Statsrådet understöder kommissionens förslag till cyberresiliensakt

Statsrådet lämnade den 10 november 2022 en U-skrivelse till riksdagen om kommissionens förslag till cyberresiliensakt (Cyber Resilience Act, CRA). Statsrådet understöder den föreslagna förordningens syfte att produkter som släpps ut på marknaden ska vara tryggare i cybermiljön.

Europeiska kommissionen publicerade förslaget till parlamentets och rådets förordning om horisontella krav på cybersäkerhet för produkter med digitala element, det vill säga till cyberresiliensakt den 15 september 2022. Bakgrunden till förslaget är utvecklingen inom cybersäkerheten, som har lett till att hårdvara och mjukvara allt oftare utsätts för cyberattacker, vilket orsakar betydande kostnader för konsumenterna. Förslaget är nytt och genom det föreskrivs miniminormer för cybersäkerhet hos produkter och programvara med digitala element på den inre marknaden.

Rättsakten kompletterar den nuvarande lagstiftningsramen för cybersäkerhet, som omfattar direktivet om nät- och informationssäkerhet (NIS2-direktivet) och cybersäkerhetsakten. Kommissionens förslag är en del av EU:s nya cyberstrategi och dess mål som antogs i december 2020.

Säkerheten hos uppkopplad hårdvara viktigt utvecklingsmål

Statsrådet stöder förordningsförslagets mål om att förbättra cybersäkerheten hos digitala produkter och tillhörande tjänster, öka transparensen i fråga om säkerhetsegenskaper och erbjuda konsumenterna mer information till stöd för köpbeslut och val. Statsrådet anser att bättre säkerhet för uppkopplad hårdvara och mjukvara är ett viktigt utvecklingsmål inom cybersäkerhetssektorn.

Statsrådet anser det också vara motiverat att ansvaret för produktsäkerheten i cybermiljön mer än för närvarande omriktas från användaren till tillverkaren. Då mängden uppkopplad hårdvara och mjukvara ökar och deras betydelse accentueras ökar också behovet av att säkerställa deras säkerhet och reagera på eventuella sårbarheter under produktens livscykel.

- Digitala produkter och tjänster skapar många möjligheter, men samtidigt medför de informationssäkerhetsrisker. Rättsakten bidrar på ett berömligt sätt till att cybersäkerhet blir lika viktigt som annan överensstämmelse med olika krav. Genom regler som gäller hela livscykeln kan vi bättre än tidigare skydda konsumenterna och bidra till trygga anskaffningar, säger kommunikationsminister Timo Harakka.

Statsrådet anser det vara viktigt att EU-regleringen om digitala produkter bildar en tydlig och enhetlig helhet så att kraven som ställs på aktörerna är tydliga och proportionerliga. Ur denna synvinkel ska EU-rättsakter som gäller cybersäkerhetsnormer ha ett entydigt förhållande till varandra och överlappande bestämmelser bör undvikas. Statsrådet understöder i princip det riskbaserade tillvägagångssättet för att fastställa krav och skyldigheter.

Vad händer härnäst?

Regeringen lämnade en U-skrivelse i frågan till riksdagen den 10 november 2022. U-skrivelsen ska behandlas i stora utskottet, till vilket de berörda fackutskotten yttrar sig.

På EU-nivå behandlas förslaget i Europaparlamentet och rådet. När förslaget har godkänts har de ekonomiska aktörerna och EU-länderna två år på sig att anpassa sig till de nya reglerna. Ett undantag till detta är tillverkarnas skyldighet att rapportera om utnyttjade sårbarheter och avvikelser som ska tillämpas redan ett år efter ikraftträdandet.

Ytterligare information:

Outi Slant, specialsakkunnig, tfn 050 477 9298, [email protected]

Veikko Vauhkonen, specialsakkunnig, tfn 050 340 0578, [email protected]