Netöryggi hugbúnaðar er lykilatriði í vexti hugverkaiðnaðar Unnur Kristín Sveinbjarnardóttir skrifar 10. maí 2026 14:00 Á undanförnum árum hefur orðið ljóst að rót margra alvarlegra öryggisatvika liggur ekki einungis í flóknum árásum ógnaraðila heldur liggur hún í veikleikum í þeim hugbúnaði sem innviðir og fyrirtæki byggja þjónustu sína á. Jen Easterly, fyrrverandi forstjóri bandarísku netöryggisstofnunarinnar CISA, hefur lýst þessu svo að heimurinn standi ekki frammi fyrir netöryggisvanda heldur gæðavanda í hugbúnaði. Sú lýsing hittir að mörgu leyti í mark, enda hafa fjölmörg nýleg alvarleg atvik átt upptök sín í hugbúnaði eða þjónustu frá birgjum sem tengjast mikilvægum innviðum. Netöryggi er þó víðtækara en svo að það verði rakið til hugbúnaðargæða eingöngu. Það tekur til skipulags, viðbragðsgetu og formfastrar áhættustýringar. Engu að síður gegnir hugbúnaður, og birgjakeðjan öll, lykilhlutverki í þessu samhengi. Veikleikar sem verða til við hönnun, þróun eða viðhald geta haft víðtæk áhrif, sérstaklega þegar um er að ræða kerfi sem tengjast fjarskiptum, orku, heilbrigðisþjónustu, flutningum eða annarri grunnstarfsemi samfélagsins. Þegar slíkir veikleikar eru nýttir geta afleiðingarnar orðið keðjuverkandi og náð langt út fyrir þann aðila sem upphaflega þróaði hugbúnaðinn. Í ljósi þessarar þróunar hefur Evrópusambandið gripið til aðgerða með setningu nýrrar reglugerðar, Cyber Resilience Act (CRA), sem tók gildi árið 2024 og kemur til fullra framkvæmda í desember 2027. Með henni er í fyrsta sinn sett samræmt regluverk sem kveður á um lágmarkskröfur um netöryggi fyrir vörur með stafræna eiginleika, hvort sem um ræðir hugbúnað, vélbúnað eða tengdar gagnavinnslulausnir. Reglugerðin byggir á þeirri meginforsendu að netöryggi skuli vera hluti af hönnun og þróun vörunnar, skuli ná yfir allan líftíma vörunnar og skuli vernda gögn og kerfi. Í framkvæmd felur þetta m.a. í sér að vörur með stafræna eiginleika skulu vera hannaðar með netöryggi að leiðarljósi, að sjálfgefnar stillingar séu öruggar og að þekktir veikleikar séu lágmarkaðir áður en vara er sett á markað. Gerð er krafa um að framleiðendur tryggi reglulegar og tímanlegar öryggisuppfærslur og komi á ferlum til að greina, tilkynna og bregðast við veikleikum sem upp kunna að koma. Þeir þurfa að framkvæma áhættumat, halda viðeigandi skjalfestingu, gefa út samræmisyfirlýsingu og merkja vörur með CE-merkingu til staðfestingar á því að þær uppfylli kröfur reglugerðarinnar. Skyldur eru þó ekki bundnar við framleiðendur eina, heldur ná einnig til innflytjenda og dreifingaraðila sem þurfa að ganga úr skugga um að vörur uppfylli skilyrði áður en þær eru gerðar aðgengilegar á innri markaðinum. Markmið þessara krafna er ekki einungis að bæta tæknilegt öryggi einstakra vara heldur jafnframt að efla neytendavernd og styrkja grunnstoðir stafræns samfélags í heild. Með því að setja lágmarksviðmið á stafrænar vörur er leitast við að vernda bæði neytendur og fyrirtæki sem notendur slíkra vara, en ekki síður að draga úr áhættu í kerfum mikilvægra innviða sem byggja þjónustu sína og rekstur á mismunandi lausnum frá mismunandi