Produkt med digitale elementer

Et produkt med digitale elementer er ethvert software- eller hardwareprodukt, der har en direkte eller indirekte dataforbindelse til en enhed eller et netværk. Begrebet er den centrale afgrænsning i Cyber Resilience Act (CRA) og bestemmer, hvilke produkter der skal opfylde EU's nye cybersikkerhedskrav.

Tilbage til ordbog

Definition og afgrænsning

CRA definerer et produkt med digitale elementer som "ethvert software- eller hardwareprodukt og dets fjerndatabehandlingsløsninger, herunder software- og hardwarekomponenter, der bringes i omsætning separat." Det afgørende kriterium er, at produktet har en logisk eller fysisk dataforbindelse til en enhed eller et netværk.

Definitionen er bevidst bred. Den dækker ikke kun det fysiske produkt, men også den software, der kører på det, og eventuelle cloudtjenester, der er nødvendige for produktets funktion. Hvis en smart-termostat kræver en cloudplatform for at fungere, er både hardwaren og cloudkomponenten omfattet.

Det er vigtigt at forstå, at CRA regulerer produkter, ikke tjenester. Rene SaaS-løsninger uden tilhørende hardware- eller softwarekomponent falder uden for CRA's anvendelsesområde. De kan i stedet være reguleret under NIS2.

Eksempler på produkter med digitale elementer

Bredden i definitionen betyder, at et stort antal produkttyper er omfattet:

IoT-enheder: Smart-højttalere, smarte kameraer, wearables, smarte hvidevarer og industrielle sensorer
Netværksudstyr: Routere, switches, firewalls og access points
Standalone software: Operativsystemer, browsere, antivirusprogrammer, password managers og VPN-klienter
Indlejrede systemer: Styresystemer i industrielt udstyr, PLC'er og SCADA-komponenter
Softwarekomponenter: Biblioteker og frameworks, der bringes i omsætning separat

Listen er ikke udtømmende. Hvis dit produkt indeholder software og har en dataforbindelse, er der en stærk formodning for, at det er omfattet af CRA.

Risikoklasser

CRA opdeler produkter i tre risikoklasser, der bestemmer, hvilken overensstemmelsesvurdering der kræves:

Fabrikanten af standardprodukter (default) — størstedelen af alle produkter med digitale elementer — kan selv gennemføre overensstemmelsesvurderingen via intern kontrol.

Klasse I (forhøjet risiko) dækker produkter med højere risikoprofil, f.eks. password managers, VPN-løsninger, netværksstyringssystemer og fysiske netværksgrænseflader. Fabrikanten kan anvende harmoniserede standarder til at demonstrere overensstemmelse eller involvere et bemyndiget organ.

Klasse II (højeste risiko) dækker produkter med kritisk cybersikkerhedsfunktion, f.eks. firewalls, intrusion detection-systemer, hardware-sikkerhedsmoduler, smartcards og industrielle kontrolsystemer. Disse kræver altid tredjepartsvurdering af et bemyndiget organ.

Klassificeringen påvirker ikke de sikkerhedskrav, produktet skal opfylde. Alle produkter skal leve op til de samme væsentlige krav. Forskellen ligger i, hvordan overensstemmelsen verificeres.

Undtagelser

Ikke alle produkter med digitale elementer er omfattet af CRA. Følgende er undtaget:

Medicinsk udstyr reguleret under MDR og IVDR
Motorkøretøjer og deres komponenter reguleret under typegodkendelsesforordningen
Luftfartsprodukter reguleret under EASA
Produkter, der udelukkende er udviklet til nationalt sikkerhedsformål
Open source-software, der udvikles og distribueres uden kommercielt formål

Undtagelsen for open source er vigtig at forstå korrekt. Hvis du som fabrikant integrerer open source-komponenter i dit kommercielle produkt, bærer du ansvaret for, at hele produktet overholder CRA. Det er fabrikanten, ikke open source-fællesskabet, der er ansvarlig.

Krav til produktet

Uanset risikoklasse skal alle produkter med digitale elementer opfylde de væsentlige krav i CRA's bilag I. Det indebærer sikkerhed by design, sårbarhedshåndtering og teknisk dokumentation.

Fabrikanten skal udarbejde en Software Bill of Materials (SBOM), gennemføre en risikovurdering og sikre, at produktet leveres med sikker standardkonfiguration. Kryptering af data, adgangskontrol og minimering af angrebsfladen er blandt de konkrete tekniske krav.

Produktet skal CE-mærkes før det bringes i omsætning. CE-mærket bekræfter, at produktet opfylder alle relevante EU-krav, herunder CRA's cybersikkerhedskrav.

Ofte stillede spørgsmål om produkt med digitale elementer

Hvad er et produkt med digitale elementer?

Et produkt med digitale elementer er ethvert software- eller hardwareprodukt, der har en direkte eller indirekte logisk eller fysisk dataforbindelse til en enhed eller et netværk. Begrebet er defineret i Cyber Resilience Act og dækker alt fra routere og smart-TV til standalone software og IoT-enheder.

Er ren software et produkt med digitale elementer?

Ja. CRA dækker både hardware med indlejret software og standalone software. En mobilapp, et operativsystem eller en firmware-opdatering er alle produkter med digitale elementer i CRA's forstand.

Hvilke produkter er undtaget fra CRA?

Produkter, der allerede er reguleret under sektorspecifik EU-lovgivning, kan være undtaget. Det gælder bl.a. medicinsk udstyr (MDR/IVDR), motorkøretøjer, luftfart og visse produkter til nationalt sikkerhedsformål. Open source-software uden kommercielt formål er også undtaget.

Hvad er de tre risikoklasser for produkter under CRA?

CRA opdeler produkter i tre klasser: standardprodukter (størstedelen), klasse I (forhøjet risiko, f.eks. password managers og VPN-løsninger) og klasse II (højeste risiko, f.eks. firewalls og hardware-sikkerhedsmoduler). Klasse I og II kræver strengere overensstemmelsesvurdering.