EU-regelverk for cybersikkerhet - fra produktsikkerhet til styreansvar

Regjeringen varslet i januar at de nå starter arbeidet med å gjennomføre Cyber Resilience Act (CRA) i norsk rett. Dette er EUs første felles regelverk som stiller krav til cybersikkerhet for alle produkter med digitale elementer – fra smartklokker og vaskemaskiner til avansert programvare og industrielle styringssystemer.

Digitaliserings- og forvaltningsminister Karianne Tung understreker at forordningen er et nødvendig grep for å beskytte norske hjem mot kriminelle. Selv om hoveddelen av regelverket trer i kraft 11.desember 2027, vil enkelte bestemmelser gjelde allerede fra 2026.

Dette inkluderer blant annet produsentenes plikt til å rapportere om sårbarheter. «Regelverket skal redusere sårbarheter og sikre at produsenter blir ansvarlige for cybersikkerheten til alle digitale produkter med nettilkobling», uttalte statsråden i pressemelding fra regjeringen.

– En ren produktsikkerhetslov

For jurister er det viktig å forstå at CRA skiller seg fundamentalt fra for eksempel GDPR. Advokat og partner i Bull, Kristian Foss, forklarer forskjellen:

– Dette er egentlig en ren produktsikkerhetslov, i motsetning til en rettighetslov som personvernforordningen.

Foss peker på at vi befinner oss i en trend der alt kobles opp, noe som skaper sårbarheter. Han trekker frem eksempler som baderomsvifte og ventilasjonsanlegg på næringsbygg som vanlige angrepsveier for hackere.

– Du får jo nesten ikke kjøpt en baderomsvifte i dag som ikke er koblet opp. Oppvaskmaskiner, griller, alt kobles jo opp, og det medbringer selvfølgelig en risiko.

Mange norske selskaper produserer ikke varene selv, men importerer dem fra utlandet. Her ligger en betydelig juridisk risiko dersom man driver med såkalt «white labeling».

– Pliktene til produsenten gjelder for importører og distributører hvis de markedsfører et produkt under eget navn, forklarer Foss.

Dette betyr at norske selskaper som setter sin logo på et produkt fra for eksempel Kina, overtar det juridiske ansvaret for produktet som vanligvis ligger på produsenter, inkludert krav til sikkerhet og nødvendig dokumentasjon. Kontrakter og innkjøpsavtaler blir dermed et kritisk verktøy når man setter sitt eget navn på produktet.

Flere regelverk

Det mest dramatiske aspektet Foss trekker frem, er koblingen mellom CRA og andre cybersikkerhetsregelverk, og styreansvaret etter aksjeloven. Dersom en bedrift «sover i timen» og det oppstår en hendelse – for eksempel en brann forårsaket av hackede som har kontroll over varmekabler – kan i prinsippet søksmålene rette seg direkte mot daglig leder og styret personlig.

– I Heller-dommen fra 2016 sier Høyesterett at hvis du bryter med plikter som objektivt sett gjelder for deg, så er det presumpsjon for uaktsomhet.

Det betyr at dersom ledelsen ikke har sørget for at virksomheten har dokumentert sine risikovurderinger i tråd med CRA og ellers etterlevet regelverkene, stiller de svakt i en eventuell rettssak om personlig erstatningsansvar.

– Det er ikke ansvarsbetingende å bomme på en forretningsmessig vurdering, men du må ha gjort en vurdering. Det bør også dokumenteres at ledelsen faktisk har gjort en vurdering, og at CRAs krav er oppfylt, sier Foss.

Sanksjoner og tilsyn

Nasjonal kommunikasjonsmyndighet (Nkom) er utpekt som tilsynsorgan i Norge. De vil håndheve et sanksjonsregime der de strengeste bøtene kan komme opp i 15 millioner euro eller 2,5 % av den globale årsomsetningen for hele konsernet.

I tillegg må jurister navigere i samspillet med NIS2-direktivet, som også statuerer et personlig ansvar for ledelsen.

– Det strengeste regelsettet er det du blir utsatt for, sier Foss om overlappet mellom de to regelverkene.

Konklusjonen for norske jurister er klar: CRA er ikke bare en teknisk sjekkliste for ingeniører, men en strategisk risiko som krever styrets fulle oppmerksomhet og grundig juridisk dokumentasjon.