CEMA-vejledningen fortolker Cyber Resilience Act for landbrugsmaskiner. Den dækker omfang, OEM-leverandørforhold, supportperioder og komponenter til integration.
Hvorfor landbrugsmaskinsektor får brug for sin egen CRA-fortolkning
Cyber Resilience Act (forordning 2024/2847) træder progressivt i kraft fra 11. december 2027 og dækker næsten alle produkter med digitale elementer, der bringes på EU-markedet. For producenter inden for maskin- og anlægsteknik betyder dette: Næsten alle maskiner med elektroniske komponenter og dataforbindelse - hvad enten via USB, Bluetooth, GPS eller OBD - falder inden for forordningens anvendelsesområde.
I modsætning til forordninger med en lang historie med standardisering mangler CRA i øjeblikket konkrete harmoniserede standarder, der ville give producenter en formodning om overensstemmelse. I denne fase med usikkerhed hjælper branchespecifikke fortolkningsguider som CEMA-vejledningen med at opbygge en fælles forståelse inden for en sektor og forberede dialogen med standardiseringsorganer og markedsovervågningsmyndigheder.
CEMA-vejledningen fokuserer på spørgsmål, der opstår fra landbrugsmaskinsektorens særlige struktur: komplekse værdikæder med talrige leverandører, lange produktlivscykler, overvejende decentraliseret opdateringsdistribution via forhandlernetværk og et heterogent produktlandskab fra simple redskaber til fuldt netværksforbundne præcisionsmaskiner.
CRA i samspil med andre EU-regler
Cyber Resilience Act optræder ikke isoleret. Den er en del af et regulatorisk rammeværk, hvor forskellige EU-regler adresserer forskellige aspekter af produktsikkerhed og cybersikkerhed.
Maskinforordningen (EU) 2023/1230 regulerer de grundlæggende sikkerhedskrav for maskiner, herunder funktionel sikkerhed. CRA supplerer disse med specifikke cybersikkerhedskrav for digitale elementer. Begge ordninger gælder parallelt, i det omfang deres krav ikke overlapper. Landbrugsmaskiner er generelt underlagt begge: maskinforordningen for mekanisk og funktionel sikkerhed og CRA for cybersikkerhed af integrerede elektroniske komponenter og systemer.
NIS2-direktivet (EU) 2022/2555 er derimod rettet mod operatører af kritisk infrastruktur og væsentlige tjenester - ikke mod produktproducenter. Landbrugsvirksomheder falder normalt ikke under NIS2's definition af kritiske enheder. Ikke desto mindre kan CRA skabe en indirekte forbindelse til NIS2, hvis produkter bruges i kritiske sektorer og klassificeres som kritiske produkter i henhold til bilag IV.
Blue Guide om implementering af produktlovgivning tjener som central reference for nøglebegreber som "markedsføring", "tilgængeliggørelse på markedet" eller "væsentlig ændring". CEMA-vejledningen optager disse udtryk og anvender dem på de specifikke omstændigheder for landbrugsmaskiner.
En vigtig forskel sammenlignet med sektorielle regler: Artikel 2(5) tillader undtagelser eller begrænsninger, hvor andre EU-regler opnår samme eller et højere beskyttelsesniveau. For landbrugsmaskinsektoren er der i øjeblikket ingen sådan regel synlig, der kunne fortrænge CRA. CRA gælder derfor fuldt ud.
Praktiske afgrænsningsspørgsmål opstår ofte i samspillet mellem maskinforordningen, CRA og andre EU-regler. Hvis du ønsker at afklare, hvilke krav der gælder for dine maskiner parallelt, og hvor overlap eksisterer, kan en kort klassificeringsdiskussion være nyttig.
Horisontal og vertikal harmonisering
CRA henviser i sine væsentlige cybersikkerhedskrav (bilag I) til en risikobaseret tilgang. Producenter skal udføre en cybersikkerhedsrisikovurdering og sikre et passende sikkerhedsniveau på det grundlag. Den konkrete udformning af disse krav vil blive specificeret af harmoniserede europæiske standarder, så snart de bliver tilgængelige.
To kategorier af standarder er relevante for CRA: horisontale standarder, der gælder på tværs af produktgrupper, og vertikale standarder, der specificerer sektorspecifikke krav.
EN 40000-standardserien udvikles i øjeblikket som en horisontal CRA-standard og er beregnet til at dække grundlæggende cybersikkerhedskrav for alle produktkategorier. Parallelt udvikles vertikale standarder skræddersyet til specifikke produktgrupper i ETSI som en del af ETSI EN 304 6xx-serien.
For landbrugsmaskinsektoren er IEC 62443-standardfamilien af særlig betydning. Oprindeligt udviklet til industrielle automationssystemer anvendes IEC 62443 i stigende grad på embedded-systemer i maskiner. Den giver en struktureret metodologi for sikkerhedskrav på komponent- og systemniveau samt for sikkerhedsudviklingslivscyklussen.
