Netöryggi hugbúnaðar er lykilatriði í vexti hugverkaiðnaðar Unnur Kristín Sveinbjarnardóttir skrifar 10. maí 2026 14:00 Á undanförnum árum hefur orðið ljóst að rót margra alvarlegra öryggisatvika liggur ekki einungis í flóknum árásum ógnaraðila heldur liggur hún í veikleikum í þeim hugbúnaði sem innviðir og fyrirtæki byggja þjónustu sína á. Jen Easterly, fyrrverandi forstjóri bandarísku netöryggisstofnunarinnar CISA, hefur lýst þessu svo að heimurinn standi ekki frammi fyrir netöryggisvanda heldur gæðavanda í hugbúnaði. Sú lýsing hittir að mörgu leyti í mark, enda hafa fjölmörg nýleg alvarleg atvik átt upptök sín í hugbúnaði eða þjónustu frá birgjum sem tengjast mikilvægum innviðum. Netöryggi er þó víðtækara en svo að það verði rakið til hugbúnaðargæða eingöngu. Það tekur til skipulags, viðbragðsgetu og formfastrar áhættustýringar. Engu að síður gegnir hugbúnaður, og birgjakeðjan öll, lykilhlutverki í þessu samhengi. Veikleikar sem verða til við hönnun, þróun eða viðhald geta haft víðtæk áhrif, sérstaklega þegar um er að ræða kerfi sem tengjast fjarskiptum, orku, heilbrigðisþjónustu, flutningum eða annarri grunnstarfsemi samfélagsins. Þegar slíkir veikleikar eru nýttir geta afleiðingarnar orðið keðjuverkandi og náð langt út fyrir þann aðila sem upphaflega þróaði hugbúnaðinn. Í ljósi þessarar þróunar hefur Evrópusambandið gripið til aðgerða með setningu nýrrar reglugerðar, Cyber Resilience Act (CRA), sem tók gildi árið 2024 og kemur til fullra framkvæmda í desember 2027. Með henni er í fyrsta sinn sett samræmt regluverk sem kveður á um lágmarkskröfur um netöryggi fyrir vörur með stafræna eiginleika, hvort sem um ræðir hugbúnað, vélbúnað eða tengdar gagnavinnslulausnir. Reglugerðin byggir á þeirri meginforsendu að netöryggi skuli vera hluti af hönnun og þróun vörunnar, skuli ná yfir allan líftíma vörunnar og skuli vernda gögn og kerfi. Í framkvæmd felur þetta m.a. í sér að vörur með stafræna eiginleika skulu vera hannaðar með netöryggi að leiðarljósi, að sjálfgefnar stillingar séu öruggar og að þekktir veikleikar séu lágmarkaðir áður en vara er sett á markað. Gerð er krafa um að framleiðendur tryggi reglulegar og tímanlegar öryggisuppfærslur og komi á ferlum til að greina, tilkynna og bregðast við veikleikum sem upp kunna að koma. Þeir þurfa að framkvæma áhættumat, halda viðeigandi skjalfestingu, gefa út samræmisyfirlýsingu og merkja vörur með CE-merkingu til staðfestingar á því að þær uppfylli kröfur reglugerðarinnar. Skyldur eru þó ekki bundnar við framleiðendur eina, heldur ná einnig til innflytjenda og dreifingaraðila sem þurfa að ganga úr skugga um að vörur uppfylli skilyrði áður en þær eru gerðar aðgengilegar á innri markaðinum. Markmið þessara krafna er ekki einungis að bæta tæknilegt öryggi einstakra vara heldur jafnframt að efla neytendavernd og styrkja grunnstoðir stafræns samfélags í heild. Með því að setja lágmarksviðmið á stafrænar vörur er leitast við að vernda bæði neytendur og fyrirtæki sem notendur slíkra vara, en ekki síður að draga úr áhættu í kerfum mikilvægra innviða sem byggja þjónustu sína og rekstur á mismunandi lausnum frá mismunandi aðilum. Að tryggja netöryggi í allri þjónustukeðju mikilvægra innviða er lykilatriði