Digital säkerhet i tillverkningssektorn : En kvalitativ studie om EU:s Cyber Resilience Act och tillverkningsföretags arbete med säkerhetsluckor i produkter med digitala element. / Digital security in the manufacturing sector : A qualitative study on the EU:s Cyber Resilience Act and manufacturing companies' work with security gaps in products with digital elements.

Ivarsson, Jens, Malmström, David

January 2024

Produkter med digitala element utsätts alltmer frekvent för framgångsrika cyberattacker och därmed har EU introducerat Cyber Resilience Act. Förordningen har blivit godkänd och förväntas träda i kraft under 2024, men tillverkningsföretagen behöver inte uppfylla kraven förrän 2027. Det huvudsakliga kravet i förordningen är att tillverkningsföretag inte får ha några kända säkerhetsluckor i produkter med digitala element. Denna studie, Digital säkerhet i tillverkningssektorn, undersöker hur tillverkningsföretag förhåller sig till förordningen samt hur tillverkningsföretag förebygger, identifierar och hanterar säkerhetsluckor i produkter med digitala element. En kvalitativ metod genomfördes där nio respondenter intervjuades. Studien Digital säkerhet i tillverkningssektorn visar att tillverkningsföretagens förhållningssätt gentemot förordningen baseras på mognad och medvetenhet. Penetrationstest, sårbarhetshantering och patchhantering är de främsta metoderna som används för att förebygga, identifiera och hantera säkerhetsluckor. Människans kunskap är viktig för att skapa cyberresiliens, men varierar utifrån hur avancerad tekniken är i företaget och hur mycket mänsklig expertis som finns inom området. / Products with digital elements are increasingly subject to successful cyber attacks and with that the EU has introduced the Cyber Resilience Act. The regulation has been approved and is expected to enter into force in 2024, but the manufacturing companies do not have to meet the requirements until 2027. The main requirement of the regulation is that manufacturing companies must not have any known security gaps in products with digital elements. This study, Digital security in the manufacturing sector, examines how manufacturing companies relate to the regulation and how manufacturing companies prevent, identify and manage security gaps in products with digital elements. A qualitative method was carried out where nine respondents were interviewed. The study Digital security in the manufacturing sector shows that the manufacturing companies' approach to the regulation is primarily based on their maturity and awareness. Penetration testing, vulnerability management, and patch management are the main methods used to prevent, identify and manage security gaps. Human knowledge is important for creating cyber resilience, but varies based on how advanced the technology is in a company and how much human expertise there is within the field.

Cyber Resilience Act

Cyber Resilience

Security gap

Socio-technical perspective

Manufacturing companies

Cyber Resilience Act

Cyberresiliens

Säkerhetsluckor

Sociotekniskt perspektiv

Tillverkningsföretag

Information Systems

Cyber Resilience Act och utveckling av produkter med digitala delar : Är svenska mjukvaruföretag redo för lagkraven?

Carlsson, Anton

January 2023

The number of products with digital elements in the world is increasing rapidly every year followed by a rising number of cyberattacks against them. To address the substantial number of products with digital elements that have inadequate cybersecurity measures the European Commission has proposed the Cyber Resilience Act. The act imposes requirements on the cybersecurity measures of all products with digital elements, this includes all products that have a direct or indirect logical or physical data connection to another device or to a network. This study investigates the awareness of Swedish software companiesregarding the Cyber Resilience Act, as well as their current development processes. The research methodology employed in this study includes a literature review and semi-structured interviews with selected software companies. The study concludes that only a small number of companies are aware of the bill, and many will need to modify or entirely revamp their development processes to comply with the legal requirements. Furthermore,there is also some discussion about the Cyber Resilience Act's position in European legislation and the development principles that can assist companies in fulfilling the legal requirements proposed. / Antalet produkter med digitala delar i världen ökar markant varje år och det gör även cyberattackerna mot dessa. I ett försök att hantera det stora antalet produkter med bristande cybersäkerhetsåtgärder så har europakommissionen kommit med ett lagförslag, Cyber Resilience Act. Cyber Resilience Act ställer krav på cybersäkerhetsåtgärderna hos alla produkter med digitala delar vilket innefattar alla produkter som har en direkt eller indirekt logisk eller fysisk dataanslutning till en annan enhet eller till ett nätverk. I den här uppsatsen undersöks svenska mjukvaruföretags medvetenhet om Cyber Resilience Act samt hur utvecklingsprocesser i dagsläget ser ut påföretagen. Undersökningen har skett i form av litteraturstudie samt semistrukturerade intervjuer med företag. Slutsatserna som dras från uppsatsen är att väldigt få företag är medvetna om lagförslaget och många företag kommer behöva modifiera eller helt ändra sina utvecklingsprocesser för att bemöta lagkraven. Cyber Resilience Acts plats i europeisk lagstiftning samt utvecklingsprinciper som kan hjälpa företag att uppfylla lagkraven diskuteras även i uppsatsen.

Cyber Resilience Act

Cybersäkerhet

EU Cyberlagar

Produkter med digitala delar

Uppkopplade produkter

Engineering and Technology

Teknik och teknologier

Law

Juridik