked.
Der vil blive udpeget myndigheder i de enkelte medlemsstater, som skal sørge for at håndhæve de nye forpligtelser. Og hvis et produkt ikke lever op til kravene, har myndighederne forskellige værktøjer til rådighed, herunder i værste fald at forbyde eller begrænse et produkt på markedet og trække det tilbage.
Europa-Parlamentet og Rådet skal nu kigge på lovforslaget. Hvis det vedtages og træder i kraft, har virksomheder og myndigheder to år til at tilpasse sig de nye krav. {{toplink}}
Alrow Media udvider bestyrelsen
Borgmestre klar til at hæve skatten og udløse statslig straf for over en kvart milliard
