Fabrikantforpligtelser (CRA)

Fabrikantforpligtelser under Cyber Resilience Act (CRA) er de krav, som EU stiller til producenter af produkter med digitale elementer. Fabrikanten bærer det primære ansvar for, at produktet er sikkert fra design til end-of-life, og skal dokumentere compliance gennem hele produktets livscyklus.

Tilbage til ordbog

Hvad er en fabrikant under CRA?

CRA definerer en fabrikant som enhver fysisk eller juridisk person, der udvikler eller fremstiller et produkt med digitale elementer og bringer det i omsætning under eget navn eller varemærke. Det gælder uanset om produktet er hardware med indlejret software, en standalone softwareapplikation eller en cloudtjeneste, der leveres sammen med et produkt.

Definitionen rækker bredt. Hvis du modificerer et eksisterende produkt i en grad, der påvirker dets overensstemmelse med sikkerhedskravene, betragtes du også som fabrikant. Det samme gælder, hvis du markedsfører et produkt under dit eget brand, selvom en anden har produceret det.

Fabrikanten bærer det tungeste ansvar i CRA's forsyningskæde. Importører og distributører har også forpligtelser, men det er fabrikanten, der skal sikre, at produktet opfylder alle væsentlige krav fra dag ét.

Krav til produktets sikkerhed

CRA's bilag I definerer de væsentlige sikkerhedskrav, som fabrikanten skal opfylde. Produktet skal designes, udvikles og produceres med sikkerhed by design som grundprincip. Det betyder konkret:

Produktet skal leveres med en sikker standardkonfiguration og uden kendte, udnyttelige sårbarheder
Adgang skal beskyttes med passende adgangskontrol, og standardadgangskoder skal undgås
Data i transit og lagret data skal beskyttes med kryptering eller tilsvarende mekanismer
Angrebsfladen skal minimeres, og produktet skal designes til at begrænse konsekvensen af et succesfuldt angreb
Produktet skal kunne generere sikkerhedsrelevante logdata

Kravene er risikobaserede. Produkter i de højere risikoklasser (klasse I og klasse II) skal gennemgå strengere overensstemmelsesvurderinger, ofte med inddragelse af et bemyndiget organ.

Sårbarhedshåndtering og opdateringer

Fabrikantens ansvar slutter ikke ved salget. CRA kræver, at du etablerer en robust proces til sårbarhedshåndtering i hele produktets supportperiode:

Du skal identificere og dokumentere sårbarheder, herunder i tredjepartskomponenter
Sikkerhedsopdateringer skal leveres gratis og uden unødig forsinkelse
Aktivt udnyttede sårbarheder skal rapporteres til ENISA inden 24 timer
Du skal have en koordineret sårbarhedsafsløringspolitik, der gør det muligt for sikkerhedsforskere at indberette fund

Supportperioden skal som minimum være fem år fra markedsføringen. Du skal udarbejde en Software Bill of Materials (SBOM) for at holde styr på alle komponenter og deres kendte sårbarheder.

For virksomheder, der allerede har etableret hændelsesrespons-processer, vil mange af kravene være genkendelige. CRA formaliserer praksisser, som modne organisationer allerede følger.

Dokumentation og CE-mærkning

Før du kan bringe et produkt i omsætning, skal du gennemføre en overensstemmelsesvurdering. Afhængigt af produktets risikoklasse kan det ske via intern kontrol eller med inddragelse af et bemyndiget organ.

Du skal udarbejde og vedligeholde teknisk dokumentation, der som minimum indeholder:

En beskrivelse af produktet og dets tilsigtede formål
Dokumentation for design og udvikling, herunder sikkerhedsarkitektur
Risikovurdering og de foranstaltninger, der er truffet for at opfylde kravene
SBOM og oversigt over anvendte standarder
EU-overensstemmelseserklæring

Dokumentationen skal opbevares i mindst ti år efter produktets markedsføring. Når alt er på plads, skal produktet CE-mærkes. CE-mærket er dit synlige bevis over for myndigheder og kunder på, at produktet overholder CRA.

Sanktioner ved manglende overholdelse

CRA giver nationale markedsovervågningsmyndigheder vidtrækkende beføjelser. De kan kræve, at du retter mangler, trækker produktet tilbage fra markedet eller tilbagekalder det fra slutbrugere.

Bødeniveauerne er betydelige:

Op til 15 millioner euro eller 2,5 % af global årsomsætning for overtrædelse af de væsentlige sikkerhedskrav
Op til 10 millioner euro eller 2 % af omsætningen for andre overtrædelser
Op til 5 millioner euro eller 1 % af omsætningen for afgivelse af urigtige oplysninger

Den reelle risiko er ikke kun bøderne. Et påbud om at trække et produkt tilbage kan have langt større økonomisk og omdømmemæssig konsekvens.

Ofte stillede spørgsmål om fabrikantforpligtelser (cra)

Hvilke forpligtelser har fabrikanter under CRA?

Fabrikanter skal sikre, at produkter med digitale elementer opfylder de væsentlige sikkerhedskrav i CRA's bilag I. Det omfatter sikkerhed by design, sårbarhedshåndtering, udarbejdelse af teknisk dokumentation, CE-mærkning og levering af sikkerhedsopdateringer i hele supportperioden.

Hvor længe skal en fabrikant levere sikkerhedsopdateringer?

Fabrikanten skal levere gratis sikkerhedsopdateringer i hele produktets forventede levetid eller i mindst fem år fra markedsføringen, alt efter hvad der er kortest. Opdateringerne skal være tilgængelige i mindst ti år efter den sidste levering af produktet.

Hvad sker der, hvis en fabrikant ikke overholder CRA?

Overtrædelse af de væsentlige sikkerhedskrav kan medføre bøder op til 15 millioner euro eller 2,5 % af den globale årsomsætning. Derudover kan markedsovervågningsmyndigheder kræve produktet trukket tilbage fra markedet.

Skal fabrikanter udarbejde en SBOM?

Ja. CRA kræver, at fabrikanter udarbejder en Software Bill of Materials (SBOM), der identificerer og dokumenterer alle komponenter i produktet, herunder tredjepartsbiblioteker og open source-afhængigheder.

Gælder fabrikantforpligtelserne også for open source-software?

Open source-software, der udvikles uden kommercielt formål, er undtaget fra CRA. Men hvis open source-software integreres i et kommercielt produkt, bærer fabrikanten af det pågældende produkt ansvaret for, at hele produktet opfylder kravene.