Hur påverkar EU:s Cyber Resilience Act marknaden för inbyggda system?
Hur påverkar EUs Cyber Resilience Act marknaden för inbyggda system?
EUs Cyber Resilience Act (CRA) är en ny lagstiftning som syftar till att stärka säkerheten för digitala produkter och tjänster, vilket inkluderar inbyggda system. För utvecklare och leverantörer innebär denna lagstiftning en rad förändringar och nya krav som måste uppfyllas för att säkerställa att deras produkter är säkra mot cyberhot.
Krav på säkerhet genom hela livscykeln
En av de centrala aspekterna av Cyber Resilience Act är att säkerhetsåtgärder måste integreras genom hela produktens livscykel, från design och utveckling till användning och slutlig avveckling. För utvecklare av inbyggda system innebär detta att de måste ta hänsyn till säkerhetsaspekter redan i designfasen, implementera skyddsåtgärder och kontinuerligt uppdatera produkten för att hantera nya sårbarheter.
-Cybersäkerhetsrisker måste dokumenteras och tillverkare måste rapporterade sårbarheter och incidenter.
-Efter att system sålts måste tillverkaren ansvara för att sårbarheter (CVE:er) hanteras på ett effektivt sätt under supportperioden.
-Säkerhetsuppdateringar måste göras tillgängliga för användarna under produktens livslängd.
Nya krav på dokumentation och spårbarhet
Utöver säkerheten i själva produkten ställer CRA krav på omfattande dokumentation. Utvecklare måste kunna visa hur de har hanterat säkerheten under hela utvecklingsprocessen, och spårbarhet för komponenter och programvara blir avgörande. Detta innebär att leverantörer måste ha detaljerad dokumentation på alla delar som ingår i deras system, inklusive tredjepartskomponenter.
En ny IEC standard kommer tas fram för att i detalj beskriva de tekniska systemkraven men i avvaktan på det kan man redan nu urskilja tydliga krav som måste uppfyllas;
- Secure Boot
- Lagring av säkra nycklar
- Software bill-of-materials (SBOM)
- Implementation av säkra over-the-air eller lokala uppdateringar
Detta innebär att produktägaren måste klara av att sköta ett antal processer för att vidmakthålla dessa funktioner;
- Säker och skyddad lagring av hemlig information som säkra nycklar
- Säker provisionering av produktionsenheter
- Underhåll av en uppdaterad SBOM för hela den installerade basen av enheter.
- Monitorering av CVE:er (common vulnerabilities and exposures) och rapportering av och skydd för identifierad exponering av CVE:er.
Påverkan på marknaden och konsekvenser
För leverantörer av inbyggda system kan CRA innebära ökade kostnader och längre utvecklingstider på grund av de nya kraven. Samtidigt kan det också öppna upp för nya affärsmöjligheter, eftersom produkter som uppfyller dessa krav kan bli mer attraktiva på marknaden, särskilt i EU. Det sätter också en tidspress på alla som utvecklar och säljer system på EU marknaden eftersom kraven kommer bli tvingande 36 månader efter att den nya föreslagna lagstiftningen ratificerats.
Äldre hårdvara och operativsystem kan bli betydligt mer komplicerade att uppdatera för att klara av att möta CRA kraven, medan nyare hårdvara och versioner av operativsystem tenderar att underlätta och snabba upp processen att bli kompatibel med den kommande lagstiftningen.
På Tritech Solutions har vi erfarenhet av projekt med OEM-kunder som redan genomfört projekt för att uppdatera existerande produkter och kan hjälpa till med råd gällande hårdvara, mjukvara och även tillsammans med våra partners vara behjälpliga i genomförande av sådana projekt. Ibland kan det vara en bättre och snabbare lösning att ersätta ett äldre system än att uppdatera hårdvara och mjukvara.
Slutsats
EUs Cyber Resilience Act representerar en betydande förändring för utvecklare och leverantörer av inbyggda system. Genom att ställa stränga krav på säkerhet och dokumentation syftar lagen till att skapa en säkrare digital miljö inom EU. För att fortsätta leverera produkter inom EU måste alla aktörer inom berörda områden anpassa sig till de nya reglerna och säkerställa att deras produkter inte bara är tekniskt avancerade, utan också robusta mot cyberhot.
Kontakta oss för att se hur vi kan hjälpa dig med uppfylla dessa frågor.