PROSA mener: EU-forslag om cybersikkerhed mangler forbruger-fokus

Ifølge Digitaliseringsministeriet er Europarådet blevet enige om en holdning til den nye ”forordning om horisontale cybersikkerhedskrav til produkter med digitale elementer”, også kendt som Cyber Resilience Act. Forbundssekretær i PROSA, Morten Rønne, har set på lovforslaget og mener, at forbrugernes "right to repair" og genanvendelse af it-udstyr kan komme i farezonen.

I en pressemeddelelse skriver ministeriet blandt andet:

”Hvert år udsættes tusindvis af forbrugere, virksomheder og offentlige myndigheder for cyberkriminalitet. Og antallet af angreb er stigende. Cyberkriminalitet er dyrt for samfundet og kostede i 2021 det danske samfund over 1,8 milliarder kroner. Samtidig underminerer angrebene ofte grundlæggende rettigheder, som beskyttelse af personoplysninger og privatliv. De fleste af angrebene skyldes, at der ikke er tilstrækkelig cybersikkerhed i de digitale produkter.

Derfor har regeringen, siden september sidste år, forhandlet et lovforslag i EU, som skal sikre et minimumsniveau af cybersikkerhed i digitale produkter, der sælges i EU. Nu er lovforslaget kommet et stort skridt nærmere, da man i Rådet, som består af alle EU-medlemslandenes regeringer, er blevet enige om en fælles holdning og dermed er klar til de afsluttende forhandlinger med Europa-Parlamentet. Loven forventes at være endeligt vedtaget ved udgangen af året.”

PROSAs forbundssekretær Morten Rønne mener, at der er mange gode intentioner og mange skridt i rigtige retninger i lovforslaget, men der er også uafklarede spørgsmål, som PROSA gerne går i dialog med den danske minister om.

Cybersikkerhed til produkter med digitale elementer

I lovforslaget lægges der op til, ”at fabrikanterne tager sikkerheden alvorligt i hele et produkts livscyklus”. Men kravet til opdateringer er i produktets levetid eller 5 år, hvad end der er kortest. Der jo en reklamationsret på 2 år. Hvis en leverandør erklærer, at produktet kun forventes at leve i 2 år, stopper opdateringsforpligtelsen så her? Kravet skal, så vidt vi kan se, gælde fra det øjeblik et produkt bringes i omsætning på EU-markedet. Dvs. at man som leverandør kan sige, at levetiden på et produkt er 2 år, hvorefter produkter fra starten af det tredje år, ikke længere skal have opdateringer, fordi produktets levetid fer overskredet. Det kan blive en udfordring i forbindelse med genbrug og retten til reparation.
  

Hvad med Open Source?

I forbindelse med software er der nogle klasser af software og hardware, som har yderligere krav til sikkerheden, hvor fabrikanten eller importøren skal dokumentere, at systemet er sikkert. 

”Men hvad med Open Source. Hvem skal have ansvaret her? Hvis enkelte virksomheder kan blive ansvarlig ved at importere Open Source-kode, og bruge det i deres produktion, kan det blive dræbende for Open Source,” siger Morten Rønne.