Søgning

Product compliance

14. juli 2026

Cybersikkerhed i maskiner

I 2017 mistede et nordamerikansk kasino en større mængde data (angiveligt 10 GB data med kasinoets liste over storkunder) ud gennem et akvarium. Kasinoet havde installeret et højteknologisk akvarie med sensorer, der automatisk regulerede temperatur, saltindhold og fodring. En hacker fandt vej ind gennem forbindelsen til akvariet, bevægede sig videre i netværket og sendte data ud til en server i Finland, før det blev opdaget.

Cybersikkerhed i maskiner

Eksemplet viser, hvordan produkter er blevet mere forbundne, og hver ny forbindelse er samtidig en mulig indgang for en hacker. Som med akvariet kan maskinen være vejen videre ind i netværket og dermed årsag til skade hos køberen. Derfor er cybersikkerhed ikke længere kun et teknisk spørgsmål, det bliver også et spørgsmål om, hvem der hæfter, når skaden sker. Det afgøres af ansvar, aftaler og forsikring.

Udfordringerne er indgående behandlet i EU, bl.a. i rapporten med overskriften ”Study on the need of Cybersecurity requirements for ICT products” i 2020. I kølvandet herpå er der på EU-plan vedtaget en række lovgivningstiltag med henblik på at øge cybersikkerheden i fysiske produkter, herunder maskiner.

Fra 2027 stiller nye EU-regler for første gang egentlige cybersikkerhedskrav til selve maskinen. Det får betydning for både dig, der fremstiller maskiner, og dig der køber dem. Vi går ikke i dybden med alle reglernes detaljer, men ser i stedet på det, der har størst betydning for din risiko i praksis. Først hvad reglerne kræver af maskinen og dernæst de tre områder, hvor juraen møder praksis, nemlig aftalegrundlaget, instruktionerne og forsikringen.

Hvad maskinforordningen kræver af maskinen

Fra den 20. januar 2027 finder maskinforordningen (EU 2023/1230) anvendelse. Den afløser det hidtidige maskindirektiv og bliver det regelsæt, som en maskine skal efterleve for, at den må bringes i omsætning i EU. Forordningen bygger ligesom direktivet på en kerne af grundlæggende sikkerheds- og sundhedskrav. Her spiller særligt „safety components” en central rolle, altså de komponenter, der varetager en sikkerhedsfunktion, og hvis svigt direkte øger risikoen for skader.

Det nye er, at forordningen for første gang også stiller egentlige cybersikkerhedskrav til selve maskinen. Forbindelsen mellem sikkerhed og cybersikkerhed bliver altså udtrykkelig. Når en sikkerhedsfunktion kan påvirkes udefra, bliver beskyttelsen mod den påvirkning også et sikkerhedsspørgsmål.

En del af kravene vedrører beskyttelse mod forvanskning (maskinforordningens bilag III, punkt 1.1.9). Det handler kort sagt om, at maskinens forbindelse til andet udstyr tilsigtet eller utilsigtet ikke må kunne udnyttes til at skabe farlige situationer, og at den software og de data, der er afgørende for maskinens sikkerhedsfunktioner, skal kunne identificeres, beskyttes og dokumenteres. Med dokumentation menes, at maskinen skal logge både reglementeret og ureglementeret indtrængen i softwaren.

Andre cybersikkerhedskrav vedrører styresystemernes sikkerhed og pålidelighed (maskinforordningens bilag III, punkt 1.2.1). Styresystemet skal kunne modstå ydre påvirkninger i det omfang, det med rimelighed kan forudses.

Forordningen angiver ikke noget skæringstidspunkt, men da kravene knytter sig til den maskine, der bringes i omsætning, må forudsigeligheden som udgangspunkt vurderes ud fra den viden, der forelå, da maskinen blev leveret. Man kan fx søge i anerkendte kilder som ENISA’s publikationer, der omfatter et årligt ”Threat Landscape” eller standardserien ISA/IEC 62443, som beskriver de mest udbredte angrebsmønstre mod industrielle styresystemer.

