CYBERSIKKERHET FOR PRODUKTER

– Nye sårbarheter finnes og rapporteres hele tiden, skriver kronikkforfatteren. Foto: Nemko/iStock

KRONIKK: Fra 1. august 2025 må det for de fleste tilkoblede produkter som selges i Europa dokumenteres at de tilfredsstiller visse krav for cybersikkerhet.

GEIR HØRTHE SJEF CYBERSIKKERHET I NEMKO
Publisert

Dette kravet kommer som en følge av en endring i Radioutstyrsdirektivet. Endringen gjelder hovedsakelig for trådløse produkter som kan kobles til internett, direkte eller indirekte. Heriblant såkalte IoT-produkter.

Det nye kravet var ikke helt uventet. Det har de seneste årene vært en rivende utvikling i antall og typer tilkoblede produkter, både i hjemmet og i samfunnet generelt. Samtidig har vi sett en økning i art og omfang av cyberkriminalitet, ikke minst mot dårlig sikrede IoT-produkter.

 

Omfang

Definisjonen av trådløse produkter som omfattes av kravene, er at de er «tilkoblet til internett, direkte eller indirekte». Dette vil omfatte alle smarte produkter i hjemmet som kan nås over internett, for eksempel husholdningsprodukter, IP-kameraer, dørlåser og så videre, i tillegg til de som er direkte tilkoblet, som for eksempel rutere. Trådløse produkter som utelukkende kommuniserer lokalt, som en enkel blåtannhøytaler eller en fjernkontroll, vil kunne falle utenfor det nye kravet.

 

Cybersikkerhet for en kaffetrakter?

I Nemko får vi gjerne spørsmål om cybersikkerhet for produkter som ikke er direkte eksponert mot internett

I Nemko får vi gjerne spørsmål om cybersikkerhet for produkter som ikke er direkte eksponert mot internett. Det vil for eksempel kunne være en kaffetrakter eller en ringeklokke. Spørsmålet er forståelig. Erfaring viser imidlertid at også disse produktene er utsatt for cyber-trusler. En ruter med en riktig satt opp brannmur, gir beskyttelse, men ikke tilstrekkelig. I tillegg kan inntrengere også koble seg til produkter lokalt, for derved å få tilgang til både produktet og for å kunne bruke det som et brohode for å komme videre inn på det lokale nettet og alt som er koblet til dette.

 

Geir Hørthe, sjef for cybersikkerhet i Nemko. Foto: Nemko

Noen faktiske eksempler

Eksempelet ovenfor om en kaffetrakter var ikke tilfeldig valgt. En connected kaffetrakter satt opp i bankens lobby, kan ikke bare bli brukt til å få tilgang til produktet, men kan faktisk også brukes til å bryte seg inn i selve banken. Walmart og flere andre kjeder stanset tidligere i år salget av ringeklokker med video som enkelt kunne hackes uten noen IT-kunnskap. Et kasino har blitt hacket gjennom en termostat og en butikkjede gjennom airconditionanlegget.

Og husk, det er gjerne den samme smart-TVen du har hjemme, som også henger i styrerommet på jobben!

Hvordan håndtere de kommende kravene?

 

Produsenter

Enkelt fortalt må produsenten dokumentere at produktet oppfyller den europeiske standarden EN 18031, samt oppdatere samsvarserklæringen sin med dette. I praksis viser dette seg ofte ikke å være fullt så enkelt, og da spesielt av tre grunner:

• Mange produkter er laget uten sikkerhet for øyet, og etterlevelse krever store oppdateringer.

• Utvikling av programvare er ofte helt adskilt fra arbeidet med produktsikkerhet

• Nye produkter må testes, re-designes, produseres og settes på markedet, alt innen 1. august.

Dette viser seg å være en utfordring for både små og store bedrifter. Små bedrifter mangler ofte den kompetansen som er nødvendig, mens de store ofte har denne kompetansen, men har kanskje både 10 og 50 produkter som må omarbeides. Da blir tiden knapp.

 

Importører

Varepartier med manglende dokumentasjon og uten tilgang til bistand fra produsenten er risikosport

For importørene er det enklere, ettersom de kun trenger å sjekke at produsentens samsvarserklæring inneholder den påkrevde standarden. Husk imidlertid på at Nkom kan etterspørre underlag for samsvarserklæringen og at importøren bør være trygg på at dette underlaget kan skaffes ved behov.

To ting å være spesielt oppmerksom på for importører:

• Kjøp av varepartier med manglende dokumentasjon og uten tilgang til bistand fra produsenten er risikosport. Årsaken er at cybersikkerhet ikke er mulig å dokumentere fullt ut uten tilgang til utviklerne.

• Hvem er ansvarlig for oppkobling og mobilapp? Om produktet skal selges under eget navn, vil du også være ansvarlig for et helt sett med krav som: Ansvar for oppdatering, GDPR, lagring etc.

 

Distributører og forhandlere

Distributører og forhandlere (fysisk og nett) kan forholde seg til cybersikkerhet på samme måte som for øvrige CE merkingskrav. I praksis vil det holde å påse at samsvarserklæringen er tilgjengelig og korrekt.

 

Ikke bare «nok et krav»

Cybersikkerhet skiller seg vesentlig fra elektrisk sikkerhet, EMC etc. som ikke endrer seg etter produktet er solgt. Nye sårbarheter finnes og rapporteres hele tiden. De må mottas, endringer gjøres og oppdateringer distribueres. Hvor langt fram i tid produsentene svarer for cyber-egenskapene til produktene, herunder cyber sikkerhet, er per i dag ikke definert av andre enn produsentene. Med innføringen av Cyber Resilience Act i slutten av 2027 vil kravet være minimum på 5 år.

Artikkelen er tidligere publisert i papirutgaven av fagbladet Elektronikkbransjen nr. 5/2024, som ble distribuert uke 41. Her kan du lese artikkelen og bla gjennom digitalutgaven av bladet. Du kan lese alle utgaver av bladet digitalt, fra og med nr. 1/1937, på elektronikkbransjen.no/historiskarkiv.

Nemko har en gratistjeneste for å svare på om produkter er omfattet av de nye kravene.

bransjen kronikk cybersikkerhet datasikkerhet nemko nyhet

Mest lest siste 30 dager

Powered by Labrador CMS