PROSA mener: EU-forslag om cybersikkerhed mangler forbruger-fokus
Ifølge Digitaliseringsministeriet er Europarådet blevet enige om en holdning til den nye ”forordning om horisontale cybersikkerhedskrav til produkter med digitale elementer”, også kendt som Cyber Resilience Act. Forbundssekretær i PROSA, Morten Rønne, har set på lovforslaget og mener, at forbrugernes "right to repair" og genanvendelse af it-udstyr kan komme i farezonen.
I en pressemeddelelse skriver ministeriet blandt andet:
”Hvert år udsættes tusindvis af forbrugere, virksomheder og offentlige myndigheder for cyberkriminalitet. Og antallet af angreb er stigende. Cyberkriminalitet er dyrt for samfundet og kostede i 2021 det danske samfund over 1,8 milliarder kroner. Samtidig underminerer angrebene ofte grundlæggende rettigheder, som beskyttelse af personoplysninger og privatliv. De fleste af angrebene skyldes, at der ikke er tilstrækkelig cybersikkerhed i de digitale produkter.
Derfor har regeringen, siden september sidste år, forhandlet et lovforslag i EU, som skal sikre et minimumsniveau af cybersikkerhed i digitale produkter, der sælges i EU. Nu er lovforslaget kommet et stort skridt nærmere, da man i Rådet, som består af alle EU-medlemslandenes regeringer, er blevet enige om en fælles holdning og dermed er klar til de afsluttende forhandlinger med Europa-Parlamentet. Loven forventes at være endeligt vedtaget ved udgangen af året.”
PROSAs forbundssekretær Morten Rønne mener, at der er mange gode intentioner og mange skridt i rigtige retninger i lovforslaget, men der er også uafklarede spørgsmål, som PROSA gerne går i dialog med den danske minister om.
Cybersikkerhed til produkter med digitale elementer
I lovforslaget lægges der op til, ”at fabrikanterne tager sikkerheden alvorligt i hele et produkts livscyklus”. Men kravet til opdateringer er i produktets levetid eller 5 år, hvad end der er kortest. Der jo en reklamationsret på 2 år. Hvis en leverandør erklærer, at produktet kun forventes at leve i 2 år, stopper opdateringsforpligtelsen så her? Kravet skal, så vidt vi kan se, gælde fra det øjeblik et produkt bringes i omsætning på EU-markedet. Dvs. at man som leverandør kan sige, at levetiden på et produkt er 2 år, hvorefter produkter fra starten af det tredje år, ikke længere skal have opdateringer, fordi produktets levetid fer overskredet. Det kan blive en udfordring i forbindelse med genbrug og retten til reparation.
Hvad med Open Source?
I forbindelse med software er der nogle klasser af software og hardware, som har yderligere krav til sikkerheden, hvor fabrikanten eller importøren skal dokumentere, at systemet er sikkert.
”Men hvad med Open Source. Hvem skal have ansvaret her? Hvis enkelte virksomheder kan blive ansvarlig ved at importere Open Source-kode, og bruge det i deres produktion, kan det blive dræbende for Open Source,” siger Morten Rønne.
Nye krav til registrering
I lovforslaget lægges der desuden op til, at fabrikanter skal registrere og dokumentere leverandører, som har leveret et produkt med digitale elementer til dem. Erhvervsdrivende skal i ti år efter, at de har fået leveret eller har leveret produktet med digitale elementer, kunne forelægge de i lovforslaget nævnte oplysninger, så længe de er tilgængelige.
Desuden skal fabrikanter, uden unødig forsinkelse – og efter at være blevet bekendt hermed (fx en sårbarhed), underrette brugerne af produktet om hændelsen og om nødvendigt om korrigerende foranstaltninger, som brugeren kan træffe for at afbøde virkningen af hændelsen.
”Det er positivt. Men skal man være tvunget til at registrere sig hos fabrikanten, som nogle opdateringer allerede kræver, så er det problematisk. Jeg håber, at der også kommer nogle krav om formatet osv. så der kan laves forskellige systemer, der kan samle disse oplysninger og sprede dem igen, så jeg som forbruger kan vælge den løsning jeg er mest tryg ved,” siger Morten Rønne og forsætter.
”Generelt er PROSA positivt indstillet overfor, at der snart kommer nye krav til leverandører, som leverer produkter med digitale elementer, men vi vil opfordre ministeren til at række ud til eksperter, der har indsigt i forbrugernes behov for it-sikkerhed. PROSA stiller sig gerne til rådighed for ministeren eller embedsværket."