En intervju med Niklas Tinglöf, CTO och senior konsult på Sigma Technology Tech House.
EU:s nya cybersäkerhetslagar väcker många frågor hos företag som försöker förstå vad de innebär i praktiken. Hittills har mycket av uppmärksamheten riktats mot NIS2-direktivet och dess konsekvenser för kritisk infrastruktur och samhällsviktiga tjänster.
Men NIS2 är inte den enda förändringen på området. Parallellt införs ytterligare lagstiftning som förtjänar minst lika stor uppmärksamhet. Cyber Resilience Act (CRA) och de nya cybersäkerhetskraven inom Radio Equipment Directive (RED) skärper reglerna för uppkopplade produkter. Dessa förändringar ställer helt nya krav på tillverkare och leverantörer i hela EU.
För att reda ut vad detta betyder för svenska företag har vi pratat med Niklas Tinglöf, CTO och senior konsult på Sigma Technology Tech House. Med sin långa erfarenhet av elektronik- och mjukvaruutveckling har han en unik insikt i hur cybersäkerhetskraven utvecklas och vad som behöver göras för att uppfylla de nya reglerna.
Från frivilliga åtgärder till lagstadgade krav
“Tidigare har det varit upp till varje företag att själva avgöra hur de hanterar cybersäkerhet i sina produkter. Det har inte funnits några lagkrav för de flesta produktkategorier,” säger Niklas Tinglöf.
Men det är på väg att ändras. RED-direktivet kommer att införa cybersäkerhetskrav för uppkopplade produkter redan i augusti 2025, och Cyber Resilience Act (CRA) förväntas få stora konsekvenser på lite längre sikt.
Vad innebär de nya kraven?
RED har hittills fokuserat på att reglera radiosystem för att förhindra störningar. Men från och med i år kommer det också att inkludera cybersäkerhetskrav. Alla produkter med radiointerface, som WiFi, Bluetooth eller mobilanslutningar, måste uppfylla specifika säkerhetsstandarder för att få säljas på EU-marknaden.
“Ett problem har varit att de detaljerade standarderna för hur dessa krav ska uppfyllas inte blivit klara förrän i slutet av 2024. Det innebär att företag nu har mycket kort tid på sig att testa för uppfyllnad och eventuellt anpassa sina produkter,” förklarar Niklas.
Med CRA blir kraven ännu mer omfattande. Förordningen omfattar all mjukvara och hårdvara med så kallade digitala element. I fallet uppkopplade fysiska produkter, IoT, handlar det inte bara om enskilda produkter utan även de molntjänster de kommunicerar och samverkar med.
“Till skillnad från RED, så behandlar CRA hela livscykeln för en produkt – från planering och utveckling till avveckling. Tillverkare måste nu tillhandahålla säkerhetsuppdateringar, ha koll på tredjepartsmjukvara och upprätta system för att hantera sårbarheter och incidentrapporter,” säger Niklas.
Ett problem: bristen på harmoniserade standarder
En stor utmaning med de nya lagkraven är att det i dagsläget saknas harmoniserade standarder för CRA. Det innebär att företag inte har en tydlig referensram för vad som krävs för efterlevnad.
“I dagsläget finns det inga harmoniserade standarder definierade, och det kommer troligtvis ta år innan de finns på plats. Det betyder att företag är “on their own” tills vidare och själva måste lista ut hur de ska uppfylla kraven,” säger Niklas.
Innan standarderna är färdigställda finns dock möjligheten för företag att ta hjälp av notified bodies.
“Du kan anlita en notified body för att göra en oberoende granskning för att se att du uppfyller de väsentliga kraven i ett direktiv. Men detta kan bli väldigt dyrt, särskilt för mindre företag som saknar resurser,” förklarar Niklas.
Tuffa sanktionsmöjligheter för den som inte följer reglerna
Niklas förklarar att de nya regelverken för med sig omfattande sanktionsmöjligheter för företag som inte följer kraven. Enligt CRA kan överträdelser leda till böter på upp till 15 miljoner euro eller 2,5 % av företagets totala omsättning. Dessutom finns möjlighet till näringsförbud för företagets vd.
“Det är viktigt att företagsledningar får upp ögonen för detta. Det här handlar inte bara om teknik, utan även om hur organisationer är strukturerade för att hantera cybersäkerhet,” säger Niklas.
Hur kan företag förbereda sig?
Att anpassa sig till de nya kraven är ingen enkel uppgift, men Niklas tipsar om några viktiga steg företag kan ta redan idag:
- Lyft cybersäkerhet till ledningsnivå – Cybersäkerhet är inte bara en teknisk fråga för utvecklingsavdelningen. Hela organisationen behöver förstå konsekvenserna och ta ansvar för efterlevnad av de nya reglerna.
- Börja arbeta med säkerhetsbedömningar genom hela produktens livscykel – En grundlig analys av uppkopplade produkter, från utveckling till avveckling, är avgörande. När CRA träder i kraft kommer företag behöva tillhandahålla säkerhetsuppdateringar under hela produktens livstid.
- Upprätta system för incidenthantering – Från september 2026 måste alla berörda företag ha en process för att ta emot, analysera och rapportera incidenter till myndigheter inom 24 timmar från upptäckt.
- Följ utvecklingen av standarder – Det saknas fortfarande harmoniserade standarder för CRA, vilket gör det svårt att veta exakt hur kraven ska uppfyllas. Att hålla sig uppdaterad om den pågående standardiseringsprocessen är avgörande för att undvika onödiga kostnader och förseningar i produktutveckling.
Vad kan Linköping Science Park göra för att stötta företagen?
Linköping Science Park och Cyberly har en viktig roll att spela i att sprida kunskap och hjälpa företag att förbereda sig för de nya kraven.
“Att informera är en viktig uppgift. Företag måste bli medvetna om att de omfattas av reglerna. Det handlar också om att anpassa informationen till olika nivåer i företagen – från beslutsfattare till utvecklare,” avslutar Niklas.
Med dessa förändringar i sikte är det hög tid för företag att agera. Genom att arbeta proaktivt och ta del av det stöd som finns kan de ligga steget före och bygga en stabil grund för framtiden. De företag som tar cybersäkerhet på allvar idag står bättre rustade för morgondagens krav – och kan undvika onödiga risker och kostnader.
Den 1 april anordnar Cyberly en träff tillsammans med sitt CISO-nätverk, där deltagarna får fördjupa sig i CRA och RED tillsammans med Niklas Tinglöf. CISO-nätverket är exklusivt för Cyberlys medlemmar. Är du intresserad av att bli medlem? Kontakta Beatrice Magnusson, Community Manager, för mer information.
