Nya informationssäkerhetskrav för radioutrustning tas i bruk 1.8.2025

Radioutrustning är trådlösa apparater som använder radiofrekvenser. Radioutrustning kan också vara hushållsutrustning med inbyggda radiokomponenter för trådlös anslutning.

Informationssäkerhetskraven gäller följande typer av radioutrustning:

• enheter som ansluts till internet, såsom WLAN-basstationer och smarttelefoner  
• leksaker
• barnavårdsutrustning, såsom babylarm  
• påklädbara anordningar, såsom smartklockor.  

Tillverkarens, importörens och försäljarens ansvar

Tillverkarens uppgift är att säkerställa att produkten uppfyller alla krav på informationssäkerhet som gäller den.

Importörerna och försäljarna ska å sin sida se till att endast produkter som uppfyller kraven säljs.

Hur säkerställs anordningarnas överensstämmelse med kraven?

Informationssäkerhetskraven i EU:s radioutrustningsdirektiv har fastställts i standardserien EN 18031:2024. Kommissionen har publicerat en tillämpningsanvisning för standarderna med ytterligare anvisningar.

Bedömningen av anordningens överensstämmelse med kraven kan göras på två sätt:

1. Enligt en harmoniserad standard, varvid tillverkaren själv kan påvisa att kraven uppfylls.  
2. Med hjälp av det anmälda organet, om en harmoniserad standard inte används eller om det är fråga om ett specialfall där det anmälda organets bedömning är obligatorisk.

Det anmälda organet ska vara godkänt inom tillämpningsområdet för RED 2014/53/EU och behörigt att bedöma informationssäkerhetskraven i artikel 3.3 punkterna d, e och f. Behörigheten kan kontrolleras i EU:s NANDO-databas.  

Övervakning

Traficom övervakar att de nya kraven följs. Vid behov kan produkter som strider mot bestämmelserna återkallas från marknaden.

Åren 2026 och 2027 kompletteras kraven och skyldigheterna för produkter

Under de kommande åren införs ytterligare krav och skyldigheter som anknyter till informationssäkerhet och rapportering.

Väsentliga cybersäkerhetskrav enligt CRA

Tillämpningen av EU:s cyberresiliensförordning (Cyber Resilience Act eller CRA) börjar den 11 december 2027. Därefter ska digitala produkter som kommer in på EU-marknaden uppfylla cybersäkerhetskraven enligt CRA. Syftet med förordningen är att förbättra informationssäkerheten hos produkter som kommer in på EU:s marknad. 

De väsentliga kraven genomförs riskbaserat. Kraven som gäller produkterna är bland annat

• säker standardkonfiguration och automatiska säkerhetsuppdateringar
• skydd mot obehörig åtkomst
• konfidentiell lagring av uppgifter och uppgiftsminimering
• skydd av centrala funktioner.

Rapportering av sårbarheter

Skyldigheten att rapportera sårbarheter träder i kraft den 11 september 2026. Produkttillverkarna ska underrätta aktivt utnyttjade sårbarheter som upptäcks i produkten till CSIRT-enheten vid Traficoms Cybersäkerhetscenter och till ENISA.

Rapporteringsskyldigheten gäller både nya och befintliga produkter som släpps ut på EU-marknaden. Tillverkaren är också skyldig att informera produktens användare om eventuella sårbarheter och åtgärdande av dem.

Tillverkarna ska rapportera om:

• aktivt utnyttjade sårbarheter som upptäckts i produkten
• allvarliga incidenter som påverkar produktens informationssäkerhet.