Vigtigt: standarder er ikke love. De giver en formodning om overensstemmelse, men deres anvendelse er ikke obligatorisk. Producenter kan også demonstrere overensstemmelse med CRA's væsentlige krav gennem andre tekniske løsninger. Men anvendelse af harmoniserede standarder letter overensstemmelsesvurderingen og skaber retssikkerhed.
Omfang, ansvarsfordeling og supportperioder
CEMA-vejledningen koncentrerer sig om emner, der er særligt relevante for producenter af landbrugsmaskiner.
Omfang og definitioner
CRA dækker alle produkter med digitale elementer, hvis tilsigtede brug eller rimeligt forudsigelig brug involverer en dataforbindelse til en enhed eller netværk. Det er ikke afgørende, om forbindelsen er permanent til stede, men om den tekniske mulighed for dataforbindelse eksisterer.
CEMA-vejledningen afklarer: en landbrugsmaskin falder inden for anvendelsesområdet, hvis mindst den tilsigtede brug eller en rimeligt forudsigelig brug tillader en dataforbindelse. Dette kan inkludere en diagnostisk grænseflade, der kun bruges under vedligeholdelse, eller en JTAG-port på en mikrokontroller beregnet til firmware-opdateringer.
Skelnen mellem "rimeligt forudsigelig brug" og "rimeligt forudsigelig misbrug" er praktisk relevant. Rimeligt forudsigelig brug inkluderer alle anvendelsesscenarier, der opstår fra de leverede funktioner, selv om de ikke udtrykkeligt er beskrevet i brugermanualen. Misbrug opstår derimod, når en anvendelse opstår uden for den tilsigtede kontekst og kræver specialiseret viden, som en typisk bruger ikke besidder.
Væsentlig ændring
En væsentlig ændring i CRA's forstand opstår, når en ændring efter markedsføring forringer overensstemmelsen med de væsentlige cybersikkerhedskrav eller ændrer det tilsigtede formål. Hver ændring kræver en konsekvensanalyse af ændreren, som skal dokumenteres - selv hvis ændringen ikke klassificeres som væsentlig.
Konsekvensen af en væsentlig ændring: ændreren bliver producent i CRA's forstand og skal gennemgå overensstemmelsevurderingsproceduren igen. Dette gælder også ændringer af reservedele, hvis de ikke længere kan betragtes som identiske.
OEM-leverandørforhold og due diligence
Ansvarsfordelingen mellem producenter (OEM'er) og leverandører af komponenter er et af de mest komplekse spørgsmål ved implementering af CRA. Artikel 13(5) kræver, at producenter udfører due diligence ved integration af tredjepartskomponenter for at sikre, at disse ikke forringer cybersikkerheden af det samlede produkt.
CEMA-vejledningen gør klart: OEM'en bærer det overordnede ansvar for slutproduktets overensstemmelse. Dens due diligence inkluderer at vælge egnede komponenter baseret på sin egen risikovurdering, kontrollere om leverandørens overensstemmelseserklæring dækker CRA, og integrere og konfigurere komponenter i overensstemmelse med leverandørens instruktioner.
Hvis en komponent markedsføres separat og er CE-mærket, forenkler dette OEM'ens due diligence. Hvis komponenten kun fremstilles til integration og ikke markedsføres separat, kan ansvarsfordelingen reguleres kontraktuelt. I alle tilfælde skal leverandøren give tilstrækkelig information, så OEM'en kan udføre sin due diligence.
Ansvarsfordelingen mellem OEM og leverandører er et af de mest kritiske punkter i CRA-implementeringen. Vi diskuterer gerne uforpligtende, hvordan due diligence-forpligtelser, kontraktuelle arrangementer og tekniske beviser kan struktureres rent.
Komponenter til integration sikre som standard
Et særligt praktisk spørgsmål adresseres af CEMA-vejledningen i et separat afsnit: må komponenter beregnet til integration i et slutprodukt leveres med sikkerhedsfunktioner ikke aktiveret?
Svaret er: ja, under visse betingelser. Begrundelsen: hvis en komponent allerede er fuldt konfigureret og sikret, kan dette gøre integrationen betydeligt vanskeligere. OEM'en ville først skulle deaktivere sikkerhedsfunktioner for at udføre integrationen og derefter rekonfigurere dem bagefter - hvilket kunne skabe yderligere angrebsoverflade.
Eksempel: en kontrolenhed med et kryptografisk modul leveres uden prækonfigurerede nøgler og med privilegerede funktioner deaktiveret. OEM'en kan indlæse nøglerne under integration og aktivere sikkerhedsfunktionerne uden at kræve autentificering.
