Informationsblad om Cyber Resilience Act

I höstas inledde Europaparlamentet, EU-rådet och Europeiska kommissionen förhandlingen av den så kallade cyberresiliens-lagen (Cyber Resilience Act, CRA). Lagen är tänkt att, med vissa undantag, gälla alla produkter som direkt eller indirekt är anslutna till en annan enhet eller ett annat nätverk.

Bakgrunden är att dagens EU-regelverk för produkter inte är utformade för att hantera de utmaningar som är specifikt kopplade till cybersäkerhet för produkter med digitala inslag. Regelverket täcker dessutom inte krav under produkternas hela livscykel.

År 2020 tillkännagavs det därför i EU:s cybersäkerhetsstrategi för det digitala decenniet att nya regler om gemensamma europeiska cybersäkerhetsstandarder för uppkopplade produkter och tillhörande tjänster på den inre marknaden skulle införas.

Syftet med det aktuella förslaget är att skapa förutsättningar för utveckling av säkra produkter med digitala inslag genom att försäkra att hård- och mjukvara placeras på marknaden med färre sårbarheter och att tillverkare tar större ansvar för produkters cybersäkerhet genom deras livscykel. Förslaget syftar även till att konsumenter ska få tillräcklig information om cybersäkerheten för de produkter med digitala inslag som de köper och använder.

Enligt järnvägsindustrins europeiska branschorganisation, Unife, kommer framför allt förslaget om ”cybersecurity by design” att medföra betydande kostnadsökningar för järnvägsbranschen.

Swedtrain har tagit fram ett informationsblad inkl. Unifes kommentarer om möjlig påverkan på järnvägsindustrin. Medlemmar i Swedtrain kan beställa infobladet via kansliet@swedtrain.org.