til að byggja upp traust og tryggja örugga virkni samfélaga. Á tímum alþjóðlegrar pólitískrar óvissu og átaka þar sem óvinveittir hópar og jafnvel ríki herja á kerfi mikilvægra innviða er ekki einungis nauðsynlegt að tryggja öryggi hugbúnaðar og annarra vara með stafræna eiginleika, það er orðið almannahagsmuna- og þjóðaröryggismál. Þrátt fyrir að reglugerðin hafi hvorki verið tekinn upp í EES-samninginn né innleidd hér á landi mun hún engu að síður hafa bein áhrif á íslensk fyrirtæki sem starfa á eða selja vörur sínar á innri markaðinum. Þau þurfa að uppfylla kröfur hennar ef þau hyggjast bjóða vörur sínar þar til sölu. Þetta á við um stóran hluta þeirra fyrirtækja sem starfa á sviði hugbúnaðargerðar. Gildissvið reglugerðarinnar víðtækt og nær til allra vara með stafræna eiginleika. Á sama tíma hefur vaxandi umræða verið um það hérlendis að hugverkaiðnaður, þar á meðal hugbúnaðarþróun, sé að verða einn helsti vaxtarbroddur íslensks atvinnulífs. Samtök iðnaðarins hafa ítrekað bent á þessa þróun í fjölmiðlum og lagt áherslu á mikilvægi þess að efla tæknigreinar sem grunnþátt í framtíðarútflutningi. Sú áhersla endurspeglast jafnframt í nýrri atvinnustefnu stjórnvalda, þar sem nýsköpun og tækniþróun eru skilgreind sem burðarás í uppbyggingu atvinnulífs sem byggir á þekkingu, hugviti og nýjum lausnum. Þar er lögð áhersla á að hugverka- og þekkingariðnaður sé drifkraftur verðmætasköpunar. Í atvinnustefnunni er því skýrt kveðið á um að áframhaldandi vöxtur hugverkaiðnaðar sé lykilatriði fyrir aukinn útflutning og framleiðni, og að sérstakar stefnuáherslur um eflingu vísinda og nýsköpunar og tryggingu færni til framtíðar eigi að styðja við þá þróun. Fjarskiptastofa getur tekið undir þetta markmið enda er ljóst að mikil gróska er í íslensku nýsköpunarumhverfi hvað þennan iðnað varðar. Sést það m.a. í gegnum áhuga á netöryggisstyrkjum Eyvarar, hæfnisseturs Íslands í netöryggi sem Fjarskiptastofa leiðir. En í þessu ljósi er einnig augljóst að það regluverk sem mótar aðgengi að erlendum mörkuðum skiptir sköpum. Það má því líta á hina nýju gerð, CRA, sem bæði áskorun og tækifæri. Hún kallar á aukna fagmennsku, skýrari ferla og meiri ábyrgð á þróun og líftíma hugbúnaðar og annarra stafrænna vara. Um leið getur hún styrkt stöðu þeirra fyrirtækja sem tileinka sér slíka nálgun snemma, enda verður öryggi og áreiðanleiki sífellt mikilvægari þáttur í samkeppni á alþjóðlegum mörkuðum. Fyrir lítið, opið hagkerfi sem byggir í auknum mæli á útflutningi hugverka getur þetta reynst lykilatriði. Fyrir íslenskan hugbúnaðariðnað felast í því skýr skilaboð: gæði og öryggi eru ekki aðeins tæknilegt atriði heldur lykill að trausti, samkeppnishæfni og áframhaldandi vexti. Höfundur er sviðsstjóri netöryggissviðs hjá Fjarskiptastofu. Viltu birta grein á Vísi? Kynntu þér reglur ritstjórnar um skoðanagreinar. Senda grein Netöryggi Fjarskipti Mest lesið Hvað sér unga fólkið sem ég sé ekki? Gunnar Salvarsson Skoðun Dulinn kostnaður við kreditkortið þitt Dagur B. Eggertsson Skoðun Voru lífeyrisréttindi markvisst tekin af opinberum starfsmönnum og var engin leiðrétting launa? Gunnar Alexander Ólafsson,Sveinn Ólafsson Skoðun Hljóðlát endalok íslensku vefumsjónarkerfanna