EU:s cybersäkerhetslag ställer nya krav på industriell fjärråtkomst

EU:s nya cybersäkerhetslag (Cyber Resilience Act, CRA), som antogs i mars 2024, inför nya och skärpta cybersäkerhetskrav för uppkopplade industriprodukter och lösningar. Lagen syftar till att säkerställa att alla digitala produkter är säkra under hela sin livscykel, från design till avveckling, och att tillverkare tar ansvar för att uppfylla standarderna.

Centrala mål med CRA är att förbättra säkerheten, öka tillverkarnas ansvarsskyldighet, säkerställa snabb respons på nya hot, främja transparens i delning av säkerhetsinformation samt stärka konkurrenskraften för EU:s digitala produkter genom tydliga regler och certifieringar. Särskilt för industrisektorn, som i hög grad förlitar sig på fjärråtkomst för övervakning och hantering av processer, medför lagen betydande förändringar.

Lagen förväntas skydda kritisk infrastruktur, såsom system i fabriker, energinät och vattenanläggningar, mot cyberattacker och säkerställa deras operativa kontinuitet. Dessutom kräver lagen rapportering av säkerhetsincidenter till myndigheter, vilket möjliggör informationsdelning och proaktiv beredskap hos liknande företag och sektorer. Tillverkare åläggs också att tillhandahålla regelbundna uppdateringar och förbättra informationsutbytet om cybersäkerhetshot.

Industriföretag måste nu ägna särskild uppmärksamhet åt att säkra sina fjärråtkomstsystem. Detta inkluderar implementering av starka autentiseringsmetoder och åtkomstkontroller, såsom användning av multifaktorautentisering. Krypterade fjärranslutningar och regelbunden säkerhetsutbildning för personal är också avgörande för att minimera risker. Brott mot CRA medför sanktioner, vilket gör efterlevnad av lagstadgade krav nödvändigt för företag som verkar på den europeiska marknaden.