aðilum. Að tryggja netöryggi í allri þjónustukeðju mikilvægra innviða er lykilatriði til að byggja upp traust og tryggja örugga virkni samfélaga. Á tímum alþjóðlegrar pólitískrar óvissu og átaka þar sem óvinveittir hópar og jafnvel ríki herja á kerfi mikilvægra innviða er ekki einungis nauðsynlegt að tryggja öryggi hugbúnaðar og annarra vara með stafræna eiginleika, það er orðið almannahagsmuna- og þjóðaröryggismál. Þrátt fyrir að reglugerðin hafi hvorki verið tekinn upp í EES-samninginn né innleidd hér á landi mun hún engu að síður hafa bein áhrif á íslensk fyrirtæki sem starfa á eða selja vörur sínar á innri markaðinum. Þau þurfa að uppfylla kröfur hennar ef þau hyggjast bjóða vörur sínar þar til sölu. Þetta á við um stóran hluta þeirra fyrirtækja sem starfa á sviði hugbúnaðargerðar. Gildissvið reglugerðarinnar víðtækt og nær til allra vara með stafræna eiginleika. Á sama tíma hefur vaxandi umræða verið um það hérlendis að hugverkaiðnaður, þar á meðal hugbúnaðarþróun, sé að verða einn helsti vaxtarbroddur íslensks atvinnulífs. Samtök iðnaðarins hafa ítrekað bent á þessa þróun í fjölmiðlum og lagt áherslu á mikilvægi þess að efla tæknigreinar sem grunnþátt í framtíðarútflutningi. Sú áhersla endurspeglast jafnframt í nýrri atvinnustefnu stjórnvalda, þar sem nýsköpun og tækniþróun eru skilgreind sem burðarás í uppbyggingu atvinnulífs sem byggir á þekkingu, hugviti og nýjum lausnum. Þar er lögð áhersla á að hugverka- og þekkingariðnaður sé drifkraftur verðmætasköpunar. Í atvinnustefnunni er því skýrt kveðið á um að áframhaldandi vöxtur hugverkaiðnaðar sé lykilatriði fyrir aukinn útflutning og framleiðni, og að sérstakar stefnuáherslur um eflingu vísinda og nýsköpunar og tryggingu færni til framtíðar eigi að styðja við þá þróun. Fjarskiptastofa getur tekið undir þetta markmið enda er ljóst að mikil gróska er í íslensku nýsköpunarumhverfi hvað þennan iðnað varðar. Sést það m.a. í gegnum áhuga á netöryggisstyrkjum Eyvarar, hæfnisseturs Íslands í netöryggi sem Fjarskiptastofa leiðir. En í þessu ljósi er einnig augljóst að það regluverk sem mótar aðgengi að erlendum mörkuðum skiptir sköpum. Það má því líta á hina nýju gerð, CRA, sem bæði áskorun og tækifæri. Hún kallar á aukna fagmennsku, skýrari ferla og meiri ábyrgð á þróun og líftíma hugbúnaðar og annarra stafrænna vara. Um leið getur hún styrkt stöðu þeirra fyrirtækja sem tileinka sér slíka nálgun snemma, enda verður öryggi og áreiðanleiki sífellt mikilvægari þáttur í samkeppni á alþjóðlegum mörkuðum. Fyrir lítið, opið hagkerfi sem byggir í auknum mæli á útflutningi hugverka getur þetta reynst lykilatriði. Fyrir íslenskan hugbúnaðariðnað felast í því skýr skilaboð: gæði og öryggi eru ekki aðeins tæknilegt atriði heldur lykill að trausti, samkeppnishæfni og áframhaldandi vexti. Höfundur er sviðsstjóri netöryggissviðs hjá Fjarskiptastofu. Viltu birta grein á Vísi? Kynntu þér reglur ritstjórnar um skoðanagreinar. Senda grein Netöryggi Fjarskipti Mest lesið Hvers vegna ég skipti um skoðun á aðild Íslands að Evrópusambandinu Gunnar Ármannsson Skoðun Aðildarviðræður eru ekki upplýsingaleit heldur undirbúningur að aðild Gunnar Ármannsson Skoðun Sjö algengar ranghugmyndir um hvali og hvalveiðar Eyþór Eðvarðsson Skoðun Meitlað í stein eða kannski, hugsanlega, ef til vill Sigurður Egilsson Skoðun Um líf og dauða, fullveldi og ESB II Bjarni Már Magnússon Skoðun Gervigreind á ekki að hugsa fyrir okkur Helgi S. Karlsson Skoðun Orðspor og ímynd bíður hnekki Haukur Hinriksson Skoðun Almyrkvi á sólu 12.