![Nya cybersäkerhetsregler -och nu börjar det bli bråttom [krönika av Ulf Seijmer]](https://mnd-assets.mynewsdesk.com/image/upload/ar_16:9,c_fill,dpr_auto,f_auto,g_xy_center,q_auto:good,w_746,x_640,y_360/q7eygyh1u4j5n2z82zv923)
Blogginlägg -
Nya cybersäkerhetsregler -och nu börjar det bli bråttom [krönika av Ulf Seijmer]
Man behöver inte backa bandet långt bak i nyhetsflödet för att förstå att vi behöver fokusera på säkerhet. Och nu pratar jag inte om att svetsa fast ankaret i fören på alla rostiga gamla båtar som skaver runt i Östersjön med tveksam ägarbild, eller att sätta upp “ankring förbjuden” skyltar på flera olika språk mitt i Östersjön. Nej nu pratar jag om mer vardagliga saker som elektronik och hårdvara vilket utgör en allt större del av vårt vardagliga liv.
Nu snäpps säkerheten upp. En ny standard skall införas för att skärpa kraven på Cybersäkerhet. Från augusti 2025 (skulle varit 2024 men är 2025 just nu) står teknikföretag inför en ny verklighet. EU:s uppdaterade Radio Equipment Directive (RED) kommer med skärpta regler för cybersäkerhet – regler som påverkar allt från smarta klockor till nätverksutrustning och IoT-sensorer. Det kluriga är att utan denna märkning, då fyller inte din produkt CE-märkningen. Och är du inte redo? Då kan konsekvenserna bli att du måste säljstoppa produkten till du kan bevisa att den gör det! Som alltid med nya regleringar gömmer sig slamkryparna i de små detaljerna.
Fagra löften och tuffa krav
Cybersäkerhetskraven är tydliga. Från augusti 2025 måste radioutrustning som hanterar persondata eller är uppkopplad till nätverk säkerställa skydd för användarens persondata och integritet. Man vill förhindra att utrustningen blir ett hot mot nätverk eller användare helt enkelt. Dessutom måste man ha robusta mekanismer mot cybersäkerhetshot på plats.
För de som inte gjort sin produktresa med cybersäkerhet i åtanke så kan det handla om att man som tillverkare skall jobba med att täppa till säkerhetshål och redan befintliga sårbarheter, men långsiktigt handlar det om att bygga lösningar med ”Security by Design”, där säkerhet är med från ritbord till lansering.
Det har varit en stor osäkerhet runt vilken standard man skall certifiera mot för att fylla kraven. EU kommissionen har dragit detta i absurd långbänk. Osäkerheten runt vad som gäller kan liknas vid att bygga ett hus men inte veta exakt vilka byggnormer som kommer att gälla. Ska du vänta och riskera förseningar, eller chansa och riskera att bygga om allt? Fram till nyligen fanns det mest information på internet och det pekade mot en annan standard än den som klubbades. Så det är som att bygga ett hus baserat på Youtube videos, där man lyckats fastna i fel filterbubbla och få rekommendationer som är helt fel. Det är den sits som många utvecklare befunnit sig i till nu.
För att göra livet lättare för alla som jobbar med hårdvara har man gett lång tid till anpassning av produkterna, men man har inte varit tydlig med vad man skulle anpassa mot. En lagom tidsram? Mindre än sex månader. Inom denna skall samtliga produkter som faller inom kategorin testas och verifieras mot standarden EN 18031–1:2024 enligt besked från PTS. Syftet är knivskarpt men tidsramen känns lika realistisk som att vi bygger radhus på månen inom fem år (baserat på guider från YouTube). Här introducerar jag alltså en riktig huvudvärk. Tiden. Skall man göra detta på riktigt, om man inte själv vet, så bör man ju ta in ett ackrediterat labb.
Vad står på spel?
Konsekvenserna av att inte vara redo kan bli kostsamma. Utan korrekt CE-märkning får du inte sälja dina produkter inom EU. Bristande efterlevnad kan leda till böter och juridiska risker, och en osäker produkt är ingen bra produkt – kunderna glömmer inte bort ett intrång tyvärr. Om du arbetar med kritisk information har du säkert redan koll på detta. Många av företagen i CCS har ett försprång. Vi har redan haft cybersäkerhet på agendan ett tag.
Så tar du kontroll – redan nu
Vänta inte. Börja med att analysera dina produkter och identifiera vilka som omfattas av RED och hur säkra de är idag. Prata med tillverkaren eller gör egna planer. Att anlita testhus och certifieringsorgan kan hjälpa dig att verifiera dina produkter och förstå kraven, om det ens finns någon som har tid för din produkt. Dessutom bör du planera för det oväntade genom riskanalyser och förebyggande arbete.
Men jag vill också belysa att Cybersäkerhetskraven handlar inte bara om efterlevnad. De handlar inte om att visa upp ett intyg i augusti, utan en kontinuerlig och mödosam resa att hålla bovarna borta från burken du säljer till din kund. Och här handlar det tyvärr inte om att svetsa fast några ankare i fören på främmande fartyg, det här är minerat vatten med gott om grund, störningar på GPSen och utan ett adekvat sjökort.
Denna krönika publicerades först i Critical Communication Sweden nummer 1 · 2025
