Som försäljningsdirektör på kortläsarteknikbolaget Stid har Robert Jansson Europa som sitt affärsområde. Han är övertygad om att EU-förordningen CRA blir en gamechanger för hela branschen – från tillverkare till slutkunder.

– Från och med 2027 blir det i praktiken inte längre tillåtet att använda produkter som inte redan i designstadiet är byggda med cybersäkerhet i kärnan. Organisationer som ändå gör det riskerar att drabbas av enorma bötesbelopp, säger Robert Jansson.

Det ställer i sin tur nya krav i leverantörsledet, inte minst på tillverkarna. För dem som inte har påbörjat omställningen finns ingen tid att förlora, enligt Robert Jansson.

– De som inte ställer om till security by design och zero trust-modeller riskerar att bli irrelevanta över en natt.

Slutkunden får det fulla ansvaret

En av de största förändringarna med CRA är hur ansvaret för säkerheten fördelas. Tidigare har många slutkunder lutat sig mot konsulter och leverantörer i säkerhetsfrågor. Den tiden är över, menar Robert Jansson.

– Fram till oktober 2024 kunde slutkunder förlita sig på offerter från konsulter och leverantörer utan eget straffansvar. I dag är det tydligt att slutkunden bär det fulla ansvaret för sin säkerhet – utan möjlighet att skjuta över det på någon annan.

Det innebär att hela kedjan i ett passersystem måste vara säker: från kort och läsare till mjukvara, firmware och molntjänster.

– Hela identitetsflödet i ett passersystem måste vara säkert. Ingen del är mer eller mindre viktig. Alla länkar i kedjan måste hålla ihop.

Cybersäkerhet från första designskissen

CRA innebär också att kraven på hur produkter utvecklas skärps kraftigt. Säkerheten måste byggas in från början – inte läggas till i efterhand.

– Ett obevekligt krav är att produkten designas för både cybersäkerhetshot och fysiska hot från grunden. Görs inte det kommer produkten helt enkelt inte att CE-godkännas.

Under en övergångsperiod kommer äldre produkter fortfarande att kunna säljas. Men ansvaret ligger kvar hos organisationen som använder dem.

Livscykelhantering – en nyckelfaktor

Samtidigt ökar kraven på livscykelhantering. Produkter måste kunna uppdateras kontinuerligt för att hantera nya sårbarheter.

– Precis som i IT-världen måste säkerheten kunna uppdateras automatiskt. För att det ska fungera krävs öppna standarder och ett nära samarbete mellan komponenttillverkare.

Han menar också att slutkunder bör efterfråga lösningar där så få komponenter som möjligt behöver uppdateras.

Transparent Mode

Här lyfter han fram konceptet Transparent Mode, något han själv länge argumenterat för i debattartiklar, intervjuer och paneldiskussioner.

– Transparent Mode, eller High Assurance Access Control (HAAC), innebär att krypteringsnycklarna aldrig lagras i läsaren – vilket annars är en vanlig och sårbar lösning.

– På alla platser där krypteringsnycklar lagras kommer man förr eller senare att utsättas för attacker. I Transparent Mode lagras nycklarna i stället i högsäkerhetskortet och i undercentralen.

Kortet kommunicerar då direkt med centralen genom läsaren.

– Läsaren fungerar i princip bara som en säker kanal – en tunnel mellan kortet och systemets hjärta. Det minskar attackytan drastiskt.

Missionär i branschfrågor

Robert Jansson har under flera år varit en tydlig röst för öppna standarder i branschens teknikplattformar. Syftet är främst att framtidssäkra passersystem, underlätta integration med andra system och motverka att kunder låses in i proprietära lösningar.

– Med öppna system kan fastigheter skapa ett sammanhängande ekosystem där alla komponenter samverkar. Det gör det betydligt enklare att hantera både drift och säkerhet, säger Robert Jansson.

Hans engagemang för öppna standarder delas av Stid Security, vars utveckling och tillverkning av läsarteknologi är baserad på öppna standarder som OSDP, SSCP samt RFID/NFC. Tekniken kan enkelt integreras med andra system via API och SDK.