ágúst 2026: Gagnlegar upplýsingar Runólfur Þórhallsson Skoðun Um líf og dauða, fullveldi og ESB Bjarni Már Magnússon Skoðun Stafrænt fullveldi er ekki frönsk sérviska Þorsteinn Siglaugsson Skoðun Skoðun Skoðun Þjóðarvarnarráðið hefur verið kallað saman af minna tilefni! Davíð Bergmann skrifar Skoðun Orðspor og ímynd bíður hnekki Haukur Hinriksson skrifar Skoðun Stafrænt fullveldi er ekki frönsk sérviska Þorsteinn Siglaugsson skrifar Skoðun Gervigreind á ekki að hugsa fyrir okkur Helgi S. Karlsson skrifar Skoðun Hvers vegna ég skipti um skoðun á aðild Íslands að Evrópusambandinu Gunnar Ármannsson skrifar Skoðun Mannréttindi eru ekki skrifstofa heldur framkvæmd Auður Axelsdóttir skrifar Skoðun Af hverju „Nei“ 29. ágúst? Alfreð Sturla Böðvarsson skrifar Skoðun Að hafa rétt eftir Ingólfur Sverrisson skrifar Skoðun Hvaða áhættu tekur Ísland ef við breytum engu? – Framtíðarsýn til ársins 2050 Þorvaldur Ingi Jónsson skrifar Skoðun Almyrkvi á sólu 12.ágúst 2026: Gagnlegar upplýsingar Runólfur Þórhallsson skrifar Skoðun Um líf og dauða, fullveldi og ESB II Bjarni Már Magnússon skrifar Skoðun Meitlað í stein eða kannski, hugsanlega, ef til vill Sigurður Egilsson skrifar Skoðun Krónuhagkerfið og kostnaður heimilanna Sigurður Kristinn Pálsson skrifar Skoðun Litir, form og staðarandi Þórður Már Sigfússon skrifar Skoðun Brexit ekki orsök efnahagsáskorana Breta Kristinn Sv. Helgason skrifar Skoðun Jörðin er dómkirkjan okkar. Geimurinn er verkstæðið okkar. Árni Sigurðsson skrifar Skoðun Stækkun bílaborgarinnar er ekki sjálfgefin - Ný byggð til norðurs kallar á öflugri almenningssamgöngur Stefán Agnar Finnsson skrifar Skoðun Hvenær hættir maður að vera útlendingur? Valerio Gargiulo skrifar Skoðun Viðvörunarljós um farsæld barna má ekki hunsa Steinunn Bergmann skrifar Skoðun Sjö algengar ranghugmyndir um hvali og hvalveiðar Eyþór Eðvarðsson skrifar Skoðun Aðildarviðræður eru ekki upplýsingaleit heldur undirbúningur að aðild Gunnar Ármannsson skrifar Skoðun Um líf og dauða, fullveldi og ESB Bjarni Már Magnússon skrifar Skoðun Ný greining: Hvað myndu húsnæðisvextir lækka með ESB og evru? Dagur B. Eggertsson skrifar Skoðun Hvað er í pakkanum? Hannes Lúðvíksson skrifar Skoðun Nýsköpunin sem hverfur inn í skýið Bogi Ragnarsson skrifar Skoðun Þegar kaffið rennur upp á við í Undralandi íslenskrar orðræðu Sigurður Sigurðsson skrifar Skoðun Þeir seldu áhættuna sem tækifæri — og sendu þjóðinni reikninginn Baldur Pétursson skrifar Skoðun Traust á lögmönnum er ekki einkamál lögmanna Vilbert Gústafsson skrifar Skoðun Upplýsingar eru ekki ógn, þær eru forsenda Halldór Jörgen Olesen skrifar Skoðun Heimilislæknar og reglugerðardrög Alma D. Möller skrifar Sjá meira
