Netöryggi hugbúnaðar er lykilatriði í vexti hugverkaiðnaðar

Unnur Kristín Sveinbjarnardóttir skrifar 10. maí 2026 14:00

Á undanförnum árum hefur orðið ljóst að rót margra alvarlegra öryggisatvika liggur ekki einungis í flóknum árásum ógnaraðila heldur liggur hún í veikleikum í þeim hugbúnaði sem innviðir og fyrirtæki byggja þjónustu sína á. Jen Easterly, fyrrverandi forstjóri bandarísku netöryggisstofnunarinnar CISA, hefur lýst þessu svo að heimurinn standi ekki frammi fyrir netöryggisvanda heldur gæðavanda í hugbúnaði. Sú lýsing hittir að mörgu leyti í mark, enda hafa fjölmörg nýleg alvarleg atvik átt upptök sín í hugbúnaði eða þjónustu frá birgjum sem tengjast mikilvægum innviðum.

Netöryggi er þó víðtækara en svo að það verði rakið til hugbúnaðargæða eingöngu. Það tekur til skipulags, viðbragðsgetu og formfastrar áhættustýringar. Engu að síður gegnir hugbúnaður, og birgjakeðjan öll, lykilhlutverki í þessu samhengi. Veikleikar sem verða til við hönnun, þróun eða viðhald geta haft víðtæk áhrif, sérstaklega þegar um er að ræða kerfi sem tengjast fjarskiptum, orku, heilbrigðisþjónustu, flutningum eða annarri grunnstarfsemi samfélagsins. Þegar slíkir veikleikar eru nýttir geta afleiðingarnar orðið keðjuverkandi og náð langt út fyrir þann aðila sem upphaflega þróaði hugbúnaðinn.

Í ljósi þessarar þróunar hefur Evrópusambandið gripið til aðgerða með setningu nýrrar reglugerðar, Cyber Resilience Act (CRA), sem tók gildi árið 2024 og kemur til fullra framkvæmda í desember 2027. Með henni er í fyrsta sinn sett samræmt regluverk sem kveður á um lágmarkskröfur um netöryggi fyrir vörur með stafræna eiginleika, hvort sem um ræðir hugbúnað, vélbúnað eða tengdar gagnavinnslulausnir. Reglugerðin byggir á þeirri meginforsendu að netöryggi skuli vera hluti af hönnun og þróun vörunnar, skuli ná yfir allan líftíma vörunnar og skuli vernda gögn og kerfi.

Í framkvæmd felur þetta m.a. í sér að vörur með stafræna eiginleika skulu vera hannaðar með netöryggi að leiðarljósi, að sjálfgefnar stillingar séu öruggar og að þekktir veikleikar séu lágmarkaðir áður en vara er sett á markað. Gerð er krafa um að framleiðendur tryggi reglulegar og tímanlegar öryggisuppfærslur og komi á ferlum til að greina, tilkynna og bregðast við veikleikum sem upp kunna að koma. Þeir þurfa að framkvæma áhættumat, halda viðeigandi skjalfestingu, gefa út samræmisyfirlýsingu og merkja vörur með CE-merkingu til staðfestingar á því að þær uppfylli kröfur reglugerðarinnar. Skyldur eru þó ekki bundnar við framleiðendur eina, heldur ná einnig til innflytjenda og dreifingaraðila sem þurfa að ganga úr skugga um að vörur uppfylli skilyrði áður en þær eru gerðar aðgengilegar á innri markaðinum.

Markmið þessara krafna er ekki einungis að bæta tæknilegt öryggi einstakra vara heldur jafnframt að efla neytendavernd og styrkja grunnstoðir stafræns samfélags í heild. Með því að setja lágmarksviðmið á stafrænar vörur er leitast við að vernda bæði neytendur og fyrirtæki sem notendur slíkra vara, en ekki síður að draga úr áhættu í kerfum mikilvægra innviða sem byggja þjónustu sína og rekstur á mismunandi lausnum frá mismunandi aðilum. Að tryggja netöryggi í allri þjónustukeðju mikilvægra innviða er lykilatriði til að byggja upp traust og tryggja örugga virkni samfélaga. Á tímum alþjóðlegrar pólitískrar óvissu og átaka þar sem óvinveittir hópar og jafnvel ríki herja á kerfi mikilvægra innviða er ekki einungis nauðsynlegt að tryggja öryggi hugbúnaðar og annarra vara með stafræna eiginleika, það er orðið almannahagsmuna- og þjóðaröryggismál.

Þrátt fyrir að reglugerðin hafi hvorki verið tekinn upp í EES-samninginn né innleidd hér á landi mun hún engu að síður hafa bein áhrif á íslensk fyrirtæki sem starfa á eða selja vörur sínar á innri markaðinum. Þau þurfa að uppfylla kröfur hennar ef þau hyggjast bjóða vörur sínar þar til sölu. Þetta á við um stóran hluta þeirra fyrirtækja sem starfa á sviði hugbúnaðargerðar. Gildissvið reglugerðarinnar víðtækt og nær til allra vara með stafræna eiginleika.

Á sama tíma hefur vaxandi umræða verið um það hérlendis að hugverkaiðnaður, þar á meðal hugbúnaðarþróun, sé að verða einn helsti vaxtarbroddur íslensks atvinnulífs. Samtök iðnaðarins hafa ítrekað bent á þessa þróun í fjölmiðlum og lagt áherslu á mikilvægi þess að efla tæknigreinar sem grunnþátt í framtíðarútflutningi. Sú áhersla endurspeglast jafnframt í nýrri atvinnustefnu stjórnvalda, þar sem nýsköpun og tækniþróun eru skilgreind sem burðarás í uppbyggingu atvinnulífs sem byggir á þekkingu, hugviti og nýjum lausnum. Þar er lögð áhersla á að hugverka- og þekkingariðnaður sé drifkraftur verðmætasköpunar.

Í atvinnustefnunni er því skýrt kveðið á um að áframhaldandi vöxtur hugverkaiðnaðar sé lykilatriði fyrir aukinn útflutning og framleiðni, og að sérstakar stefnuáherslur um eflingu vísinda og nýsköpunar og tryggingu færni til framtíðar eigi að styðja við þá þróun. Fjarskiptastofa getur tekið undir þetta markmið enda er ljóst að mikil gróska er í íslensku nýsköpunarumhverfi hvað þennan iðnað varðar. Sést það m.a. í gegnum áhuga á netöryggisstyrkjum Eyvarar, hæfnisseturs Íslands í netöryggi sem Fjarskiptastofa leiðir. En í þessu ljósi er einnig augljóst að það regluverk sem mótar aðgengi að erlendum mörkuðum skiptir sköpum.

Það má því líta á hina nýju gerð, CRA, sem bæði áskorun og tækifæri. Hún kallar á aukna fagmennsku, skýrari ferla og meiri ábyrgð á þróun og líftíma hugbúnaðar og annarra stafrænna vara. Um leið getur hún styrkt stöðu þeirra fyrirtækja sem tileinka sér slíka nálgun snemma, enda verður öryggi og áreiðanleiki sífellt mikilvægari þáttur í samkeppni á alþjóðlegum mörkuðum. Fyrir lítið, opið hagkerfi sem byggir í auknum mæli á útflutningi hugverka getur þetta reynst lykilatriði. Fyrir íslenskan hugbúnaðariðnað felast í því skýr skilaboð: gæði og öryggi eru ekki aðeins tæknilegt atriði heldur lykill að trausti, samkeppnishæfni og áframhaldandi vexti.

Höfundur er sviðsstjóri netöryggissviðs hjá Fjarskiptastofu.