Som salgsdirektør i kortlæserteknologiselskabet Stid har Robert Jansson Europa som sit ansvarsområde. Han er overbevist om, at EU-forordningen CRA bliver en gamechanger for hele branchen – fra producenter til slutkunder.
– Fra og med 2027 vil det i praksis ikke længere være tilladt at anvende produkter, som ikke allerede i designfasen er udviklet med cybersikkerhed som kerneelement. Organisationer, der alligevel gør det, risikerer enorme bøder, siger Robert Jansson.
Det stiller nye krav til hele leverandørkæden – ikke mindst til producenterne. For dem, der endnu ikke har påbegyndt omstillingen, er der ingen tid at spilde, ifølge Robert Jansson.
– De, der ikke omstiller sig til security by design- og zero trust-modeller, risikerer at blive irrelevante fra den ene dag til den anden.
Slutkunden får hele ansvaret
En af de største ændringer med CRA er, hvordan ansvaret for sikkerheden fordeles. Tidligere har mange slutkunder støttet sig til konsulenter og leverandører i sikkerhedsspørgsmål. Den tid er forbi, mener Robert Jansson.
– Frem til oktober 2024 kunne slutkunder støtte sig til tilbud fra konsulenter og leverandører uden selvstændigt strafansvar. I dag er det tydeligt, at slutkunden bærer hele ansvaret for sin sikkerhed – uden mulighed for at skubbe det over på andre.
Det betyder, at hele kæden i et adgangssystem skal være sikker: fra kort og læsere til software, firmware og cloudtjenester.
– Hele identitetsflowet i et adgangssystem skal være sikkert. Ingen del er mere eller mindre vigtig. Alle led i kæden skal hænge sammen.
Cybersikkerhed fra første designskitse
CRA indebærer også, at kravene til, hvordan produkter udvikles, skærpes markant. Sikkerheden skal bygges ind fra starten – ikke tilføjes bagefter.
– Et ubønhørligt krav er, at produktet designes til både cybersikkerhedstrusler og fysiske trusler helt fra bunden. Ellers bliver produktet ganske enkelt ikke CE-godkendt.
I en overgangsperiode vil ældre produkter fortsat kunne sælges. Men ansvaret ligger stadig hos den organisation, der anvender dem.
Livscyklushåndtering – en nøglefaktor
Samtidig øges kravene til livscyklushåndtering. Produkter skal kunne opdateres løbende for at håndtere nye sårbarheder.
– Ligesom i IT-verdenen skal sikkerheden kunne opdateres automatisk. For at det kan fungere, kræves åbne standarder og et tæt samarbejde mellem komponentproducenter.
Han mener også, at slutkunder bør efterspørge løsninger, hvor så få komponenter som muligt skal opdateres.
Transparent Mode
Her fremhæver han konceptet Transparent Mode, som han selv længe har argumenteret for i debatartikler, interviews og paneldiskussioner.
– Transparent Mode, eller High Assurance Access Control (HAAC), betyder, at krypteringsnøglerne aldrig lagres i læseren – hvilket ellers er en almindelig og sårbar løsning.
– Alle steder, hvor krypteringsnøgler lagres, vil man før eller siden blive udsat for angreb. I Transparent Mode lagres nøglerne i stedet i højsikkerhedskortet og i undercentralen.
Kortet kommunikerer derefter direkte med centralen gennem læseren.
– Læseren fungerer i princippet blot som en sikker kanal – en tunnel mellem kortet og systemets kerne. Det reducerer angrebsfladen dramatisk.
Missionær i branchespørgsmål
Robert Jansson har i flere år været en tydelig stemme for åbne standarder i branchens teknologiplatforme. Formålet er først og fremmest at fremtidssikre adgangssystemer, gøre integration med andre systemer lettere og modvirke, at kunder låses fast i proprietære løsninger.
– Med åbne systemer kan ejendomme skabe et sammenhængende økosystem, hvor alle komponenter arbejder sammen. Det gør det betydeligt lettere at håndtere både drift og sikkerhed, siger Robert Jansson.
Hans engagement i åbne standarder deles af Stid, hvis udvikling og produktion af læserteknologi er baseret på åbne standarder som OSDP, SSCP samt RFID/NFC. Teknologien kan nemt integreres med andre systemer via API og SDK.
