Digital säkerhet i tillverkningssektorn : En kvalitativ studie om EU:s Cyber Resilience Act och tillverkningsföretags arbete med säkerhetsluckor i produkter med digitala element. / Digital security in the manufacturing sector : A qualitative study on the EU:s Cyber Resilience Act and manufacturing companies' work with security gaps in products with digital elements.

Ivarsson, Jens, Malmström, David

January 2024

Produkter med digitala element utsätts alltmer frekvent för framgångsrika cyberattacker och därmed har EU introducerat Cyber Resilience Act. Förordningen har blivit godkänd och förväntas träda i kraft under 2024, men tillverkningsföretagen behöver inte uppfylla kraven förrän 2027. Det huvudsakliga kravet i förordningen är att tillverkningsföretag inte får ha några kända säkerhetsluckor i produkter med digitala element. Denna studie, Digital säkerhet i tillverkningssektorn, undersöker hur tillverkningsföretag förhåller sig till förordningen samt hur tillverkningsföretag förebygger, identifierar och hanterar säkerhetsluckor i produkter med digitala element. En kvalitativ metod genomfördes där nio respondenter intervjuades. Studien Digital säkerhet i tillverkningssektorn visar att tillverkningsföretagens förhållningssätt gentemot förordningen baseras på mognad och medvetenhet. Penetrationstest, sårbarhetshantering och patchhantering är de främsta metoderna som används för att förebygga, identifiera och hantera säkerhetsluckor. Människans kunskap är viktig för att skapa cyberresiliens, men varierar utifrån hur avancerad tekniken är i företaget och hur mycket mänsklig expertis som finns inom området. / Products with digital elements are increasingly subject to successful cyber attacks and with that the EU has introduced the Cyber Resilience Act. The regulation has been approved and is expected to enter into force in 2024, but the manufacturing companies do not have to meet the requirements until 2027. The main requirement of the regulation is that manufacturing companies must not have any known security gaps in products with digital elements. This study, Digital security in the manufacturing sector, examines how manufacturing companies relate to the regulation and how manufacturing companies prevent, identify and manage security gaps in products with digital elements. A qualitative method was carried out where nine respondents were interviewed. The study Digital security in the manufacturing sector shows that the manufacturing companies' approach to the regulation is primarily based on their maturity and awareness. Penetration testing, vulnerability management, and patch management are the main methods used to prevent, identify and manage security gaps. Human knowledge is important for creating cyber resilience, but varies based on how advanced the technology is in a company and how much human expertise there is within the field.

Cyber Resilience Act

Cyber Resilience

Security gap

Socio-technical perspective

Manufacturing companies

Cyber Resilience Act

Cyberresiliens

Säkerhetsluckor

Sociotekniskt perspektiv

Tillverkningsföretag

Information Systems