EU:s lag om cyberresiliens (CRA) kräver att aktörer i branschen vidtar omfattande åtgärder för att säkerställa säker utveckling och övervakning av produkter som kan motstå hackerattacker.
Många involverade
Enligt undersökningen ligger huvudansvaret för att uppfylla CRA:s krav hos IT-säkerhet i 46 procent av företagen. I drygt en femtedel (21 procent) har compliance-avdelningen det primära ansvaret. I 18 procent av fallen är det högsta ledningen som ansvarar, följt av den juridiska avdelningen i 16 procent och produktutveckling i 15 procent av de tillfrågade organisationerna.
– Ansvaret behöver definieras tydligare och konsolideras. Det breda utbudet av intressenter inom CRA-intressenter inom branschen återspeglar det faktum att själva regleringen täcker ett brett spektrum av ämnen, säger Jan Wendenburg, vd för Onekey.
Höga krav
Tillverkare av uppkopplade produkter måste nu designa sina enheter, maskiner och system så att de är säkra från grunden (security by design) och säkerställa att de fortsätter att uppfylla CRA-krav under hela sin livscykel.
– Detta är helt klart ett område där teknik och produktutveckling spelar en central roll. Dessutom är leverantörer skyldiga att rapportera alla aktivt utnyttjade sårbarheter och allvarliga incidenter som påverkar säkerheten för deras produkter inom 24 timmar till Europeiska unionens cybersäkerhetsbyrå (ENISA) och relevant nationell Computer Security Incident Response Team (CSIRT). Det ansvaret faller vanligtvis på IT-säkerhetsavdelningen, säger Jan Wendenburg.
Leverantörers skyldigheter gällande sårbarheter
Leverantörer är också skyldiga att regelbundet tillhandahålla säkerhetsuppdateringar för att åtgärda kända sårbarheter och upprätthålla produktsäkerheten. Lika viktigt är att upprätthålla omfattande dokumentation för alla produkter, inklusive en Software Bill of Materials (SBOM), vilket säkerställer fullständig transparens och spårbarhet för alla programvarukomponenter som används.
– Dessa uppgifter faller vanligtvis under utveckling och produktion. Den relaterade dokumentationen som bevisar att CRA-kraven uppfylls är dock primärt produktledningens ansvar, i nära samarbete med compliance-avdelningen, säger Jan Wendenburg.
Avskräckande böter
Brott mot EU-förordningen kan resultera i böter på upp till 15 miljoner euro eller 2,5 procent av den globala årsomsättningen, beroende på vilket som är högst – vilket gör detta till en kritisk fråga för företagsjuridiska team. Slutligen bör risken för personligt ansvar för chefer och styrelseledamöter inte underskattas, vilket förklarar varför högsta ledningen i allt högre grad blir direkt involverad i det praktiska genomförandet av Cyber Resilience Act.
– CRA är verkligen tvärsektoriell och tvärfunktionell, vilket innebär att ansvaret inom organisationer inte är omedelbart tydligt. Det som först kan verka vara förvirring kring ansvarsskyldighet är, vid närmare granskning, förståeligt. Utmaningen för industrin ligger i att uppfylla EU-förordningens fulla omfattning, säger Jan Wendenburg.
Roller inom mjukvaruutveckling är sällsynta men avgörande
Studien avslöjar att ett brett spektrum av roller är involverade i implementeringen av CRA i olika organisationer. I 18 procent av organisationerna ansvarar produktchefer för efterlevnaden av CRA, följt av compliance officers med 17 procent, Chief Information Security Officers (CISO) med 15 procent och cybersäkerhetsanalytiker med 11 procent. Överraskande nog är chefer för mjukvaruutveckling ansvariga i endast 8 procent av företagen, trots att Software Bill of Materials (SBOM) utgör en avgörande del för att uppfylla CRA-kraven.
Kräver noggrann inventering
– SBOM är den svagaste länken i efterlevnadskedjan för Cyber Resilience Act, säger Jan Wendenburg.
Han fortsätter:
– CRA kräver en noggrann inventering av alla komponenter, bibliotek, ramverk och beroenden – inklusive exakta versionsnummer, licensinformation och en översikt över alla kända sårbarheter. Om ens en av dessa komponenter innehåller en exploaterbar sårbarhet som redan har använts i en attack, får den berörda produkten eller programvaruversionen inte släppas ut på marknaden. För befintliga produkter måste myndigheterna meddelas inom 24 timmar. Med tanke på att mer än 2 000 nya programvarusårbarheter dyker upp varje månad är detta ingen lätt uppgift – och utan automatiserad verifiering är det praktiskt taget omöjligt att hantera.
CRA-specifika team
För att förstå hur organisationer hanterar de tvärfunktionella och tvärvetenskapliga kraven i Cyber Resilience Act frågade Onekey om företag har skapat dedikerade samarbetsstrukturer. Resultaten: 28 procent har inrättat arbetsgrupper över avdelningar, medan 13 procent till och med har bildat dedikerade CRA-team. Nästan en tredjedel (32 procent) av respondenterna har dock ingen specifik teamstruktur för att hantera efterlevnad av CRA-regler.
Bland företagen med dedikerade strukturer uppgav 18 procent att deras CRA-team består av fyra till tio personer, och 15 procent uppgav att upp till tre personer är involverade. I nästan 8 procent av fallen arbetar fler än tio anställda med implementering av CRA – vilket täcker allt från produktutveckling och skapande av SBOM till sårbarhetshantering och efterlevnadsprocesser.
– Det är uppmuntrande att fler än 40 procent av organisationerna har etablerat någon form av intern struktur för att hantera implementeringen. I slutändan handlar cybersäkerhet inte om att kryssa i regleringsrutor – det handlar om att skydda företaget från alltmer sofistikerade cyberattacker med potentiellt dramatiska konsekvenser, avslutar Jan Wendenburg.
.jpg?w=480&action=fill&sh=19c04 "Anu-Leena Arola, försäljningsdirektör på det finska kortläsarföretaget Idesco, menar att passerkontroll inte specifikt omfattas av NIS2, men i praktiken ändå kan beröras av kraven som ställs.")
Global