Birgir Hrafn Birgisson Skoðun Hlutdrægni RÚV í ESB umræðunni Birgir Finnsson Skoðun Evrópusambandið og fiskveiðar Finnur Torfi Magnússon. Skoðun Iðumálið frá upphafi frá sjónarhóli Stóru-Laxárdeildar Esther Guðjónsdótti Skoðun Óttinn sem gerir fólk leiðitamt og þörfin að tilheyra Helga Þórólfsdóttir Skoðun „Hagræðingar” í Reykjanesbæ Halldóra Fríða Þorvaldssdóttir,Guðný Birna Guðmundsdóttir Skoðun Bíddu! Erum við ekki að kjósa um það sama? Yngvi Ómar Sigrúnarson Skoðun Skoðun Skoðun Hvernig fyrirbyggjum við heimilisleysi eftir meðferð vegna vímuefnaröskunar? Erla Björg Sigurðardóttir skrifar Skoðun Dulinn kostnaður við kreditkortið þitt Dagur B. Eggertsson skrifar Skoðun Hljóðlát endalok íslensku vefumsjónarkerfanna Birgir Hrafn Birgisson skrifar Skoðun Það borgar sig að skoða kostina Gunnar Ármannsson skrifar Skoðun Hvað sér unga fólkið sem ég sé ekki? Gunnar Salvarsson skrifar Skoðun Hlutdrægni RÚV í ESB umræðunni Birgir Finnsson skrifar Skoðun Voru lífeyrisréttindi markvisst tekin af opinberum starfsmönnum og var engin leiðrétting launa? Gunnar Alexander Ólafsson,Sveinn Ólafsson skrifar Skoðun Evrópusambandið og fiskveiðar Finnur Torfi Magnússon. skrifar Skoðun Það er alltaf til byssa. Vertu blómið! Guðmunda G. Guðmundsdóttir skrifar Skoðun „Hagræðingar” í Reykjanesbæ Halldóra Fríða Þorvaldssdóttir,Guðný Birna Guðmundsdóttir skrifar Skoðun Óttinn sem gerir fólk leiðitamt og þörfin að tilheyra Helga Þórólfsdóttir skrifar Skoðun Tennur og tryggingar Guðjón Sigurbjartsson skrifar Skoðun Iðumálið frá upphafi frá sjónarhóli Stóru-Laxárdeildar Esther Guðjónsdótti skrifar Skoðun Íslenska fánann á ekki að nota til skemmdarverka Ugla Stefanía Kristjönudóttir Jónsdóttir skrifar Skoðun Stóra spurningin um íslenskt fiskeldi Björn Hembre,Daníel Jakobsson,Vidar Aspehaug skrifar Skoðun Bíddu! Erum við ekki að kjósa um það sama? Yngvi Ómar Sigrúnarson skrifar Skoðun Hver stjórnar ríkisstjórn Kristrúnar Frostadóttur? Júlíus Valsson skrifar Skoðun Vantar okkur líka lesefni sem börn hafa áhuga á að velja sjálf? Birgir Hrafn Birgisson skrifar Skoðun Verum góð við hvort annað Eva Pandora Baldursdóttir skrifar Skoðun Ég hélt að ég vissi hvað fullveldi væri Hilmar Kristinsson skrifar Skoðun Umburðarlyndið sem geltir Sveinn Kristjánsson skrifar Skoðun Börn fá aðeins eina bernsku Hólmfríður Jennýjar Árnadóttir skrifar Skoðun Gögnin á borðið Steindór Þórarinsson skrifar Skoðun Röng spurning í réttri umræðu Hjálmar Bogi Hafliðason skrifar Skoðun Vönduð hönnun er ábyrg uppbygging Björg Torfadóttir skrifar Skoðun Markaðsverð raforku í áttfalt heimilisverð Símon Einarsson skrifar Skoðun Aukin gjaldtaka vinnur gegn dreifingu ferðamanna Sara Sigmundsdóttir skrifar Skoðun Svíkjum ekki gerða samninga Bragi Bjarnason skrifar Skoðun Danir ætla að verja Grænland Arnór Sigurjónsson skrifar Skoðun Já eða nei? Kosningar 29. ágúst 2026 Grétar H. Óskarsson skrifar Sjá meira