Det giver fabrikanten noget at arbejde med, men forudsætter en dokumenteret risikovurdering, der fastlægger, hvad et passende sikkerhedsniveau er for netop den maskine i netop dens anvendelse. Det er også den vurdering, der senere kan dokumentere, at man har gjort, hvad man med rimelighed kunne både over for myndigheder og køber, der mener, maskinen svigter.

Mange maskiner vil i øvrigt være omfattet af både maskinforordningen og Cyber Resilience Act (CRA), fordi de er “produkter med digitale elementer”. Et sådant produkt skal overholde cybersikkerhedskravene i begge regelsæt. Overholdelse af det ene kan ikke automatisk anses for også at opfylde det andet. Da kravene på visse områder adresserer lignende risici, kan opfyldelse af CRA-kravene lette overholdelsen af punkt 1.1.9 og 1.2.1 i maskinforordningens bilag III.

Fabrikanten skal dog selv påvise synergien på grundlag af en risikovurdering, fx ved at anvende harmoniserede standarder eller andre relevante tekniske specifikationer. De to regelsæt bør med andre ord tænkes sammen.

Flere og skærpede fra til cybersikkerhed i maskiner (og andre produkter)

Cyber Resilience Act (CRA) er EU’s første samlede regelsæt om cybersikkerhed i produkter, som blev vedtaget i 2024, og træder trinvist i kraft fra efteråret 2026 og frem.

Regelsættet har sikre, at produkter med digitale elementer er sikre gennem hele deres levetid, og indeholder krav, som overlapper betydeligt med maskinforordningens krav til cybersikkerhed: Hvor maskinforordningen retter sig mod maskinens sikkerhed, stiller CRA bredere krav til alle „produkter med digitale elementer“, altså produkter med hardware eller software, der kan forbindes til andet udstyr eller et netværk. Mange maskiner vil derfor være omfattet af begge regelsæt.

En maskine skal CE-mærkes, før den bringes i omsætning. Fra 2027 kan den ikke CE-mærkes, hvis cybersikkerhedskravene ikke er opfyldt. Er maskinen omfattet af både maskinforordningen og CRA, skal overensstemmelsen påvises efter begge regelsæt. Det dokumenteres i overensstemmelseserklæringen, der angiver de relevante retsakter, og risikovurderingen er en del af det grundlag.”

Tidsmæssigt forskyder de to regelsæt sig en smule. Maskinforordningen finder anvendelse fra den 20. januar 2027, mens fabrikanternes hovedpligt efter CRA først gælder fra den 11. december 2027. Rapporteringspligten gælder dog allerede fra september 2026. For en maskine, der er omfattet af begge regelsæt, er det derfor værd at have begge datoer for øje.

Vi arbejder på en uddybende artikel om CRA, som vil være klar på vores hjemmeside inden for nærmeste fremtid.

Aftalegrundlaget regulerer risikoen mellem parterne

Som i akvarie-eksemplet, er det sjældent maskinen selv, der er målet. Det er adgangen videre ind i netværket. Den dag et angreb går gennem en maskine og rammer køberens systemer, er det ikke kun et spørgsmål om, hvorvidt maskinen var “tilstrækkeligt sikret” i forordningens forstand.

Det kan blive et opgør om meget mere, herunder hvem der skal dække skaden ved sikkerhedsbruddet, og dét afgøres ikke af maskinforordningen eller CRA, men af aftalen mellem leverandør og køber.

Hvis tilbud, leveringsbetingelser og kontrakt ikke tager stilling til ansvaret, vil udfyldende regler og tilfældigheder blive afgørende. Her har både leverandør og køber mest at vinde ved at være på forkant. Et gennemarbejdet aftalegrundlag vil typisk forholde sig til de grundlæggende spørgsmål.