Forudsætningen er dog, at leverandøren giver OEM'en præcise instruktioner om, hvordan komponenten skal konfigureres sikkert efter integration (bilag II nummer 8(f)). Alle nødvendige sikkerhedsfunktioner skal være til stede på tidspunktet for markedsføring - de behøver blot ikke at være aktiveret.
Denne fortolkning muliggør en pragmatisk arbejdsdeling i forsyningskæden uden at kompromittere CRA's mål om et sikkert slutprodukt.
Supportperioder
CRA kræver, at producenter afhjælper sårbarheder i en defineret supportperiode. Den periode skal afspejle produktets forventede levetid og er mindst fem år.
For landbrugsmaskinsektoren foreslår CEMA en supportperiode på mindst ti år. Begrundelsen: landbrugsmaskiner har typisk lange servicecykler. Traktorer bruges ofte intensivt som primært arbejdsudstyr i otte til ti år og fortsætter derefter i sekundære roller. De produceres i højere antal og repræsenterer derfor potentielle primære mål for cyberangreb.
Ti-års supportperioden er underlagt to forbehold: leverandører af komponenter, der leverer kernefunktioner, skal også levere sårbarhedsinformation over denne periode. Og eksterne faktorer, der påvirker kompatibilitet - såsom forældelse af udviklingsværktøjer eller tab af ekspertise - må ikke gøre opdateringer umulige.
Derudover: når en opdatering er blevet offentliggjort, skal den forblive tilgængelig og installerbar i ti år.
Skel og almindelige misforståelser
CEMA-vejledningen adresserer også flere hyppige fejlfortolkninger af CRA.
Reservedele
Identiske reservedele fremstillet til samme specifikationer som de komponenter, de erstatter, er undtaget fra CRA - uanset om det oprindelige produkt stadig fremstilles, eller supportperioden er udløbet. Dette gælder kun for virkelig identiske dele. Hvis en komponent ændres på grund af forældelse, skal det undersøges, om dette udgør en væsentlig ændring.
Skræddersyede produkter
CRA tillader kontraktuelle afvigelser fra de væsentlige cybersikkerhedskrav for skræddersyede produkter. Dette vedrører produkter udviklet til et specifikt forretningsformål og en specifik erhvervskunde, hvor begge parter udtrykkeligt har aftalt alternative kontraktuelle betingelser. Adskilt fra dette er komponenter udviklet i co-design mellem to eller flere økonomiske operatører. Sådanne komponenter, bestilt før fremstillingen er afsluttet, betragtes ikke som "markedsført" og falder ikke under CRA.
Vigtige og kritiske produkter
Bilag III og IV til CRA lister produktkategorier underlagt en udvidet overensstemmelsevurderingsprocedure. Den afgørende faktor er produktets kernefunktionalitet. Hvis en komponent listet i bilag III eller IV integreres i et slutprodukt, arver slutproduktet ikke automatisk komponentens klassifikation - medmindre slutproduktet selv leverer kernefunktionaliteten for den listede produktkategori.
Fri og open source-software
CRA dækker også FOSS-komponenter, når de integreres i et kommercielt produkt. Producenten af slutproduktet er ansvarlig for at afhjælpe sårbarheder i alle integrerede FOSS-komponenter, selv hvis den oprindelige udvikler ikke har noget kommercielt forhold til producenten.
Vejledning til forberedelsesperioden
CEMA-vejledningen er et eksempel på, hvordan brancheforeninger kan give orientering til deres medlemmer i perioden før nye reguleringer træder i kraft. Den erstatter hverken selve forordningen eller fremtidige harmoniserede standarder, og den er ikke juridisk bindende. Ikke desto mindre tjener den en vigtig funktion: den skaber en fælles forståelse inden for en sektor for fortolkningsspørgsmål, der opstår fra den sektors særlige forhold.
For producenter af landbrugsmaskiner indebærer CRA betydelige tilpasninger i udviklingsprocesser, leverandørstyring og supportstrukturer. Forberedelser bør begynde tidligt, selvom reguleringen først bliver fuldt anvendelig i december 2027. Nøglehandlingsområder er implementering af en sårbarhedshåndteringsproces, kontraktuel og teknisk afklaring af ansvarsfordeling med leverandører, definition af supportperioder og tilpasning af teknisk dokumentation.
Vidreutviklingen af harmoniserede standarder, offentliggørelsen af gennemførelsesakter af kommissionen og praxis fra markedsovervågningsmyndigheder vil konkretisere fortolkningen af CRA i de kommende måneder. Branchespecifik vejledning som CEMA-vejledningen hjælper med at sikre, at denne konkretisering tager hensyn til den tekniske og økonomiske virkelighed i de berørte sektorer.
Brancheguider som CEMA-vejledningen giver vigtig orientering, men erstatter ikke en individuel vurdering. Hvis du ønsker at forstå, hvad CRA specifikt betyder for dine produkter, din forsyningskæde og din supportstrategi, kan dette struktureres og klassificeres i en uforpligtende diskussion.