Baggrund og udbytte

Er din virksomhed producent, importør eller distributør af hardware eller software i EU? Så bliver I direkte omfattet af den nye Cyber Resilience Act (CRA), som indfører bindende cybersikkerhedskrav for stort set alle produkter med digitale elementer – fra IoT-enheder og smart-home-udstyr til industrielle kontrolsystemer og almindelig software.CRA-forordningen har til formål at beskytte hele det indre marked ved at sikre, at produkter er sikre gennem hele deres livscyklus. Dette medfører en række nye, markante forpligtelser for virksomheder, herunder krav til risikovurdering, "security-by-design", sårbarhedshåndtering og obligatorisk indberetning til myndighederne. Overtrædelser kan medføre bøder på op til 15 mio. euro eller 2,5 % af den globale omsætning.På dette kursus får du en praktisk gennemgang af CRA-forordningens krav. Vi oversætter de komplekse juridiske tekster til konkrete aktiviteter, så du bliver i stand til at rådgive din virksomhed eller dine kunder om, hvordan man opnår og vedligeholder compliance. En del af gennemgangen baseres på konkrete cases.Du får bl.a. indsigt i:

• Forordningens omfang: Hvilke produkter og aktører er omfattet, og hvem bærer ansvaret – producent, importør og distributør?
• Væsentlige sikkerhedskrav: En konkret gennemgang af kravene til design, udvikling og produktion
• Overensstemmelsesvurdering og CE-mærkning: Forstå processen for, hvordan I dokumenterer og erklærer overensstemmelse
• Forpligtelser for hele værdikæden: Ansvarsfordelingen mellem producenter, importører og distributører
• Sårbarhedshåndtering og rapportering: De nye, skrappe krav til at håndtere og rapportere sårbarheder til f.eks. ENISA
• Samspil med anden lovgivning: Hvordan CRA spiller sammen med NIS2, GDPR, AI Act og produktsikkerhedslovgivningen
• Sanktioner og markedsovervågning: Konsekvenserne ved non-compliance og myndighedernes nye beføjelser

Indhold

Kurset er bygget op som en intensiv dag, hvor vi kombinerer juridisk teori med praktiske eksempler og cases.På kurset kommer vi ind på følgende emner:

Introduktion til Cyber Resilience Act (CRA)

• Baggrund og formål: Hvorfor er CRA nødvendig?
• Hovedprincipper og struktur i forordningen
• Definitioner: Hvad er et "produkt med digitale elementer"?
• Anvendelsesområde og undtagelser (f.eks. medicinsk udstyr, biler)

Kerneforpligtelser for producenter

• Risikovurdering i hele produktets livscyklus
• Krav til "Security by Design and Default": Sikkerhed skal bygges ind - ikke påklistres
• Udarbejdelse af teknisk dokumentation, herunder "Software Bill of Materials" (SBOM)
• Sikring af forsyningskæden for tredjepartskomponenter

CE-mærkning og overensstemmelsesvurdering

• Den nye rolle for CE-mærket som garant for   cybersikkerhed
• Forskellige procedurer for overensstemmelsesvurdering:
  • Intern kontrol (selvevaluering)
  • Tredjepartsvurdering via bemyndigede organer
• Klassificering af produkter (standard vs. "kritiske" produkter)
• Udarbejdelse af EU-overensstemmelseserklæringen

Forpligtelser for importører og distributører

• Importørens ansvar for at verificere producentens compliance
• Distributørens "due care"-forpligtelse
• Håndtering af situationer, hvor et produkt ikke er i overensstemmelse

Sårbarhedshåndtering og rapportering

• Krav om at have en proces for løbende håndtering af sårbarheder
• Tidsfrister og procedurer for obligatorisk rapportering af aktivt udnyttede sårbarheder og alvorlige hændelser til     ENISA
• Kommunikation til brugere om sikkerhedsopdateringer

Markedsovervågning, håndhævelse og sanktioner

• De nationale markedsovervågningsmyndigheders rolle (f.eks. Sikkerhedsstyrelsen)
• Beføjelser til at kræve produkter trukket tilbage fra markedet
• De administrative bøderammer og konsekvenser ved manglende overholdelse.

Målgruppe

Kurset er for dig, der arbejder med produktudvikling, compliance, jura eller IT-sikkerhed i virksomheder, der producerer, importerer eller distribuerer produkter med digitale elementer.Målgruppen omfatter bl.a.:

• Advokater og jurister (in-house og eksterne)
• Compliance- og risk managers
• Produktchefer og R&D-ledere
• IT-sikkerhedschefer (CISO'er) og  -specialister
• Softwareudviklere og systemarkitekter
• Kvalitets- og certificeringsansvarlige (QA/QC)
• Indkøbs- og supply chain-ansvarlige
• Revisorer og konsulenter inden for IT-sikkerhed og regulering

 

Materiale

Du får udleveret relevant undervisningsmateriale.

Kurset er godkendt som obligatorisk efteruddannelse for advokater.