Source: OJ L 2024/2847, 20.11.2024Current language: SV
- Cyber resilience for products with digital elements
Basic legislative acts
- CRA regulation
Bilaga I VÄSENTLIGA CYBERSÄKERHETSKRAV
Del I Cybersäkerhetskrav avseende egenskaper hos produkter med digitala element
Produkter med digitala element ska utformas, utvecklas och produceras på ett sådant sätt att de säkerställer en lämplig cybersäkerhetsnivå baserat på riskerna.
På grundval av den bedömning av cybersäkerhetsrisker som avses i artikel 13.2, och i tillämpliga fall, ska produkter med digitala element
tillhandahållas på marknaden utan kända sårbarheter som kan utnyttjas,
tillhandahållas på marknaden med en säker standardkonfiguration, såvida inte tillverkaren och företagsanvändaren kommit överens om något annat med avseende på en skräddarsydd produkt med digitala element, inbegripet möjlighet att återställa produkten till dess ursprungliga skick,
säkerställa att sårbarheter kan åtgärdas genom säkerhetsuppdateringar, inbegripet, i tillämpliga fall, genom automatiska säkerhetsuppdateringar som installeras inom en lämplig tidsram som möjliggörs som standardinställning, med en tydlig och lättanvänd undantagsmekanism, genom att meddela användarna tillgängliga uppdateringar, och möjligheten att tillfälligt skjuta upp dem,
säkerställa skydd mot obehörig åtkomst genom lämpliga kontrollmekanismer, inbegripet men inte begränsat till system för autentisering, identitet eller åtkomsthantering, samt rapportera om eventuell obehörig åtkomst,
skydda konfidentialiteten för lagrade, överförda eller på annat sätt behandlade uppgifter, personuppgifter eller andra uppgifter, t.ex. genom kryptering av relevanta data i vila eller i transit med hjälp av de senaste metoderna, och med användning av andra tekniska lösningar,
skydda riktigheten hos lagrade, överförda eller på annat sätt behandlade uppgifter, personuppgifter eller andra uppgifter, kommandon, program och konfigurationer mot manipulation eller ändringar som inte godkänts av användaren, samt rapportera om datadistorsion,
endast behandla personuppgifter eller andra uppgifter som är adekvata, relevanta och begränsade till vad som är nödvändigt i förhållande till det avsedda syftet med produkten med digitala element (”uppgiftsminimering”),
skydda tillgången till väsentliga och grundläggande funktioner, även efter en incident, inbegripet genom resiliens- och begränsningsåtgärder mot överbelastningsattacker,
minimera de negativa effekterna av produkterna i sig eller av tillhörande tjänster på tillgången till tjänster som tillhandahålls av andra enheter eller nätverk,
utformas, utvecklas och produceras för att begränsa attackytor, inbegripet externa gränssnitt,
utformas, utvecklas och produceras för att minska effekterna av en incident med hjälp av lämpliga mekanismer och tekniker för att begränsa utnyttjandet,
tillhandahålla säkerhetsrelaterad information genom att registrera och övervaka relevant intern verksamhet, inbegripet tillgång till eller ändring av data, tjänster eller funktioner, med en undantagsmekanism för användaren,
ge användarna möjlighet att på ett säkert och enkelt sätt permanent ta bort alla data och inställningar och, om sådana data kan överföras till andra produkter eller system, säkerställa att detta görs på ett säkert sätt.
