Den 15 september 2022 presenterade EU-kommissionen förslaget till Cyber Resilience Act (Cyberresiliensakten) gällande övergripande cybersäkerhetskrav för så kallade produkter med digitala element. I denna artikel förklarar vi vad som avses med begreppet produkt med digitala element.
Innan vi analyserar begreppets innebörd tittar vi kort på syftet med Cyber Resilience Act. Ett av målen med den nya lagstiftningen, som föreslås blir en EU-förordning, är att tvinga tillverkare att utveckla säkra produkter med digitala element (EU-kommissionen anser att detta inte ska i tillräcklig stor utsträckning idag). Genom detta ska användarnas och samhällets cybersäkerhetsnivå ökas. Målet ska uppnås bland annat genom att ställa cybersäkerhetskrav på produkter med digitala element, i synnerhet att produkterna ska ha färre sårbarheter under hela livscykeln.
Vad är då en produkt med digitala element? Enligt artikel 3.1 Cyber Reslience Act avser begreppet en programvaru- eller hårdvaruprodukt och dess lösningar för fjärrbehandling av data, inklusive programvaru- eller hårdvarukomponenter som släpps ut på marknaden separat. Med fjärrbehandling av data menas databehandling på distans för vilken programvaran utformats och utvecklats av tillverkaren eller under tillverkarens ansvar, och vars avsaknad skulle innebära att produkten med digitala element inte kan utföra en av sina funktioner (artikel 3.2 Cyber Resilience Act).
Begreppet har en bred definition vilket innebär att många olika produkter och produktkategorier omfattas. Några exempel på produkter med digitala element är produkter på området sakernas internet (Internet of things), webbläsare, operativsystem, programvara för fjärråtkomst, mikrokontroller, brandväggar, mikroprocessorer och modem.