– Genom att dela vår teknologi med aktörer som vill använda den kan säkerhetslösningar fortsätta utvecklas i takt med tiden och kundernas växande behov, säger Robert Jansson.

Cybersäkerhet

Stid Security är också engagerat i organisationen Smart Physical Access Control Alliance (SPAC Alliance), där ledande aktörer inom fysisk och logisk säkerhet arbetar för att stärka den europeiska infrastrukturen.

Organisationens centrala mål är att främja öppna, interoperabla standarder och certifiering inom passerkontroll – exempelvis när det gäller kryptering och biometriska metoder.

Detta korresponderar väl med Robert Janssons opinionsbildande arbete, där han kopplar samman cybersäkerhetsfrågor med kravet på öppna standarder och där han tidigt uppmanade branschen att ta höjd för exempelvis NIS2.

När han började lyfta dessa frågor möttes han ofta av skepsis.

– Många tyckte att jag skrämde upp branschen, säger han.

I dag tas frågorna på betydligt större allvar. NIS2 har nu implementerats i svensk lagstiftning som cybersäkerhetslagen, och tusentals organisationer arbetar för fullt för att uppfylla kraven och undvika höga sanktionsavgifter.

Branschen är inte redo

Cyber Resilience Act (CRA) är nästa stora regelverk, men enligt Robert Jansson är branschföretagens anpassningstakt inte särskilt hög.

– Med några få undantag i Europa är branschen inte alls förberedd, säger han.

Samtidigt menar Robert Jansson att det fortfarande finns tid att agera – om arbetet börjar nu.

– Jag förutsätter att aktörerna tar detta på största allvar och att mycket arbete sker bakom lyckta dörrar.

Nya krav i upphandlingar

Robert Jansson förväntar sig att upphandlingar och kravspecifikationer kommer att förändras när CRA börjar slå igenom.

– Jag hoppas att det sker stora förändringar. Kunderna måste förstå sitt ansvar. I slutänden är det ju vd och styrelse som är ytterst ansvariga.

Även konsultledet står inför en nödvändig omställning.

– Vissa är på god väg, men många kommer att få en rejäl uppförsbacke om de inte redan har börjat.

Samtidigt kan nya aktörer ta plats på marknaden.

– Nya leverantörer kan komma in med färdiga lösningar som inte nödvändigtvis utvecklats i Sverige, utan i länder där man kommit längre inom cybersäkerhet.

Sverige ligger efter

Robert Jansson menar att flera europeiska länder ligger långt före Sverige i arbetet med cybersäkerhet, exempelvis Frankrike, Nederländerna, Tjeckien, Spanien och Tyskland.

– Absolut. I många länder har man redan infört zero trust i sina specifikationer i stället för att förlita sig på traditionell godtrogenhet i affärsrelationer.

Det är också dessa länder som i stor utsträckning varit med och format EU:s regelverk, bland annat NIS2, CER och CRA.

– Sverige har varit oerhört passivt i de här frågorna.

Riskerar att bli irrelevanta

För företag som väntar för länge med att anpassa sig ser Robert Jansson en tydlig risk.

– De kommer att bli irrelevanta. Och det är den största risk ett företag kan ta.

Han jämför med teknikföretag som snabbt tappat sin marknadsposition.

– Vi har sett många exempel, både globalt och i Norden. Nokia, Commodore och Blackberry är klassiska fall.

Samarbete blir avgörande

För att säkerhetsbranschens företag ska kunna möta de nya kraven krävs också mer samarbete.

– Att utveckla en kortläsare, en undercentral och säker mjukvara är tre helt olika specialiteter. Lägg därtill utvecklingen av säkra identifieringstoken, både fysiska och digitala.

Företag som försöker behärska allt själva riskerar därför att få det svårt.

– De som får störst uppförsbacke är de som tror att de kan mästra alla dessa discipliner utan att samarbeta med specialister.

Robert Jansson sammanfattar sin syn med ett råd och ett citat han burit med sig sedan han började sin karriär i säkerhetsbranschen:

”You succeed together, but you fail alone.”