Á undanförnum árum hefur orðið ljóst að rót margra alvarlegra öryggisatvika liggur ekki einungis í flóknum árásum ógnaraðila heldur liggur hún í veikleikum í þeim hugbúnaði sem innviðir og fyrirtæki byggja þjónustu sína á. Jen Easterly, fyrrverandi forstjóri bandarísku netöryggisstofnunarinnar CISA, hefur lýst þessu svo að heimurinn standi ekki frammi fyrir netöryggisvanda heldur gæðavanda í hugbúnaði. Sú lýsing hittir að mörgu leyti í mark, enda hafa fjölmörg nýleg alvarleg atvik átt upptök sín í hugbúnaði eða þjónustu frá birgjum sem tengjast mikilvægum innviðum. Netöryggi er þó víðtækara en svo að það verði rakið til hugbúnaðargæða eingöngu. Það tekur til skipulags, viðbragðsgetu og formfastrar áhættustýringar. Engu að síður gegnir hugbúnaður, og birgjakeðjan öll, lykilhlutverki í þessu samhengi. Veikleikar sem verða til við hönnun, þróun eða viðhald geta haft víðtæk áhrif, sérstaklega þegar um er að ræða kerfi sem tengjast fjarskiptum, orku, heilbrigðisþjónustu, flutningum eða annarri grunnstarfsemi samfélagsins. Þegar slíkir veikleikar eru nýttir geta afleiðingarnar orðið keðjuverkandi og náð langt út fyrir þann aðila sem upphaflega þróaði hugbúnaðinn. Í ljósi þessarar þróunar hefur Evrópusambandið gripið til aðgerða með setningu nýrrar reglugerðar, Cyber Resilience Act (CRA), sem tók gildi árið 2024 og kemur til fullra framkvæmda í desember 2027. Með henni er í fyrsta sinn sett samræmt regluverk sem kveður á um lágmarkskröfur um netöryggi fyrir vörur með stafræna eiginleika, hvort sem um ræðir hugbúnað, vélbúnað eða tengdar gagnavinnslulausnir. Reglugerðin byggir á þeirri meginforsendu að netöryggi skuli vera hluti af hönnun og þróun vörunnar, skuli ná yfir allan líftíma vörunnar og skuli vernda gögn og kerfi. Í framkvæmd felur þetta m.a. í sér að vörur með stafræna eiginleika skulu vera hannaðar með netöryggi að leiðarljósi, að sjálfgefnar stillingar séu öruggar og að þekktir veikleikar séu lágmarkaðir áður en vara er sett á markað. Gerð er krafa um að framleiðendur tryggi reglulegar og tímanlegar öryggisuppfærslur og komi á ferlum til að greina, tilkynna og bregðast við veikleikum sem upp kunna að koma. Þeir þurfa að framkvæma áhættumat, halda viðeigandi skjalfestingu, gefa út samræmisyfirlýsingu og merkja vörur með CE-merkingu til staðfestingar á því að þær uppfylli kröfur reglugerðarinnar. Skyldur eru þó ekki bundnar við framleiðendur eina, heldur ná einnig til innflytjenda og dreifingaraðila sem þurfa að ganga úr skugga um að vörur uppfylli skilyrði áður en þær eru gerðar aðgengilegar á innri markaðinum. Markmið þessara krafna er ekki einungis að bæta tæknilegt öryggi einstakra vara heldur jafnframt að efla neytendavernd og styrkja grunnstoðir stafræns samfélags í heild. Með því að setja lágmarksviðmið á stafrænar vörur er leitast við að vernda bæði neytendur og fyrirtæki sem notendur slíkra vara, en ekki síður að draga úr áhættu í kerfum mikilvægra innviða sem byggja þjónustu sína og rekstur á mismunandi lausnum frá mismunandi aðilum. Að tryggja netöryggi í allri þjónustukeðju mikilvægra innviða er lykilatriði til að byggja upp traust og tryggja örugga virkni samfélaga. Á tímum alþjóðlegrar pólitískrar óvissu og átaka þar sem óvinveittir hópar og jafnvel ríki herja á kerfi mikilvægra innviða er ekki einungis nauðsynlegt að tryggja öryggi hugbúnaðar og annarra vara með stafræna eiginleika, það er orðið almannahagsmuna- og þjóðaröryggismál. Þrátt fyrir að reglugerðin hafi hvorki verið tekinn upp í EES-samninginn né innleidd hér