DEBATT:
EUs Cyber Resilience Act: Et vannskille for verdens IoT-sikkerhet?
I en verden hvor stadig flere dingser er tilkoblet internett, har EU tatt et viktig grep for å sikre vår digitale fremtid: Cyber Resilience Act (CRA) vil revolusjonere IoT-sikkerhet – ikke bare i Europa og Norge, men trolig også globalt.
Smartklokker, værstasjoner, badevekter, dørlåser, elbiler og utallige andre enheter rundt oss snakker nå sammen via internett på én eller annen måte – og hver dag er det tilsynelatende noe nytt som kan kobles opp mot internett og bli «smart».
Men ikke alle disse smarte dingsene har egentlig vært så sikre, som utgjør et stort problem jo mer avhengig vi som samfunn og enkeltpersoner blir av funksjonene disse tilbyr. Det var nettopp derfor EU-parlamentet tidligere i år vedtok EU Cyber Resilience Act (CRA). Denne banebrytende lovgivningen vilkommer faktisk til å revolusjonere IoT-sikkerhet i Europa, og sannsynligvis globalt.
CRA pålegger nemlig produsenter, programvareutviklere og distributører et betydelig ansvar for å sikre at IoT-enheter er «sikre fra bunnen av». Dette betyr at sikkerhet ikke lenger kan være noe man tar et skippertak på før enhetene sendes ut i markedet, men at sikker tenkning må være en integrert del av produktets designprosessen helt fra grunnen av. For å få tilgang til det europeiske markedet, må selskaper heretter sertifisere at produktene deres oppfyller strenge sikkerhetsstandarder.
EU mener med andre ord alvor med cybersikkerhet.
Det vil straffe seg å bryte reglene: Selskaper risikerer å miste retten til CE-merking, noe som i praksis vil stenge dem ute fra EU-markedet. I tillegg kan de møte bøter på opptil 15 millioner euro eller 2,5 prosent av selskapets globale omsetning. EU mener med andre ord alvor med cybersikkerhet.
Selv om CRA primært gjelder EU-markedet, regner de fleste med at loven vil få global innvirkning. Siden EU-markedet er såpass stort, og siden det er enden økende bekymringen for IoT-sikkerhet internasjonalt, ventes det at produsenter over hele verden vil tilpasse seg den nye standarden. Dessuten arbeider USA med tilsvarende regelverk, og det snakkes om at EU og USA skal anerkjenne hverandres standarder.
CRA fremstår umiddelbart som en utfordring for produsenter og distributører, ikke minst fordi de bare har 36 måneder på seg før de nye reglene skal håndheves. De må derfor raskt avklare om deres prosesser og produkter omfattes av reglene, og deretter finne ut om det i det hele tatt er mulig å gjøre de oppgraderingene som må til for at de kan fortsette med å selge dem. I mange tilfeller vil dette kreve betydelige investeringer i sikkerhetstiltak og kontinuerlige oppdateringer.
Dessuten handler CRA-implementeringen om mye mer enn bare å lansere sikrere produkter. Loven krever grundig dokumentasjon, mer tilgjengelig informasjon for brukere, og en forpliktelse til langsiktig støtte og sikkerhetsoppdateringer. Selskaper må i praksis også vurdere hele økosystemet rundt deres IoT-enheter, inkludert hvordan riktig kommunikasjonsteknologi og valg av kommunikasjonstilbyder muliggjør slike oppdateringer i hele produktets levetid. Eksempelvis vil et nytt produkt som bare støtter oppkobling på 2G mobilnett ikke oppfylle kravet ettersom disse nettene stenges både her hjemme og i Europa.
Samtidig åpner det for muligheter til å skille seg ut i markedet ved å være tidlig ute med å tilby sikrere produkter. CRA har nemlig noen fordeler som kan få stor betydning både for bedrifter og forbrukere: Bedrifter får anledning til å bygge større tillit og lojalitet hos kundene, og lovene kan også redusere risikoen for at de blir offer for cyberangrep med dertil tilhørende store kostnader og tap av omdømme som resultat. Forbrukere kan på sin side føle seg tryggere og bedre informert om sikkerheten til de tilkoblede enhetene de har rundt seg i sin hverdag.
CRA markerer begynnelsen på en ny æra for IoT-sikkerhet. Ettersom cybertrusler fortsetter å utvikle seg, vil også reguleringene som er designet for å bekjempe dem gjøre det. Det er avgjørende at IoT-industrien klarer å tilpasse seg og se fremover, samtidig som de fortsetter med å forbedre sine sikkerhetstiltak og sin kultur for bevissthet rundt cybersikkerhet.
Det er på høy tid at sikkerhet blir en integrert del av innovasjon – ikke en ettertanke.
Selv om utfordringene er betydelige, er CRA fremst av alt en veldig viktig anledning til å bygge et sikrere og mer pålitelig digitalt økosystem. Ved å omfavne disse endringene kan vi sammen skape en tryggere digital fremtid for alle. Det er på høy tid at sikkerhet blir en integrert del av innovasjon – ikke en ettertanke.