Á undanförnum árum hefur orðið ljóst að rót margra alvarlegra öryggisatvika liggur ekki einungis í flóknum árásum ógnaraðila heldur liggur hún í veikleikum í þeim hugbúnaði sem innviðir og fyrirtæki byggja þjónustu sína á. Jen Easterly, fyrrverandi forstjóri bandarísku netöryggisstofnunarinnar CISA, hefur lýst þessu svo að heimurinn standi ekki frammi fyrir netöryggisvanda heldur gæðavanda í hugbúnaði. Sú lýsing hittir að mörgu leyti í mark, enda hafa fjölmörg nýleg alvarleg atvik átt upptök sín í hugbúnaði eða þjónustu frá birgjum sem tengjast mikilvægum innviðum. Netöryggi er þó víðtækara en svo að það verði rakið til hugbúnaðargæða eingöngu. Það tekur til skipulags, viðbragðsgetu og formfastrar áhættustýringar. Engu að síður gegnir hugbúnaður, og birgjakeðjan öll, lykilhlutverki í þessu samhengi. Veikleikar sem verða til við hönnun, þróun eða viðhald geta haft víðtæk áhrif, sérstaklega þegar um er að ræða kerfi sem tengjast fjarskiptum, orku, heilbrigðisþjónustu, flutningum eða annarri grunnstarfsemi samfélagsins. Þegar slíkir veikleikar eru nýttir geta afleiðingarnar orðið keðjuverkandi og náð langt út fyrir þann aðila sem upphaflega þróaði hugbúnaðinn. Í ljósi þessarar þróunar hefur Evrópusambandið gripið til aðgerða með setningu nýrrar reglugerðar, Cyber Resilience Act (CRA), sem tók gildi árið 2024 og kemur til fullra framkvæmda í desember 2027. Með henni er í fyrsta sinn sett samræmt regluverk sem kveður á um lágmarkskröfur um netöryggi fyrir vörur með stafræna eiginleika, hvort sem um ræðir hugbúnað, vélbúnað eða tengdar gagnavinnslulausnir. Reglugerðin byggir á þeirri meginforsendu að netöryggi skuli vera hluti af hönnun og þróun vörunnar, skuli ná yfir allan líftíma vörunnar og skuli vernda gögn og kerfi. Í framkvæmd felur þetta m.a. í sér að vörur með stafræna eiginleika skulu vera hannaðar með netöryggi að leiðarljósi, að sjálfgefnar stillingar séu öruggar og að þekktir veikleikar séu lágmarkaðir áður en vara er sett á markað. Gerð er krafa um að framleiðendur tryggi reglulegar og tímanlegar öryggisuppfærslur og komi á ferlum til að greina, tilkynna og bregðast við veikleikum sem upp kunna að koma. Þeir þurfa að framkvæma áhættumat, halda viðeigandi skjalfestingu, gefa út samræmisyfirlýsingu og merkja vörur með CE-merkingu til staðfestingar á því að þær uppfylli kröfur reglugerðarinnar. Skyldur eru þó ekki bundnar við framleiðendur eina, heldur ná einnig til innflytjenda og dreifingaraðila sem þurfa að ganga úr skugga um að vörur uppfylli skilyrði áður en þær eru gerðar aðgengilegar á innri markaðinum. Markmið þessara krafna er ekki einungis að bæta tæknilegt öryggi einstakra vara heldur jafnframt að efla neytendavernd og styrkja grunnstoðir stafræns samfélags í heild. Með því að setja lágmarksviðmið á stafrænar vörur er leitast við að vernda bæði neytendur og fyrirtæki sem notendur slíkra vara, en ekki síður að draga úr áhættu í kerfum mikilvægra innviða sem byggja þjónustu sína og rekstur á mismunandi lausnum frá mismunandi aðilum. Að tryggja netöryggi í allri þjónustukeðju mikilvægra innviða er lykilatriði til að byggja upp traust og tryggja örugga virkni samfélaga. Á tímum alþjóðlegrar pólitískrar