Udvalget for Digitalisering og It 2022-23 (2. samling)
DIU Alm.del Bilag 69
Offentligt
Sagsnr.
2023 - 1125
Doknr.
14953
Dato
20-04-2023
Opfølgning på teknisk gennemgang af Cyber Resilience Act den 12. april
2023
Eksempler på, hvad forordningen betyder for en almindelig lille virksomhed eller forening,
der ikke er producent af produkter med digitale elementer
Forslaget gælder for virksomheder, der enten selv producerer produkter med digitale elemen-
ter og bringer dem på det indre marked, eller som gør det på vegne af en anden virksomhed –
fx via import eller distribution.
Her skelnes der som udgangspunkt ikke mellem store og små virksomheder, men der er i for-
slaget åbnet for, at vurderingsorganer bør tage en virksomheds størrelse i betragtning, når de
fastsætter prisen for udførelse af overensstemmelsesvurderinger og test.
For virksomheder, der ikke producerer eller bringer produkter på markedet i eget navn, etab-
lerer forslaget ikke nogen forpligtelser. Der er altså ingen regler i forslaget om, at man som
erhvervsdrivende – lille eller stor – holdes ansvarlig for cybersikkerheden i produkter man bru-
ger.
Eksempel:
En lille virksomhed anvender som led i deres forretning bl.a. et tekstbehandlingspro-
gram, en computer og en kopimaskine. Pga. en sårbarhed i en eller flere af dem, bliver virksom-
heden hacket og følsomme informationer om deres kunder stjålet. Forslaget pålægger i denne
situation ikke virksomheden noget ansvar, hverken i forhold til deres kunder eller medarbejdere
eller for at rapportere det til myndighederne. Efter forslaget er det altså alene producenten eller
dennes repræsentant, der kan blive holdt ansvarlig.
Forpligtelser der følger af anden lovgivning, som fx om persondatabeskyttelse, arbejdsgiveran-
svar eller almindelig erstatningsret, gælder naturligvis stadig – det ændrer forslaget ikke ved.
Forslaget vil tværtimod stille virksomheder, der bruger produkter med digitale elementer bedre
end før. Dels fordi cybersikkerhedsniveauet i produkter løftes, men også fordi producenterne i
højere grad end før kan stilles til ansvar. Endelig vil både erhvervsdrivende og forbrugere også
få bedre adgang til information om sikkerheden i produkterne og hvordan de anvendes på en
sikker måde