Historiskt har passerkontroll ofta betraktats som en fysisk säkerhetsfråga, med cybersäkerhet som ett tillägg. CRA vänder på detta synsätt. Från och med den 11 december 2027 gäller full efterlevnad. Det innebär att produkter med digitala element måste uppfylla alla cybersäkerhetskrav, genomgå konformitetsbedömning och CE-märkas. Användning av produkter som saknar inbyggd cybersäkerhet innebär då en betydande juridisk och ekonomisk risk. Höga sanktionsavgifter kan utdömas till slutkunden om osäkra produkter eller system används. Detta gäller oavsett om produkten är ”beprövad”, välkänd eller tidigare CE-märkt.

Under en övergångsperiod kommer äldre produkter fortsatt att få säljas, men det befriar inte slutkunden från ansvar. Den tid då man kunde luta sig mot leverantörer, konsulter eller integratörer är över.

Secure by design – ett krav

Ett modernt passerkontrollsystem består av hårdvara, firmware, mjukvara, molntjänster och identitetsflöden mellan dessa. CRA gör ingen skillnad på vad som är ”viktigast”. En sårbar komponent komprometterar hela systemet. Säkerheten avgörs inte av den starkaste länken – utan av den svagaste.

Den största förändringen med CRA är kravet på secure by design. Cybersäkerhet och skydd mot fysiska hot ska vara inbyggt från början. Uppdateringsbarhet, sårbarhetshantering och en tydlig livscykel måste vara en del av produktens DNA.

Produkter ska, precis som inom IT-världen, kunna uppdateras automatiskt och säkert. Detta ställer höga krav på:

• Öppna standarder

• Samverkan mellan tillverkare

• Minimering av komponenter som behöver uppdateras

Här hamnar begrepp som transparent mode och reducering av attackytor i centrum – inte som teknikmodeord, utan som riskreducerande åtgärder.

Hög tid att förbereda sig

CRA skärper ansvarsfördelningen i hela leverantörskedjan. Ingen aktör får medvetet sälja produkter som inte uppfyller cybersäkerhetskraven utan att tydligt redovisa riskerna. I arbetet inom EU har detta liknats vid varningstexter på cigarettpaket – en pedagogik som nu konkretiseras av EU:s cybersäkerhetsbyrå Enisa.

CRA kräver spårbarhet, dokumentation och transparens kring cybersäkerhet. I dag är de flesta leverantörer av passerkontrollsystem inte redo för de kommande kraven. Samtidigt finns fortfarande tid att göra bot och bättring, men arbetet måste komma i gång snarast, om än bakom lyckta dörrar. Kraven som väntar kommer däremot att vara väl synliga, verifierbara och juridiskt bindande.

Ställ frågor och kräv svar

Fastighetsägare, säkerhetschefer och upphandlare måste börja med att förstå varför CRA införs. Det handlar om att skydda Europas gemensamma digitala vardag.

Organisationer klassificeras som ”essential” eller ”important entities” – och skyddsnivån ska vara därefter. I varje företag som är IE eller EE skall en cyber security manager utses.

När organisationens tillhörighet har klargjorts tydliggörs vilka krav som gäller och vilka frågor som ska besvaras, exempelvis:

• Hur uppdateras produkten under hela livscykeln?

• Hur hanteras sårbarheter och incidenter?

• Hur skyddas kommunikationen och identitetsflöden mellan komponenter?

• Vilka delar är beroende av tredje part – och hur säkras dessa?

Detta är inte bara regulatoriska frågor, utan affärskritiska risker. Ett företag som utsätts för ett allvarligt intrång riskerar inte bara driftstopp – utan sin existens. De oerhört högt satta sanktionsavgifterna ska även motivera företag och myndigheter att agera för att skydda sig och tredje part.

Upphandling och konkurrens i förändring

CRA kommer att förändra upphandlingar i grunden. Vd och styrelse blir ytterst ansvariga. Konsultledet har en lång resa framför sig. Vissa aktörer ligger långt fram – många gör det inte. Den svenska marknaden kommer därför att öppnas för nya europeiska leverantörer som har arbetat med zero trust under lång tid och som varit tongivande i framtagandet av NIS2, CER och CRA. Sverige har tyvärr varit passivt och lutat sig mer mot tillit än verifierbar säkerhet.

Leverantörer och integratörer som underlåter att anpassa sina tekniklösningar riskerar att bli irrelevanta. Historien är full av exempel på företag som försvunnit när marknaden förändrats snabbare än de själva – Nokia, Commodore och Blackberry är några exempel.

Samverkan eller stagnation

Producenter måste således designa cybersäkert från grunden, använda öppna standarder och säkra informationsflöden. Ingen aktör behärskar alla discipliner själv – kortläsare, kod, hårdvara och identitetsmedia kräver specialisering. De företag som tror att de kan göra allt själva kommer att få den brantaste uppförsbacken.

Vill man förstå vad som kommer, och påverka hur det utformas, är engagemang i organisationer som SPAC Alliance en väg framåt. SPAC har varit engagerat i arbetet med att ta fram CRA under lång tid och kan därför ge ett informationsstöd för företag som vill ha vägledning. Medlemsorganisationen är öppen för alla aktörer som vill påverka utvecklingen inifrån.

Slutligen är det viktigt att inte se CRA som ett hot, utan som en möjlighet att bygga ett säkrare och mer konkurrenskraftigt Europa.

Robert Jansson, Director of Sales Europe, Stid