Regulering av cybersikkerhetskrav i produkter og tilleggstjenester

Status

Europakommisjonen har gjennomført høring av reguleringsinitiativet. Det forventes at Kommisjonen legger frem forslag til regulering i tredje kvartal 2022.

Sammendrag av innhold

Europakommisjonen har satt i gang et utredningsarbeid for å vurdere mulig regulering av horisontale cybersikkershetskrav for digitale produkter og tilleggstjenester. Reguleringen er ment å komplettere de nye kravene til cybersikkerhet i forordning 2022/30/EU (Delegert kommisjonsforordning om krav til datasikkerhet og personvern i internett-tilkoblet radioutstyr) som er gitt med hjemmel i radioutstyrsdirektivet (2014/53/EU). Reguleringen skal også understøtte det grunnleggende cybersikkerhetsrammeverket i EU, Directive on the Security of Network and Information Systems (2016/1148/EU) som er under revisjon, og Cybersecurity Act (2019/881/EU). Reguleringen skal dekke digitale produkter (trådløse og kablet) og programvare, og vil dekke hele livssyklusen til produktet. Kommisjonen har sendt ut en høring for videre vurdering av regulering https://ec.europa.eu/info/law/better-regulation/have-your-say/initiatives/13410-Cyber-resilience-act-new-cybersecurity-rules-for-digital-products-and-ancillary-services_en

Med den teknologiske utviklingen vil en stadig større andel produkter være sammenkoblet og tilkoblet internett. En cybersikkerhetshendelse i ett produkt vil kunne påvirke en hel organisasjon eller en hel forsyningskjede. Dette kan føre til alvorlige forstyrrelser av økonomiske og sosiale aktiviteter eller til og med bli livstruende. Mangelen på tilstrekkelig sikkerhet i digitale produkter og tilleggstjenester er en av hovedveiene for vellykkede cyberangrep.  

Det gjeldende EU-rammeverket for digitale produkter består av flere lovverk, inkludert EU-lovgivning om spesifikke produkter som dekker sikkerhetsrelaterte aspekter og generell lovgivning om produktansvar. Gjeldende lovgivning dekker imidlertid bare visse aspekter knyttet til cybersikkerheten til konkrete digitale produkter og, der det er aktuelt, innebygd programvare i disse produktene. EUs regelverk for produkter (f.eks. det generelle produktsikkerhetsdirektivet og maskindirektivet, som begge er under revisjon) legger ikke opp til å regulere spesifikke cybersikkerhetskrav eller å dekke hele livssyklusen til et produkt. Det eksisterende rammeverket dekker heller ikke alle typer digitale produkter. Videre er programvareprodukter som ikke er innybygd i produktet heller ikke dekket av gjeldende regulering. Krav til hele livssyklusen er avgjørende når det gjelder digitale produkter og tilleggstjenester, da programvare må oppdateres regelmessig for å ivareta tilstrekkelig sikkerhet. Det vises i høringen til at sårbarheter i programvareprodukter i økende grad fungerer som en kanal for cybersikkerhetsangrep og forårsaker betydelige samfunnsmessige og økonomiske kostnader.

Reguleringen vil ta sikte på å forbedre det indre markedets funksjon ved å effektivisere og supplere eksisterende regler og forhindre ytterligere fragmentering av cybersikkerhetskrav for digitale produkter og tilleggstjenester i det indre marked, både nasjonalt og på EU-nivå. Målet er også like konkurransevilkår for leverandører av digitale produkter og tilleggstjenester. En regulering som skissert skal videre bidra til å oppnå tillit blant brukerne, og gjøre digitale produkter og tilleggstjenester som plasseres på markedet i EU mer attraktive. 

Ved siden av viktige krav til cybersikkerhet vil reguleringen legge forpliktelser på økonomiske operatører, og innføre bestemmelser om samsvarsvurdering, om varsling av samsvarsvurderingsorganer og markedsovervåking.