Del II Krav på sårbarhetshantering
Tillverkare av produkter med digitala element ska
identifiera och dokumentera sårbarheter och komponenter i produkter med digitala element, bland annat genom att upprätta en programvaruförteckning för material i ett allmänt använt och maskinläsbart format som åtminstone täcker produktens viktigaste (top-level) beroenden,
när det gäller riskerna för produkter med digitala element, utan dröjsmål åtgärda och avhjälpa sårbarheter, bland annat genom att tillhandahålla säkerhetsuppdateringar; om det är tekniskt möjligt ska nya säkerhetsuppdateringar tillhandahållas separat från funktionsuppdateringar,
tillämpa effektiva och regelbundna provningar och granskningar av säkerheten hos produkten med digitala element,
när en uppdatering av säkerheten har gjorts tillgänglig, dela och offentligt redovisa information om åtgärdade sårbarheter, inbegripet en beskrivning av sårbarheterna, information som gör det möjligt för användarna att identifiera den produkt med digitala element som påverkas, sårbarheternas konsekvenser, deras allvarlighetsgrad och tydlig och tillgänglig information som underlättar för användarna att avhjälpa sårbarheterna; i vederbörligen motiverade fall, om tillverkarna anser att säkerhetsriskerna med offentliggörande är större än säkerhetsfördelarna, får de skjuta upp offentliggörandet av information om en åtgärdad sårbarhet till dess att användarna har fått möjlighet att använda den relevanta programfixen,
införa och verkställa en policy för samordnad delgivning av information om sårbarheter,
vidta åtgärder för att underlätta utbyte av information om potentiella sårbarheter i sin produkt med digitala element och i tredjepartskomponenter som ingår i produkten, inbegripet genom att tillhandahålla en kontaktadress för rapportering av de sårbarheter som upptäckts i produkten med digitala element,
tillhandahålla mekanismer för säker distribution av uppdateringar av produkter med digitala element för att säkerställa att sårbarheter åtgärdas eller begränsas i tid och, i tillämpliga fall för säkerhetsuppdateringar, på ett automatiskt sätt,
säkerställa att säkerhetsuppdateringar, i de fall då de finns tillgängliga för att hantera identifierade säkerhetsproblem, sprids utan dröjsmål och, såvida inte tillverkaren och företagsanvändaren kommit överens om något annat med avseende på en skräddarsydd produkt med digitala element, kostnadsfritt, åtföljs av rådgivande meddelanden som ger användarna relevant information, inbegripet om eventuella åtgärder som ska vidtas.
Relevant recitals
Skäl 40 Support period and security updates
Med tanke på programvaruutvecklingens upprepande karaktär bör tillverkare som har släppt ut efterföljande versioner av en programvaruprodukt på marknaden till följd av en senare betydande ändring av den produkten kunna tillhandahålla säkerhetsuppdateringar under stödperioden endast för den version av programvaruprodukten som de senast har släppt ut på marknaden. De bör endast kunna göra detta om användarna av de relevanta tidigare produktversionerna har kostnadsfri tillgång till den produktversion som senast släpptes ut på marknaden och inte ådrar sig ytterligare kostnader för att anpassa den maskin- eller programvarumiljö där de använder produkten. Detta kan till exempel vara fallet när en uppgradering av ett stationärt operativsystem inte kräver ny hårdvara, såsom en snabbare centralenhet eller mer minne. Tillverkaren bör dock under stödperioden fortsätta att uppfylla andra krav på hantering av sårbarheter, såsom att ha en policy för samordnad delgivning av information om sårbarheter eller åtgärder för att underlätta utbytet av information om potentiella sårbarheter för alla efterföljande väsentligt ändrade versioner av den programvara som släpps ut på marknaden. Tillverkarna bör kunna tillhandahålla mindre säkerhets- eller funktionsuppdateringar som inte utgör en väsentlig ändring endast av den senaste versionen eller underversionen av en programvaruprodukt som inte har ändrats väsentligt. Om en hårdvaruprodukt, till exempel en smarttelefon, inte är kompatibel med den senaste versionen av det operativsystem som den ursprungligen levererades med, bör tillverkaren samtidigt fortsätta att tillhandahålla säkerhetsuppdateringar åtminstone för den senaste kompatibla versionen av operativsystemet under stödperioden.
