Europa-Kommissionen (EC) præsenterede i 2022 et lovforslag for cybersikkerhed, der træder i kraft i 2024. Det kommer til at påvirke millioner af forbundne enheder, der spænder over husholdningsapparater, legetøj og cybersikkerhedsværktøjer.
Den såkaldte Cyber Resilience Act kræver, at producenterne vurderer cybersikkerhedsrisikoen ved deres produkter og træffer foranstaltninger til at løse problemer i en periode på fem år eller gennem produkternes forventede levetid. Målet er at forhindre usikre produkter i at komme ind på markedet og nå ud til europæiske kunder. Det er dog ikke alle, der er lige begejstrede for lovforslaget.
Se også: De mest sikre telefoner
EU-lovforslag om cybersikkerhed er problematisk
Blandt andet advarer Ericsson og Nokia i et brev til EC om, at det europæiske lovforslag om cybersikkerhed kan skabe flaskehalse og forstyrre forsyningskæderne. Ud over Nokia og Ericsson blev brevet også underskrevet af Siemens, Robert Bosch, Schneider Electric og ESET.
De bekymrede virksomheder forklarer, at altid støtter cybersikkerhedsregler for forbundne produkter, men de er bange for, at EU-forslaget vil være med til at skabe et kludetæppe af forskellige regler for forskellige sektorer. Samtidig mener de, at forslaget mangler kapacitet til at regulere forskellige produkter.
Se også: Er der regler for cyberkrig?
Kan ramme økonomien
Særligt bekymrende er kravet om at bevise overholdelse gennem tredjepartscertificeringer for en kategori, der indeholder højrisikoprodukter med cybersikkerhedsfunktioner, såsom adgangskodeadministration eller indbrudsdetektering.
Disse komponenter er afgørende for økonomien, lyder det i brevet, og en “vurdering gennem tredjepart risikerer at skabe en Covid-19-agtig blokering i europæiske forsyningskæder”, hvilket kan skade konkurrenceevnen.
Se også: Hvorfor er cybersikkerhed vigtig?
Bør bruge fire år mere på at forme Cyber Resilience Act
EU-forslaget lægger også op til, at det offentligt skal oplyses, hvis der er ikke-opdaterede sårbarheder i et produkt. Virksomhederne mener, at det kan skade forbrugerne, hvis den slags informationer skal offentliggøres, inden den pågældende producent har haft mulighed for at fixe problemet.
Grundlæggende mener underskriverne af brevet, at lovgivningen er alt for tidligt ude og at der bør være et vindue på mindst 48 måneder til at arbejde på en mere harmoniseret lovgivning.
Se også: Nyheder om cybersikkerhed