– Ved at dele vores teknologi med aktører, der ønsker at anvende den, kan sikkerhedsløsninger fortsætte med at udvikle sig i takt med tiden og kundernes voksende behov, siger Robert Jansson.
Cybersikkerhed
Stid er også engageret i organisationen Smart Physical Access Control Alliance, hvor førende aktører inden for fysisk og logisk sikkerhed arbejder for at styrke den europæiske infrastruktur.
Organisationens centrale mål er at fremme åbne, interoperable standarder og certificering inden for adgangskontrol – eksempelvis når det gælder kryptering og biometriske metoder.
Dette stemmer godt overens med Robert Janssons opinionsdannende arbejde, hvor han kobler cybersikkerhedsspørgsmål sammen med kravet om åbne standarder, og hvor han tidligt opfordrede branchen til at tage højde for blandt andet NIS2.
Da han begyndte at sætte fokus på disse spørgsmål, blev han ofte mødt med skepsis.
– Mange mente, at jeg skræmte branchen unødigt, siger han.
I dag bliver spørgsmålene taget langt mere alvorligt. NIS2 er nu implementeret i svensk lovgivning som cybersikkerhedsloven, og tusindvis af organisationer arbejder intensivt på at opfylde kravene og undgå høje sanktionsafgifter.
Branchen er ikke forberedt
Cyber Resilience Act (CRA) er det næste store regelsæt, men ifølge Robert Jansson er tilpasningstempoet blandt branchens virksomheder ikke særligt højt.
– Med få undtagelser i Europa er branchen slet ikke forberedt, siger han.
Samtidig mener Robert Jansson, at der stadig er tid til at handle – hvis arbejdet begynder nu.
– Jeg går ud fra, at aktørerne tager dette meget alvorligt, og at der foregår meget arbejde bag lukkede døre.
Nye krav i anskaffelser
Robert Jansson forventer, at anskaffelser og kravspecifikationer vil ændre sig, når CRA begynder at slå igennem.
– Jeg håber, der sker store forandringer. Kunderne skal forstå deres ansvar. I sidste ende er det jo administrerende direktør og bestyrelsen, der har det overordnede ansvar.
Også konsulentleddet står over for en nødvendig omstilling.
– Nogle er godt i gang, men mange vil få en stejl opgave foran sig, hvis de ikke allerede er begyndt.
Samtidig kan nye aktører få plads på markedet.
– Nye leverandører kan komme ind med færdige løsninger, som ikke nødvendigvis er udviklet i Sverige, men i lande, hvor man er kommet længere inden for cybersikkerhed.
Sverige halter bagefter
Robert Jansson mener, at flere europæiske lande ligger langt foran Sverige i arbejdet med cybersikkerhed, eksempelvis Frankrig, Holland, Tjekkiet, Spanien og Tyskland.
– Absolut. I mange lande har man allerede indført zero trust i sine specifikationer i stedet for at basere sig på traditionel godtroenhed i forretningsrelationer.
Det er også disse lande, der i høj grad har været med til at forme EU’s regelsæt, blandt andet NIS2, CER og CRA.
– Sverige har været utroligt passivt i disse spørgsmål.
Risikerer at blive irrelevante
For virksomheder, der venter for længe med at tilpasse sig, ser Robert Jansson en tydelig risiko.
– De bliver irrelevante. Og det er den største risiko, en virksomhed kan tage.
Han sammenligner med teknologivirksomheder, som hurtigt mistede deres markedsposition.
– Vi har set mange eksempler, både globalt og i Norden. Nokia, Commodore og BlackBerry er klassiske eksempler.
Samarbejde bliver afgørende
For at virksomhederne i sikkerhedsbranchen skal kunne leve op til de nye krav, kræves der også mere samarbejde.
– At udvikle en kortlæser, en undercentral og sikker software er tre helt forskellige specialer. Dertil kommer udviklingen af sikre identifikationstokens – både fysiske og digitale.
Virksomheder, der forsøger at mestre det hele selv, risikerer derfor at få det svært.
– Dem, der får den største udfordring, er dem, der tror, at de kan mestre alle disse discipliner uden at samarbejde med specialister.
Robert Jansson opsummerer sit synspunkt med ét råd og ét citat, som han har båret med sig siden begyndelsen af sin karriere i sikkerhedsbranchen:
“You succeed together, but you fail alone.”



































