Det er lidt trivielt at påpege, hvordan alt er koblet sammen i netværk, der strækker sig ud over vores horisont. Det gælder både for virksomheder som producerer i værdikæder og leverancesystemer, der er sammenflettede til et færdigt slutprodukt. Det gælder også for virksomheder som producerer IoT-devices eller produkter som kan komme på nettet.
EU kommer med Cyber Resilience Act (CRA) et transformativt skridt nærmere mod at beskytte forbrugere og virksomheder, der bruger digitale produkter og software. Denne lovgivning indfører obligatoriske cybersikkerhedskrav for producenter og detailhandlere, hvilket sikrer robust beskyttelse gennem hele produktets livscyklus.
CRA adresserer to kritiske problemer:
1. Utilstrækkelige cybersikkerhedsforanstaltninger: Mange produkter mangler i øjeblikket tilstrækkelige sikkerhedsfunktioner eller modtager ikke nødvendige opdateringer, hvilket udsætter brugerne og virksomhederne for potentielle trusler.
2. Mangel på gennemsigtighed: Forbrugere og virksomheder kæmper ofte med at identificere sikre produkter eller konfigurere dem for at sikre optimal cybersikkerhed.
Nøglepunkter i Cyber Resilience Act inkluderer:
• harmoniserede regler ved markedsføring af produkter eller software med en digital komponent
• et framework af cybersikkerhedskrav, der styrer planlægning, design, udvikling og vedligeholdelse af sådanne produkter, med forpligtelser, der skal opfyldes på alle trin i værdikæden
• en forpligtelse til at yde “duty of care” i hele livscyklussen for produkterne
IAM og Cybersikkerhed: En uadskillelig kombination
Når vi taler om cybersikkerhed, er det vigtigt også at tænke på digitale identiteter (Identity and Access Management/IAM). IAM spiller en afgørende rolle i at sikre, at kun autoriserede brugere har adgang til bestemte systemer og data. Ved at integrere IAM-principper med de krav, der er fastsat i CRA, kan vi yderligere styrke beskyttelsen af digitale identiteter og forhindre uautoriseret adgang gennem vores mange enheder i de store netværk.
IAM sikrer:
• Brugergodkendelse: Kun autoriserede personer og digitale enheder får adgang til systemer og data, hvilket minimerer risikoen for datalækager og cyberangreb.
• Brugerroller og rettigheder: Adgang gives baseret på brugerens (eller enhedens) rolle, hvilket sikrer, at brugere kun har adgang til de data og systemer, de har brug for.
• Kontinuerlig overvågning: Brugerkonti overvåges kontinuerligt for usædvanlig aktivitet, hvilket hjælper med at opdage og reagere på potentielle sikkerhedsbrud.
Virksomheder, der efterlever de harmoniserede regler i CRA og kombinerer disse med effektive IAM-strategier yder en væsentlig bedre beskyttelse af både egen forretning og forbrugerne mod cybersikkerhedstrusler rettet mod digitale produkter og digitale identiteter.
CRA er annonceret som en del af 2020 EU Cybersecurity Strategy og er dermed tænkt som supplement til NIS2, GDPR, DORA, AI-ACT og de andre EU-initiativer – og det er ikke det sidste initiativ Lovgivningen forventes at træde i kraft i efteråret 2024, og producenter vil have op til 36 måneder til at overholde de nye regler (dog vil rapporteringsforpligtelser gælde 21 måneder efter ikrafttrædelsen.)
Det bliver også en faktor for forbrugere som også allerede i dag kombinerer IoT fra forskellige leverandører og deler data. Det burde blive mere sikkert når CRA træder i kraft.