Høringen viser til at reguleringen vil sette grunnleggende cybersikkerhetskrav til produkter. Nærmere spesifikasjoner for å oppnå samsvar med kravene vil gis gjennom harmoniserte standarder som er spesifikke for de forskjellige produktkategoriene. Globalt kan utvikling av slike cybersikkerhetsstandarder bidra til å øke EUs lederskap innenfor standardisering ved å utforme standarder for digitale produkter og tilleggstjenester som kan fungere som globale referanser.

Merknader
Rettslige konsekvenser

Ved en eventuell fremtidig gjennomføring i norsk regelverk av et mulig nytt EU-regelverk for cybermotstandsdyktighet, må det vurderes behov både for lovendringer og behov for forskrift som kan sette de nærmere spesifikke kravene til aktuelle produkter. 

Økonomiske og administrative konsekvenser

I høringen fra Kommisjonen vises det til at initiativet forventes å ha positive økonomiske konsekvenser. Å innføre horisontale cybersikkerhetskrav for digitale produkter og tilleggstjenester vil forbedre cybersikkerheten for forbrukere og brukere i hele forsyningskjeden og øke utvalget av varer og tjenester med høyere sikkerhet. Dette vil kunne styrke tilliten til den digitale økonomien, bidra til økonomisk vekst og investeringer. Videre vil forbedring av cybersikkerheten til produkter og tjenester bidra til å redusere tap av inntekter og på grunn av cyberangrep og redusere utgifter for å forhindre angrep. En studie utført av Kommisjonen i 2021 for å vurdere behovet for horisontale cybersikkerhetskrav for digitale produkter indikerte at fordelene med regulatorisk intervensjon ville oppveie de potensielle kostnadene. Å innføre ett sett med krav til samme type produkt på EU-nivå i stedet for ulike potensielt avvikende nasjonale regler, vil redusere regulatoriske kostnader og lage like spilleregler for aktørene i markedet. Dette forventes å fremme konkurranse og innovasjon og stimulere den digitale overgangen. Initiativet forventes også å ha positive sosiale konsekvenser ved at nettkriminalitet reduseres. Det vil forbedre beskyttelsen av grunnleggende rettigheter (spesielt personopplysninger) ved å bidra til å redusere antall og alvorlighetsgraden av hendelser, inkludert datainnbrudd. Til slutt vises det i høringen til at styrking av cybersikkerheten til digitale produkter og tilleggstjenester kan ha positive miljøpåvirkninger ved å bidra til bredere bruk av siste generasjons digitale infrastruktur og tjenester, som er mer bærekraftige. Initiativet kan også føre til utskifting av eldre infrastrukturer, som ikke bare er mindre sikre, men også mindre energieffektive og miljøvennlige.

For produsenter og eventuelt andre markedsaktører som omsetter digitalt utstyr vil regulering av krav til cybersikkerhet innebære økte kostnader i forbindelse med blandt annet utvikling og produksjon. 

For det offentlige vil en gjennomføring av ny regulering innebære kostnader til regelverksendringer og ressurser til oppfølging med tilsyn med at aktørene overholder kravene. 

Sakkyndige instansers merknader

Vurdering

Det vurderes at en regulering som vil sette horisontale krav til digitale produkter og tilleggstjenester vil bidra til økt cybersikkerhet i Norge som i resten av EU/EØS og at heller ikke Norge har nasjonale regler som ivaretar de utfordringene som er skissert knyttet til cybersikkerhet. En regulering på EU/EØS nivå vurderes som hensiktsmessig. Det presiseres at vurderingen er foreløpig da Kommisjonen ikke har lagt frem forslag til regulering ennå.  

Andre opplysninger

Nøkkelinformasjon

Type sak	Regelverk i utvikling/komiteer/arbeidsgrupper under kommisjonen
KOM-nr.:
Basis rettsaktnr.:

Norsk regelverk

Høringsstart:
Høringsfrist:
Frist for gjennomføring: