61 / 73 AMNYTT NR . 6 2023 elektrisk utstyr , maskiner og kjøretøy . NIS 2-direktivet trådte i kraft 16 . januar 2023 , og må overføres til nasjonal lovgivning av EU-stater innen 18 . oktober 2024 . Det er imidlertid vanskelig å oppfylle disse kravene dersom produktene som brukes , ikke er utviklet i henhold til kriterier ved security-by-design . For å møte denne utfordringen effektivt har EU definert Cyber Resilience Act ( CRA ).
Utvikling av security-by-design-produkter ihenhold til Cyber Resilience Act I henhold til CRA må produsenter utvikle produkter med security-by-design . Med mindre de er i samsvar med CRA-bestemmelsene , vil produkter som underligger CRA-kravet , i fremtiden ikke motta et CE-merke . Tilsvarende minimumskrav er spesifisert for gjennomføring av sikkerhetstiltakene . Avhengig av produktklasse må disse påviselig inngå som en del
” Angriperne og deres metoder stadig mer profesjonelle ”
av en samsvarstest fra notifiserte organer , for eksempel TÜV , eller av produsentene selv , ved bruk av en harmonisert standard . De grunnleggende kravene til CRA må tas hensyn til hva design , utvikling og produksjon av et produkt angår , det vil si basert på en sikker utviklingsprosess . Slike krav inkluderer tilgangsbeskyttelse , beskyttelse av konfidensialitet , integritet og tilgjengelighet samt sikker leveringstilstand . En ekstra komponent i CRA er sårbarhetsstyring og forskrifter som regulerer hvor lenge produsenter må levere sikkerhetsoppdateringer for produktene sine . Tekstutkastet til Cyber Resilience Act ble publisert i september 2022 og er for tiden i en trilogstemmeprosess . Som en EU-lov trenger den ikke å innføres i nasjonal lovgivning og forventes derfor å bli gyldig i hele EU i 2024 . IEC 62443-gruppen av standarder dekker både den sikre utviklingsprosessen og de tekniske kravene til individuelle