Á Haustfundi FUT 2025, sem fram fór 19. nóvember bæði stað- og á fjarfundur, var sjónum beint að Cyber Resilience Act og stöðu þess í íslenskum aðstæðum. Fundinn sóttu rúmlega tuttugu manns; nema fyrirlesarar tengdust allir í gegnum Teams. Sífellt líklegra virðist að haustfundir framtíðarinnar verði alfarið stafrænir.
Jóhann Þorvarðarson, formaður FUT, hóf dagskrána með yfirliti yfir starfsemi og hlutverk FUT – Fagstaðlaráðs í upplýsingatækni – innan ramma evrópskra staðlasamtaka, CEN og CENELEC, sem og ISO og IEC á alþjóðavettvangi.
Í kjölfarið kynnti Guðmundur Valsson, ritari FUT, meginefni Cyber Resilience Act og tengsl laganna við staðlastarf. Lögin taka gildi í Evrópu í desember 2027 og kalla á að framleiðendur nettengdra stafrænna vara – bæði vélbúnaðar og hugbúnaðar – hefji undirbúning töluvert fyrr, ætli þeir sér áframhaldandi veru á evrópskum markaði. Í umræðum var minnt á að gildistaka hér á landi krefst upptöku laganna í EES-viðaukana, sem gæti seinkað innleiðingu á Íslandi. Þrátt fyrir það verða íslensk fyrirtæki sem selja inn á evrópskan markað að vera tilbúin 2027, óháð því hvenær EES-ferlið klárast.
Cyber Resilience Act flokkar nettengdar vörur eftir áhættu, en gerir öllum – stórum sem smáum – að rita CE-samræmisyfirlýsingu um hvernig kröfum laganna er mætt. Þó er gert ráð fyrir einfaldara ferli fyrir lítil og meðalstór fyrirtæki, sem flest íslensk fyrirtæki falla undir. Allir aðilar í birgðakeðju þurfa jafnframt að geta sýnt fram á viðhaldsáætlanir, ferli til að bregðast við veikleikum og viðbúnað yfir allan líftíma vörunnar. Skylda hvílir á framleiðendum að tilkynna alvarlega veikleika til CERT-IS innan 24 klukkustunda, sem síðan miðlar þeim áfram til ENISA. Þessi miðlæga stjórnun á veikleikatilkynningum á að styrkja varnir, auka gagnsæi og byggja upp raunverulegt þol gegn netógnum. Þar er lögð rík áhersla á að öryggi sé innbyggt frá upphafi – „by default“ og „by design“ – og að vörur séu aldrei afhentar með þekktum veikleikum.
Arnar S. Gunnarsson, öryggisstjóri hjá OK, flutti erindið CRA – Milli reglugerðar og raunveruleika. Hann lýsti CRA sem mikilvægri framför, en jafnframt krefjandi – einkum fyrir smærri aðila þar sem kostnaður við CE-samræmi vegur þyngra hjá litlum fyrirtækjum en stórum. Þrátt fyrir einfaldara ferli fyrir smærri skipulagsheildir er þetta nýr, mannaflsfrekur verkþáttur. Arnar setti fram þá spurningu hvort stjórnvöld hygðust aðstoða við fjármögnun slíks undirbúnings.
Frá Defend Iceland hélt Hörn Valdimarsdóttir erindi sem sýndi svartari hlið veruleikans: "Ég læt þig vita af öryggisveikleka og þú kærir mig". Þar lýsti hún hversu langt netöryggismarkaðurinn sé frá því samstillta samstarfsumhverfi sem CRA gerir ráð fyrir. Fyrirtæki hræðast oft tilkynningar um veikleika, líta á þær sem ógn fremur en stuðning, og grípa jafnvel til kæruhótana gagnvart velviljuðum sérfræðingum. Vandinn sprettur af vanþekkingu, ótta, þöggun og skorti á skýrum ferlum – sérstaklega gagnvart birgjum og þjónustuaðilum. Með því að innleiða hlutverk þriðja aðila, eins og CERT-IS, telur hún að hægt sé að draga úr þessum hindrunum. Að því leyti sé CRA til mikilla bóta, þó óljóst sé enn hvernig tekst að útfæra þennan „draumaheim“ í framkvæmd.
Í lok fundar var því varpað fram hvort ástæða væri til að setja á fót spegilnefnd um Cyber Resilience Act innan FUT, þannig að sérfræðingar sem eru að hefja undirbúning geti átt sameiginlegan vettvang til að skiptast á þekkingu og fylgjast með þeirri staðlavinnu sem nú er að þróast á þessu sviði. Á næstunni verður kannaður grundvöllur slíkrar nefndar.