Først og fremmest er det relevant at aftale, hvor leverandørens ansvar slutter. En maskine indgår næsten altid i et større it-miljø hos køberen, og uden en klar grænse risikerer leverandøren at hæfte for skader, der reelt opstod et andet sted. Det andet er, hvilket sikkerhedsniveau der loves, og hvilke forudsætninger det hviler på. Jo tydeligere det fremgår, hvad maskinen er bygget til at modstå, desto lettere er det bagefter at vurdere, om noget var en mangel, eller om risikoen lå uden for det aftalte.

Dertil kommer tidsdimensionen, som de nye regler gør mere relevante. Fordi sikkerhed efter CRA er en løbende forpligtelse, bør aftalen også forholde sig til, hvor længe og på hvilke vilkår der leveres sikkerhedsopdateringer, og hvad der gælder, når supportperioden er udløbet, mens maskinen stadig er i drift. Endelig spiller køberens egne forhold ind. Hvis maskinen forudsætter en bestemt opstilling eller drift, bør aftalen afspejle, at ansvaret forskydes, når køberen ikke følger forudsætningerne.

Hvordan elementerne i en aftale konkret balanceres, herunder hvordan ansvaret afgrænses, og hvordan indirekte tab håndteres, afhænger af den enkelte handel og af parternes styrkeforhold. Her er det værd at huske, at der ikke kan støttes ret på enhver ansvarsfraskrivelse. Er fraskrivelsen for vidtgående, kan den blive tilsidesat af domstolene, og en fuldstændig fraskrivelse rækker sjældent ved grov uagtsomhed og slet ikke ved forsætlige forhold. En afgrænsning, der er gennemtænkt og afbalanceret, står derfor stærkere end den, der blot fraskriver alt.

Vær også opmærksom på produktansvaret, der løber ved siden af aftalen. Forvolder maskinen skade på en person, kan det ansvar ikke fraskrives over for den skadelidte, og parternes egen aftale kan ikke afskære skadelidtes krav mod fabrikanten.

Det nye produktansvarsdirektiv, der skal være gennemført i dansk ret i december 2026, gør desuden produktets cybersikkerhed til en del af vurderingen af, om produktet er defekt. Fører en svigtende sikkerhedsfunktion til personskade, kan en maskine, der ikke opfylder cybersikkerhedskravene, derfor blive et produktansvarsspørgsmål, uanset hvad kontrakten siger.

Instruktioner og advarsler

Aftalegrundlaget står imidlertid ikke alene. For produkter med digitale elementer kræver CRA (bilag II, punkt 5), at brugeren oplyses om alle kendte eller forudsigelige omstændigheder ved produktets anvendelse, i overensstemmelse med det tilsigtede formål eller ved fejlanvendelse, der med rimelighed kan forudses, som kan medføre betydelige cybersikkerhedsrisici.

Det har konkret betydning for, hvad der skal stå i instruktioner og brugervejledninger. Hvis maskinen f.eks. forudsætter, at den placeres i et afgrænset netværkssegment, at fjernadgang sker via en bestemt sikker kanal, eller at visse porte holdes lukkede, skal brugeren oplyses om det. En anvisning, der er givet klart i instruktionen, flytter en del af risikoen tilbage til den bruger, der vælger at se bort fra den.

Indholdet af instruktionen er også med til at definere grænsen for, hvad fabrikanten har lovet. Skriver vejledningen, at maskinen skal placeres på et sikkert netværk, bliver drift på et usikkert netværk til et forudsigeligt misbrug, som ligger uden for den tilsigtede brug. Det signalerer samtidig, at fabrikanten måske ikke har taget højde for de risici, der opstår netop dér. Men den afgrænsning holder kun, hvis fabrikanten også har gjort brugeren opmærksom på det. Når et forudsigeligt misbrug stadig kan føre til betydelige cybersikkerhedsrisici, skal brugeren nemlig advares om det.