á landi mun hún engu að síður hafa bein áhrif á íslensk fyrirtæki sem starfa á eða selja vörur sínar á innri markaðinum. Þau þurfa að uppfylla kröfur hennar ef þau hyggjast bjóða vörur sínar þar til sölu. Þetta á við um stóran hluta þeirra fyrirtækja sem starfa á sviði hugbúnaðargerðar. Gildissvið reglugerðarinnar víðtækt og nær til allra vara með stafræna eiginleika. Á sama tíma hefur vaxandi umræða verið um það hérlendis að hugverkaiðnaður, þar á meðal hugbúnaðarþróun, sé að verða einn helsti vaxtarbroddur íslensks atvinnulífs. Samtök iðnaðarins hafa ítrekað bent á þessa þróun í fjölmiðlum og lagt áherslu á mikilvægi þess að efla tæknigreinar sem grunnþátt í framtíðarútflutningi. Sú áhersla endurspeglast jafnframt í nýrri atvinnustefnu stjórnvalda, þar sem nýsköpun og tækniþróun eru skilgreind sem burðarás í uppbyggingu atvinnulífs sem byggir á þekkingu, hugviti og nýjum lausnum. Þar er lögð áhersla á að hugverka- og þekkingariðnaður sé drifkraftur verðmætasköpunar. Í atvinnustefnunni er því skýrt kveðið á um að áframhaldandi vöxtur hugverkaiðnaðar sé lykilatriði fyrir aukinn útflutning og framleiðni, og að sérstakar stefnuáherslur um eflingu vísinda og nýsköpunar og tryggingu færni til framtíðar eigi að styðja við þá þróun. Fjarskiptastofa getur tekið undir þetta markmið enda er ljóst að mikil gróska er í íslensku nýsköpunarumhverfi hvað þennan iðnað varðar. Sést það m.a. í gegnum áhuga á netöryggisstyrkjum Eyvarar, hæfnisseturs Íslands í netöryggi sem Fjarskiptastofa leiðir. En í þessu ljósi er einnig augljóst að það regluverk sem mótar aðgengi að erlendum mörkuðum skiptir sköpum. Það má því líta á hina nýju gerð, CRA, sem bæði áskorun og tækifæri. Hún kallar á aukna fagmennsku, skýrari ferla og meiri ábyrgð á þróun og líftíma hugbúnaðar og annarra stafrænna vara. Um leið getur hún styrkt stöðu þeirra fyrirtækja sem tileinka sér slíka nálgun snemma, enda verður öryggi og áreiðanleiki sífellt mikilvægari þáttur í samkeppni á alþjóðlegum mörkuðum. Fyrir lítið, opið hagkerfi sem byggir í auknum mæli á útflutningi hugverka getur þetta reynst lykilatriði. Fyrir íslenskan hugbúnaðariðnað felast í því skýr skilaboð: gæði og öryggi eru ekki aðeins tæknilegt atriði heldur lykill að trausti, samkeppnishæfni og áframhaldandi vexti. Höfundur er sviðsstjóri netöryggissviðs hjá Fjarskiptastofu.
Voru lífeyrisréttindi markvisst tekin af opinberum starfsmönnum og var engin leiðrétting launa? Gunnar Alexander Ólafsson,Sveinn Ólafsson Skoðun
Skoðun Hvernig fyrirbyggjum við heimilisleysi eftir meðferð vegna vímuefnaröskunar? Erla Björg Sigurðardóttir skrifar
Skoðun Voru lífeyrisréttindi markvisst tekin af opinberum starfsmönnum og var engin leiðrétting launa? Gunnar Alexander Ólafsson,Sveinn Ólafsson skrifar
Skoðun „Hagræðingar” í Reykjanesbæ Halldóra Fríða Þorvaldssdóttir,Guðný Birna Guðmundsdóttir skrifar
Skoðun Íslenska fánann á ekki að nota til skemmdarverka Ugla Stefanía Kristjönudóttir Jónsdóttir skrifar
Skoðun Vantar okkur líka lesefni sem börn hafa áhuga á að velja sjálf? Birgir Hrafn Birgisson skrifar
Voru lífeyrisréttindi markvisst tekin af opinberum starfsmönnum og var engin leiðrétting launa? Gunnar Alexander Ólafsson,Sveinn Ólafsson Skoðun