Skäl 53 Overlap with the machinery regulation
Tillverkare av produkter som omfattas av Europaparlamentets och rådets förordning (EU) 2023/1230(24)Europaparlamentets och rådets förordning (EU) 2023/1230 av den 14 juni 2023 om maskiner och om upphävande av Europaparlamentets och rådets direktiv 2006/42/EG och rådets direktiv 73/361/EEG (EUT L 165, 29.6.2023, s. 1). och som också är produkter med digitala element enligt definitionen i den här förordningen bör uppfylla både de väsentliga cybersäkerhetskrav som fastställs i den här förordningen och de grundläggande hälso- och säkerhetskraven i förordning (EU) 2023/1230. De väsentliga cybersäkerhetskrav som anges i den här förordningen och vissa väsentliga krav som anges i förordning (EU) 2023/1230 skulle kunna hantera liknande cybersäkerhetsrisker. Överensstämmelse med de väsentliga cybersäkerhetskrav som anges i den här förordningen skulle därför kunna underlätta efterlevnaden av de grundläggande krav som även omfattar vissa cybersäkerhetsrisker enligt förordning (EU) 2023/1230, särskilt de som rör skydd mot korruption samt säkerhet och tillförlitlighet hos de kontrollsystem som anges i avsnitten 1.1.9 och 1.2.1 i bilaga III till den förordningen. Sådana synergier måste påvisas av tillverkaren, till exempel genom att i förekommande fall tillämpa harmoniserade standarder eller andra tekniska specifikationer som omfattar relevanta väsentliga cybersäkerhetskrav efter en riskbedömning som omfattar dessa cybersäkerhetsrisker. Tillverkaren bör också följa de tillämpliga förfaranden för bedömning av överensstämmelse som anges i den här förordningen och i förordning (EU) 2023/1230. Kommissionen och de europeiska standardiseringsorganisationerna bör i det förberedande arbetet för genomförandet av den här förordningen och förordning (EU) 2023/1230 och de därmed sammanhängande standardiseringsprocesserna främja enhetlighet i hur cybersäkerhetsriskerna ska bedömas och hur dessa risker ska omfattas av harmoniserade standarder med avseende på de relevanta väsentliga kraven. Kommissionen och de europeiska standardiseringsorganisationerna bör särskilt beakta den här förordningen vid förberedelserna och utarbetandet av harmoniserade standarder för att underlätta genomförandet av förordning (EU) 2023/1230, särskilt när det gäller cybersäkerhetsaspekter i samband med skydd mot förvanskning samt säkerhet och tillförlitlighet i kontrollsystemen som anges i avsnitten 1.1.9 och 1.2.1 i bilaga III till den förordningen. Kommissionen bör tillhandahålla vägledning för att stödja tillverkare som omfattas av den här förordningen och som också omfattas av förordning (EU) 2023/1230, särskilt för att underlätta påvisandet av överensstämmelse med relevanta grundläggande krav som fastställs i den här förordningen och förordning (EU) 2023/1230.
Skäl 54 Assessment of cybersecurity risks
För att säkerställa att produkter med digitala element är säkra både när de släpps ut på marknaden och under den tid som produkten med digitala element förväntas vara i bruk, är det nödvändigt att fastställa väsentliga cybersäkerhetskrav för sårbarhetshantering och väsentliga cybersäkerhetskrav för egenskaperna hos produkter med digitala element. Tillverkarna bör uppfylla alla väsentliga cybersäkerhetskrav som rör sårbarhetshantering under produktens hela stödperiod och de bör fastställa vilka andra väsentliga cybersäkerhetskrav på produktegenskaper som är relevanta för den berörda typen av produkt med digitala element. Därför bör tillverkarna göra en bedömning av vilka cybersäkerhetsrisker som är förbundna med en produkt med digitala element, för att identifiera relevanta risker och relevanta väsentliga cybersäkerhetskrav för att tillhandahålla sina produkter med digitala element utan kända sårbarheter som kan utnyttjas och som kan påverka dessa produkters säkerhet och tillämpa lämpliga harmoniserade standarder, gemensamma specifikationer eller europeiska eller internationella standarder.
