IoT går in i en ny fas där säkerhet, datadelning och livscykelhantering inte längre är valfria designval utan regulatoriska krav. Flera EU-initiativ samverkar nu och påverkar allt från hårdvara till moln och dataflöden. Känner du dig överväldigad av de nya regleringarna? Läs mer nedan där jag spaltat upp en tidslinje över vad som kommit och kommer, det är mycket att ta in på en gång.
Det positiva: IoT World har en ny arbetsgrupp som behandlar detta. I arbetsgruppen skall säkerhet och livscykelhantering för IoT behandlas. Tillsammans lägger vi grunden för en grupp som gör skillnad på riktigt. Missa inte chansen att hänga med från start där vi kan hjälpa varandra så att vi snabbare kan accelerera tillämpningen av IoT i Sverige.
Tre områden som formar IoT-utvecklingen
- Organisationskrav som NIS2 som påverkar hur IoT-lösningar upphandlas och förvaltas
- Cybersäkerhetskrav kopplade till IoT-produkter, hårdvara, plattformar och uppkoppling
- Hållbarhets- och spårbarhetskrav genom digitala produktpass och livscykelstyrning
Syftet med denna genomgång är att skapa en startpunkt för en utveckling som på sikt förändrar hur IoT-produkter designas, används och avvecklas.
NIS2 – organisationsstyrd cybersäkerhet
NIS2 är inte ett regelverk som riktas specifikt mot IoT, utan ställer krav på cybersäkerhet i organisationer. Det gäller inte IoT-produkten i sig, men påverkar hur lösningar används, upphandlas och förvaltas.
Regelverket omfattar samhällsviktiga och viktiga sektorer som energi, transport, hälso- och sjukvård, vatten, digital infrastruktur och vissa digitala tjänsteleverantörer. Det reglerar riskhantering, incidentrapportering och säkerhet i leveranskedjan.
Även om det inte ställer direkta krav på IoT-produkters konstruktion, driver det indirekt krav genom leverantörskedjan eftersom organisationer måste säkerställa att även deras leverantörer uppfyller säkerhetskraven.
En ny regulatorisk verklighet inom IoT
Flera EU-regelverk införs stegvis och samverkar kring cybersäkerhet, data och livscykelhantering för IoT-produkter. Tillsammans påverkar de hur IoT-produkter designas, används och förvaltas.
AI Act – 1 augusti 2024
AI Act införs stegvis och ställer krav på riskklassning, dokumentation och transparens. För IoT-produkter är det främst relevant när AI används i reglerade eller hög-risk-sammanhang.
Cyber Resilience Act – 10 december 2024
Cyber Resilience Act omfattar IoT-produkter med digitala element och introducerar krav på secure by design, secure by default samt livscykelansvar för säkerhet.
RED cybersäkerhetskrav – 1 augusti 2025
För radioutrustning och uppkopplade IoT-produkter börjar cybersäkerhetskrav gälla. Dessa omfattar skydd av nätverk, personuppgifter och skydd mot bedrägeri.
IoT-produkter ska inte kunna orsaka skadlig påverkan på nät eller tjänster.
Kraven konkretiseras genom harmoniserade standarder, vilket innebär verifierbar efterlevnad via testning och dokumentation.
Data Act – 12 september 2025
Data Act reglerar hur data från uppkopplade IoT-produkter ska göras tillgänglig, delas och användas. Detta innebär att IoT-produkter behöver designas för datatillgänglighet från början, inklusive möjligheten att dela data med användare och tredje part.
AI Act – 2 augusti 2026
De flesta regler i AI Act börjar gälla. För IoT-produkter är detta relevant när AI är en integrerad del av produkten.
Cyber Resilience Act – 11 september 2026
CRA:s första operativa krav börjar gälla, framför allt rapportering av aktivt utnyttjade sårbarheter och allvarliga incidenter. Säkerhetsarbete blir därmed en kontinuerlig del av produktansvaret även efter lansering.
Data Act – 12 september 2026
Data Act blir fullt tillämplig på nya IoT-produkter. Krav ställs på att data ska vara tillgänglig för användaren och kunna delas med tredje part. Detta driver konkreta designkrav redan i produktutvecklingen.
Cyber Resilience Act – 11 december 2027
CRA blir fullt tillämplig och omfattar då hela livscykeln för IoT-produkter, från design till avveckling, inklusive kontinuerlig sårbarhetshantering och säkerhetsuppdateringar.
Tillsammans innebär detta en tydlig upprampning av reglering som påverkar hela IoT-stacken. Bakom detta finns ett växande behov av strukturerat arbete med secure by design och livscykelhantering av säkerhet, där ansvar inte längre slutar vid leverans utan sträcker sig över hela produktens livstid.
Digitala produktpass
Digitala produktpass är en central del i EU:s arbete med att koppla samman hållbarhet, spårbarhet och produktdata över hela livscykeln.
För IoT-produkter innebär detta att varje enhet behöver kunna kopplas till strukturerad information om innehåll, ursprung, prestanda och användning över tid.
Kraven införs stegvis inom ramen för Ecodesign for Sustainable Products Regulation (ESPR), till exempel genom batteripasset från 2027.
Det innebär att data inte bara ska samlas in, utan vara spårbar, uppdaterad och möjlig att dela mellan aktörer i värdekedjan. För IoT-produkter blir detta en naturlig förlängning av funktionaliteten, men det ställer samtidigt krav på hur system och plattformar byggs.
Livscykelhantering blir en del av produktens faktiska egenskaper. För den som utvecklar eller säljer IoT-produkter innebär det att datamodeller, spårbarhet och åtkomst måste finnas på plats från start, inklusive säker avveckling där känslig information och nycklar hanteras och destrueras korrekt.
Jag tipsar slutligen om ett inlägg jag skrev på Induos sida som går litet mer till botten med de olika regelverken.