EU innfører 24-timers varslingsplikt for smarte enheter fra 11. september

Fra og med 11. september 2026 plikter produsenter av smarte enheter å rapportere aktivt utnyttede sikkerhetshull til EUs cybersikkerhetsbyrå ENISA innen 24 timer etter at de er blitt klar over dem. Det fremgår av EU-kommisjonens informasjon om rapporteringsforpliktelsene under Cyber Resilience Act.

Loven gjelder produkter med digitale elementer som selges i EU, og dekker etter Kommisjonens egen beskrivelse alt fra babymonitorer og smartklokker til apper og programvare med digitale komponenter. Det betyr i praksis at hjemmerutere, IP-kameraer, smarte høyttalere, smartklokker og en lang rekke andre tilkoblede enheter omfattes.

Tre frister produsentene må holde

Det er ikke bare 24-timersvarselet som gjelder. Innen 72 timer må produsentene levere en full meldingsrapport, og senest 14 dager etter at en utbedring er tilgjengelig skal en sluttrapport være på plass. For alvorlige sikkerhetshendelser er fristen for sluttrapport én måned.

All rapportering skal skje gjennom én felles digital kanal, kalt Single Reporting Platform. ENISA, EUs byrå for cybersikkerhet, har ansvaret for plattformen og beskriver den som et teknisk verktøy til melding av aktivt utnyttede sårbarheter og hendelser som påvirker produkter med digitale elementer i EUs indre marked. Plattformen skal etter planen være operativ samme dag som rapporteringsplikten trer i kraft.

Når en produsent leverer en melding, sendes den samtidig til ENISA og til den nasjonale Computer Security Incident Response Team-enheten i landet der produsenten har sitt hovedsete. Derfra deles informasjonen videre til CSIRT-er i øvrige medlemsland der produktet selges.

Bøter på inntil 15 millioner euro

Cyber Resilience Act trådte i kraft 10. desember 2024, men hovedkravene gjelder først fra 11. desember 2027. Rapporteringsplikten kommer altså som første konkrete byrde for bransjen, halvannet år før resten av regelverket blir bindende.

Brudd på rapporteringskravet kan ifølge regelverket straffes med administrative bøter på inntil 15 millioner euro, eller opptil 2,5 prosent av selskapets globale årsomsetning. Det høyeste beløpet er det som gjelder. Mikro- og småbedrifter er likevel unntatt fra bøter knyttet til selve 24- og 72-timersfristene.

Håndhevingen ligger hos nasjonale markedstilsyn i medlemslandene, som også kan kreve at produkter trekkes fra markedet.

Hva endrer seg hjemme i stua

For forbrukere ligger den synlige effekten lenger frem i tid, når de fulle kravene til produktdesign slår inn fra slutten av 2027. Da skal nye enheter på EU-markedet etter Kommisjonens egne ord oppfylle obligatoriske krav til cybersikkerhet gjennom hele livsløpet, fra design og utvikling til vedlikehold, og bære CE-merket som bevis på samsvar.

Sikkerhetsselskapet Bitdefender peker på at forbrukerne kan forvente sterkere standardinnstillinger, krav om passordbytte ved oppsett og automatiske sikkerhetsoppdateringer på blant annet smartplugger, overvåkingskameraer, robotstøvsugere og mesh-rutere. Selskapet understreker samtidig at reguleringen ikke kan lappe enheter som allerede står i smarte hjem, og at gevinsten først kommer med nye kjøp.

Norge er gjennom EØS-avtalen tett knyttet til EUs indre marked, og produkter som lovlig selges i EU er i praksis også de samme som tilbys norske forbrukere. Når kravene strammes for produsentene i EU, vil det altså raskt merkes på hyllene i norske butikker, både fysisk og på nett.