Generella krav på cybersäkerhet för digitala produkter

Pressmeddelande 20.09.2022 10.50 fi sv en

En smart-tv. (Bild: Mika Pakarinen, Keksi/LVM)

Europeiska kommissionen offentliggjorde den 15 september 2022 ett förslag till Europaparlamentets och rådets förordning i fråga om cybersäkerhetskrav för digitala produkter och tillhörande tjänster, det vill säga rättsakten om cyberresiliens (Cyber Resilience Act, CRA). Syftet med förslaget är att skydda i synnerhet konsumenterna mot de it-säkerhetsrisker som ett allt större antal apparater som ansluts till nätet kan medföra.

Genom förordningen kommer det att skapas enhetliga it-säkerhetsregler för tillverkare och försäljare av materiella och immateriella digitala produkter, det vill säga utrustning och programvara, samt tillhörande tjänster. Reglerna ska omfatta en stor mängd digitala produkter och kringtjänster under deras hela livscykel. Sådana produkter som ska regleras är till exempel olika slags konsumentprodukter och terminalutrustning som kopplas till nätet, såsom kameror, smartkort och mobila enheter samt nätverksutrustning såsom routrar.

Målet att svara mot marknadens behov och skydda konsumenterna

Syftet med rättsakten om cyberresiliens är att förbättra cybersäkerheten hos digitala produkter och tillhörande tjänster, öka transparensen i fråga om säkerhetsegenskaper och erbjuda konsumenterna mer information till stöd för köpbeslut och val. Dessutom syftar rättsakten till att förbättra den inre marknadens funktion genom att förenhetliga verksamhetsbetingelserna för dem som säljer digitala produkter och kringtjänster och genom att skapa säkerhetsregler för tillträde till den inre marknaden.

– Digitala produkter och tjänster skapar många möjligheter, men samtidigt medför de informationssäkerhetsrisker. Rättsakten bidrar på ett berömligt sätt till att cybersäkerhet blir lika viktigt som annan överensstämmelse med olika krav. Genom regler som gäller hela livscykeln kan vi bättre än tidigare skydda konsumenterna och bidra till trygga anskaffningar, säger kommunikationsminister Timo Harakka.

Rättsakten kompletterar den nuvarande lagstiftningsramen för cybersäkerhet, som omfattar direktivet om nät- och informationssäkerhet (NIS2-direktivet) och cybersäkerhetsakten. Kommissionens förslag är en del av EU:s nya cyberstrategi och dess mål som antogs i december 2020.

Vad händer härnäst?

Förslaget överlämnas nu till Europaparlamentet och rådet för behandling. När förslaget har godkänts har de ekonomiska aktörerna och EU-länderna två år på sig att anpassa sig till de nya reglerna. Ett undantag till detta är tillverkarnas skyldighet att rapportera om utnyttjade sårbarheter och avvikelser som ska tillämpas redan ett år efter ikraftträdandet.

Kommunikationsministeriet ordnar fredagen den 23 september 2022 ett diskussionsmöte för intressentgrupper om rättsakten om cyberresiliens. Vid mötet presenteras kommissionens förslag och diskuteras intressentgruppernas synpunkter. Ytterligare information om diskussionsmötet ges av Outi Slant, specialsakkunnig.

Ytterligare information:

Outi Slant, specialsakkunnig, tfn 050 477 9298, outi.slant@gov.fi