Fra 2027 bliver cybersikkerhed en forudsætning for at bringe maskiner på EU-markedet. Maskinforordningen (EU 2023/1230) kobler sikkerhed og cybersikkerhed tæt sammen, og mange maskiner vil samtidig være omfattet af Cyber Resilience Act (CRA). For producenter og købere ændrer det både compliance, kontrakter og forsikring.
Cybersikkerhedskrav i maskinforordningen og dokumenteret risikostyring
Maskinforordningen afløser maskindirektivet og indfører eksplicitte cybersikkerhedskrav i de grundlæggende sikkerheds- og sundhedskrav. Når en sikkerhedsfunktion kan påvirkes udefra, bliver beskyttelsen mod den påvirkning et sikkerhedsanliggende. Kravene omfatter blandt andet beskyttelse mod forvanskning samt identifikation, beskyttelse og logning af software og data, der er afgørende for sikkerheden, jf. bilag III, punkt 1.1.9 i forordningen på Eur-Lex.
Derudover skal styresystemers sikkerhed og pålidelighed modstå rimeligt forudsigelige ydre påvirkninger, jf. bilag III, punkt 1.2.1 på Eur-Lex. Forudsigeligheden vurderes som udgangspunkt ud fra viden på leveringstidspunktet og kan underbygges med anerkendte kilder som ENISA’s publikationer. og standardserien IEC 62443. Fabrikanten bør gennemføre og dokumentere en risikovurdering, som fastlægger et passende sikkerhedsniveau for den konkrete anvendelse.
Samspil med Cyber Resilience Act og betydning for CE-mærkning
Mange maskiner vil være både maskiner og produkter med digitale elementer og dermed være omfattet af både maskinforordningen og CRA. Overholdelse af den ene retsakt kan ikke automatisk anses for opfyldelse af den anden. Overensstemmelsen skal dokumenteres efter begge regelsæt i CE-grundlaget, herunder i overensstemmelseserklæringen og den bagvedliggende risikovurdering. CRA’s krav findes på Eur-Lex.
Reglerne forskyder sig tidsmæssigt: Maskinforordningen anvendes fra 20. januar 2027, mens fabrikanternes hovedpligt under CRA gælder fra december 2027, og en særskilt rapporteringspligt gælder tidligere. Planlægning af tekniske tiltag, dokumentation, styring af sårbarheder og livscyklusopdateringer bør derfor ske samlet og fremrykket.
Aftalegrundlaget fordeler risiko og afgrænser ansvar
Retlige konsekvenser afgøres ikke alene af reguleringen. Tilbud, vilkår og kontrakt bør klart afgrænse leverandørens ansvar over for køberens it-miljø, beskrive hvilket sikkerhedsniveau der loves, og hvilke forudsætninger det hviler på. Aftalen bør også regulere varighed og vilkår for sikkerhedsopdateringer samt konsekvenser, når support ophører, mens maskinen fortsat er i drift.
Vidtgående ansvarsfraskrivelser kan tilsidesættes, særligt ved grov uagtsomhed. Produktansvar løber ved siden af kontrakten og kan ikke fraskrives over for skadelidte. Det nye produktansvarsdirektiv gør cybersikkerhed relevant for defektvurderingen, så manglende efterlevelse kan udløse ansvar ved personskade uanset kontraktens ordlyd.
Få GDPR helt ind under huden på kurset ’GDPR i praksis’
Læs mere her →Instruktioner, advarsler og forsikring som risikostyringsværktøjer
CRA kræver, at brugerne informeres om kendte eller forudsigelige omstændigheder, der kan medføre betydelige cybersikkerhedsrisici, herunder tilsigtet brug og rimeligt forudsigelig fejlanvendelse. Instruktioner og brugervejledninger bør derfor præcisere netværkskrav, fjernadgang, lukkede porte, segmentering og kompetencekrav. Klare anvisninger kan flytte risiko, når de ikke efterleves, og afgrænser samtidig, hvad fabrikanten har lovet.
Forsikring lukker huller, som kontrakt og instruktion ikke eliminerer. Producenter bør afstemme erhvervs- og produktansvarsdækning med det påtagne ansvar, mens købere bør sikre, at egen cyberforsikring og eventuel regreshåndtering passer til aftalens risikofordeling. Policer kan indeholde it-sikkerhedsbetingelser og undtagelser for tab ved produktionsudstyr, så betingelserne skal gennemgås nøje.
Baggrundsmateriale: EU’s studie om behovet for cybersikkerhedskrav til IKT-produkter kan læses hos EU’s Publikationskontor.