óvissu og átaka þar sem óvinveittir hópar og jafnvel ríki herja á kerfi mikilvægra innviða er ekki einungis nauðsynlegt að tryggja öryggi hugbúnaðar og annarra vara með stafræna eiginleika, það er orðið almannahagsmuna- og þjóðaröryggismál. Þrátt fyrir að reglugerðin hafi hvorki verið tekinn upp í EES-samninginn né innleidd hér á landi mun hún engu að síður hafa bein áhrif á íslensk fyrirtæki sem starfa á eða selja vörur sínar á innri markaðinum. Þau þurfa að uppfylla kröfur hennar ef þau hyggjast bjóða vörur sínar þar til sölu. Þetta á við um stóran hluta þeirra fyrirtækja sem starfa á sviði hugbúnaðargerðar. Gildissvið reglugerðarinnar víðtækt og nær til allra vara með stafræna eiginleika. Á sama tíma hefur vaxandi umræða verið um það hérlendis að hugverkaiðnaður, þar á meðal hugbúnaðarþróun, sé að verða einn helsti vaxtarbroddur íslensks atvinnulífs. Samtök iðnaðarins hafa ítrekað bent á þessa þróun í fjölmiðlum og lagt áherslu á mikilvægi þess að efla tæknigreinar sem grunnþátt í framtíðarútflutningi. Sú áhersla endurspeglast jafnframt í nýrri atvinnustefnu stjórnvalda, þar sem nýsköpun og tækniþróun eru skilgreind sem burðarás í uppbyggingu atvinnulífs sem byggir á þekkingu, hugviti og nýjum lausnum. Þar er lögð áhersla á að hugverka- og þekkingariðnaður sé drifkraftur verðmætasköpunar. Í atvinnustefnunni er því skýrt kveðið á um að áframhaldandi vöxtur hugverkaiðnaðar sé lykilatriði fyrir aukinn útflutning og framleiðni, og að sérstakar stefnuáherslur um eflingu vísinda og nýsköpunar og tryggingu færni til framtíðar eigi að styðja við þá þróun. Fjarskiptastofa getur tekið undir þetta markmið enda er ljóst að mikil gróska er í íslensku nýsköpunarumhverfi hvað þennan iðnað varðar. Sést það m.a. í gegnum áhuga á netöryggisstyrkjum Eyvarar, hæfnisseturs Íslands í netöryggi sem Fjarskiptastofa leiðir. En í þessu ljósi er einnig augljóst að það regluverk sem mótar aðgengi að erlendum mörkuðum skiptir sköpum. Það má því líta á hina nýju gerð, CRA, sem bæði áskorun og tækifæri. Hún kallar á aukna fagmennsku, skýrari ferla og meiri ábyrgð á þróun og líftíma hugbúnaðar og annarra stafrænna vara. Um leið getur hún styrkt stöðu þeirra fyrirtækja sem tileinka sér slíka nálgun snemma, enda verður öryggi og áreiðanleiki sífellt mikilvægari þáttur í samkeppni á alþjóðlegum mörkuðum. Fyrir lítið, opið hagkerfi sem byggir í auknum mæli á útflutningi hugverka getur þetta reynst lykilatriði. Fyrir íslenskan hugbúnaðariðnað felast í því skýr skilaboð: gæði og öryggi eru ekki aðeins tæknilegt atriði heldur lykill að trausti, samkeppnishæfni og áframhaldandi vexti. Höfundur er sviðsstjóri netöryggissviðs hjá Fjarskiptastofu.
Skoðun Hvers vegna ég skipti um skoðun á aðild Íslands að Evrópusambandinu Gunnar Ármannsson skrifar
Skoðun Hvaða áhættu tekur Ísland ef við breytum engu? – Framtíðarsýn til ársins 2050 Þorvaldur Ingi Jónsson skrifar
Skoðun Stækkun bílaborgarinnar er ekki sjálfgefin - Ný byggð til norðurs kallar á öflugri almenningssamgöngur Stefán Agnar Finnsson skrifar
Skoðun Aðildarviðræður eru ekki upplýsingaleit heldur undirbúningur að aðild Gunnar Ármannsson skrifar