Det samme gælder for målgruppen. Et professionelt maskinværktøj til oplærte medarbejdere under arbejdsgiveropsyn, stiller andre krav end et produkt til ufaglærte. Er det tydeligt i instruktionen, hvilke forudsætninger og kompetencer der kræves, er det også lettere bagefter at dokumentere at en skade lå uden for det, maskinen var beregnet til.

Instruktioner og kontrakt bør derfor også have et vist samspil. Det er for eksempel vigtigt, at instruktionerne ikke lover noget, der fraskrives i.

Forsikring af risikoen

En aftale eller en instruktion kan flytte risiko, men den får den ikke til at forsvinde. Noget bliver tilbage. Det kan være den del, der ikke kan fraskrives, den del fabrikanten ikke vil tage ansvaret for eller den del, hvor afgrænsningen viser sig ikke at holde. Her kommer forsikringen ind i billedet.

Det er vigtigt at skelne mellem to forskellige forsikringer, fordi fabrikant og køber står med hver sin skadestype. En cyberforsikring dækker virksomhedens egne systemer, data og drift, altså forsikringstagerens eget tab, når et angreb rammer. Den dækker ikke ansvaret for skader, som et leveret produkt forvolder hos andre. Nogle policer undtager endda udtrykkeligt tab som følge af, at maskiner og produktionsudstyr mister funktionalitet.

Bliver fabrikantens maskine indgangen til et angreb hos køberen, er det et produkt- eller erhvervsansvar, og det er den type police, der er relevant. Det bør afklares med forsikringen, før fabrikanten påtager sig mere i kontrakten.

For køberen ser billedet anderledes ud. Køberen kan have en cyberforsikring, der dækker køberens eget driftstab, hvis systemerne går ned. Men den afgør ikke, hvem der i sidste ende bærer tabet. Køberens forsikringsselskab kan søge regres mod leverandøren, og så er parterne tilbage ved aftalen.

Uanset hvilken side man står på, skal dækningen være afstemt med det, aftalen lægger op til. Fordeler aftalen et ansvar, som den ene parts police ikke dækker, opstår der et hul, som den part selv står med. Aftale, instruktioner og forsikringsdækning bør derfor passe sammen.

Endelig er det værd at læse policens betingelser grundigt. En mistænkeligt billig police kan indeholde IT-sikkerhedskrav, der er svære at leve op til i praksis. Overholdes de ikke, kan retten til erstatning bortfalde. Hertil kommer, at en ansvarsforsikring som udgangspunkt dækker det ansvar, der følger af de almindelige regler.

Påtager fabrikanten sig i kontrakten et ansvar, der går videre end det, risikerer fabrikanten at stå uden dækning. Omvendt bør køberen sikre sig, at en risiko, parterne har placeret hos leverandøren, ikke i praksis ender som køberens eget tab, hvis leverandørens dækning viser sig utilstrækkelig. Man kan ikke forsikre sig ud af et ansvar, man selv har udvidet. En forsikring er ikke et alternativ til at have styr på aftalen.

Focus Advokater bemærker

Ønsker du at blive klogere på samspillet mellem produktregulering og cybersikkerhed, kan du høre mere på Product Compliance Day 2026. Konferencen afholdes den 6. oktober i Odense, og det er gratis at deltage. Her sætter praktikere og juridiske rådgivere bl.a. de nye reglers betydning for fabrikanter og købere til debat.

Er du i tvivl om, hvad reglerne betyder for din virksomhed, er du også velkommen til at kontakte vores afdeling for kontraktret.

Kontakt os

I Odense, Svendborg og København

Tilmeld nyhedsbrev

Bliv opdateret på ny lovgivning, aktuelle juridiske problemstillinger og få invitation til vores faglige arrangementer via e-mail.



    Vælg hvilke nyhedsbreve du vil modtage

    Giv samtykke til


    This site is protected by reCAPTCHA and the Google Privacy Policy and Terms of Service apply.