Skäl 56 Automatic security updates
En av de viktigaste åtgärderna som användarna ska vidta för att skydda sina produkter med digitala element från cyberattacker är att installera de senaste tillgängliga säkerhetsuppdateringarna så snart som möjligt. Tillverkarna bör därför utforma sina produkter och införa processer för att säkerställa att produkter med digitala element omfattar funktioner som möjliggör anmälan, distribution, nedladdning och installation av automatiska säkerhetsuppdateringar, särskilt när det gäller konsumentprodukter. De bör också ge möjlighet att godkänna nedladdning och installation av säkerhetsuppdateringar som ett sista steg. Användarna bör behålla möjligheten att avaktivera automatiska uppdateringar, med en tydlig och lättanvänd mekanism som stöds av tydliga instruktioner om hur användarna kan frånsäga sig dem. De krav avseende automatiska uppdateringar som anges i en bilaga till denna förordning är inte tillämpliga på produkter med digitala element som främst är avsedda att integreras som komponenter i andra produkter. De är inte heller tillämpliga på produkter med digitala element för vilka användarna inte rimligen skulle förvänta sig automatiska uppdateringar, inbegripet produkter med digitala element som är avsedda att användas i IKT-nätverk för yrkesmässigt bruk, särskilt i kritiska miljöer och industrimiljöer där en automatisk uppdatering skulle kunna störa verksamheten. Oavsett om en produkt med digitala element är utformad för att få automatiska uppdateringar eller inte bör tillverkaren informera användarna om sårbarheter och göra säkerhetsuppdateringar tillgängliga utan dröjsmål. Om en produkt med digitala element har ett användargränssnitt eller liknande tekniska medel som möjliggör direkt interaktion med användarna bör tillverkaren använda sådana funktioner för att informera användarna om att deras produkt med digitala element har nått slutet av stödperioden. Anmälningar bör begränsas till vad som är nödvändigt för att säkerställa ett effektivt mottagande av denna information och bör inte ha en negativ inverkan på användarupplevelsen av produkten med digitala element.
Skäl 57 Separation of security and functionality updates
För att förbättra insynen i processer för sårbarhetshantering och för att säkerställa att användarna inte är skyldiga att installera nya funktionsuppdateringar enbart i syfte att ta emot de senaste säkerhetsuppdateringarna, bör tillverkarna, när det är tekniskt möjligt, säkerställa att nya säkerhetsuppdateringar tillhandahålls separat från funktionsuppdateringar.
Skäl 64 Secure by default and free security updates
Tillverkarna bör tillhandahålla sina produkter med digitala element på marknaden med en säker standardkonfiguration och tillhandahålla användarna säkerhetsuppdateringar utan kostnad. Tillverkarna bör endast kunna avvika från dessa väsentliga cybersäkerhetskrav när det gäller skräddarsydda produkter som är anpassade för ett visst ändamål och för en viss företagsanvändare och om både tillverkaren och användaren uttryckligen har samtyckt till en annan uppsättning avtalsvillkor.
Skäl 77 Software bill of materials
För att underlätta sårbarhetsanalys bör tillverkarna identifiera och dokumentera de komponenter som ingår i produkter med digitala element, inbegripet genom att utarbeta en programvaruförteckning. En programvaruförteckning kan förse dem som tillverkar, köper och driver programvara med information som förbättrar deras förståelse av leveranskedjan, vilket har många fördelar, framför allt att det hjälper tillverkare och användare att spåra kända nya sårbarheter och cybersäkerhetsrisker. Det är särskilt viktigt att tillverkarna säkerställer att deras produkter med digitala element inte innehåller sårbara komponenter som utvecklats av tredje part. Tillverkarna bör inte vara skyldiga att offentliggöra programvaruförteckningen.
Springlex and this text is meant purely as a documentation tool and has no legal effect. No liability is assumed for its content. The authentic version of this act is the one published in the Official Journal of the European Union.