Netöryggi hugbúnaðar er lykilatriði í vexti hugverkaiðnaðar Unnur Kristín Sveinbjarnardóttir skrifar 10. maí 2026 14:00 Á undanförnum árum hefur orðið ljóst að rót margra alvarlegra öryggisatvika liggur ekki einungis í flóknum árásum ógnaraðila heldur liggur hún í veikleikum í þeim hugbúnaði sem innviðir og fyrirtæki byggja þjónustu sína á. Jen Easterly, fyrrverandi forstjóri bandarísku netöryggisstofnunarinnar CISA, hefur lýst þessu svo að heimurinn standi ekki frammi fyrir netöryggisvanda heldur gæðavanda í hugbúnaði. Sú lýsing hittir að mörgu leyti í mark, enda hafa fjölmörg nýleg alvarleg atvik átt upptök sín í hugbúnaði eða þjónustu frá birgjum sem tengjast mikilvægum innviðum. Netöryggi er þó víðtækara en svo að það verði rakið til hugbúnaðargæða eingöngu. Það tekur til skipulags, viðbragðsgetu og formfastrar áhættustýringar. Engu að síður gegnir hugbúnaður, og birgjakeðjan öll, lykilhlutverki í þessu samhengi. Veikleikar sem verða til við hönnun, þróun eða viðhald geta haft víðtæk áhrif, sérstaklega þegar um er að ræða kerfi sem tengjast fjarskiptum, orku, heilbrigðisþjónustu, flutningum eða annarri grunnstarfsemi samfélagsins. Þegar slíkir veikleikar eru nýttir geta afleiðingarnar orðið keðjuverkandi og náð langt út fyrir þann aðila sem upphaflega þróaði hugbúnaðinn. Í ljósi þessarar þróunar hefur Evrópusambandið gripið til aðgerða með setningu nýrrar reglugerðar, Cyber Resilience Act (CRA), sem tók gildi árið 2024 og kemur til fullra framkvæmda í desember 2027. Með henni er í fyrsta sinn sett samræmt regluverk sem kveður á um lágmarkskröfur um netöryggi fyrir vörur með stafræna eiginleika, hvort sem um ræðir hugbúnað, vélbúnað eða tengdar gagnavinnslulausnir. Reglugerðin byggir á þeirri meginforsendu að netöryggi skuli vera hluti af hönnun og þróun vörunnar, skuli ná yfir allan líftíma vörunnar og skuli vernda gögn og kerfi. Í framkvæmd felur þetta m.a. í sér að vörur með stafræna eiginleika skulu vera hannaðar með netöryggi að leiðarljósi, að sjálfgefnar stillingar séu öruggar og að þekktir veikleikar séu lágmarkaðir áður en vara er sett á markað. Gerð er krafa um að framleiðendur tryggi reglulegar og tímanlegar öryggisuppfærslur og komi á ferlum til að greina, tilkynna og bregðast við veikleikum sem upp kunna að koma. Þeir þurfa að framkvæma áhættumat, halda viðeigandi skjalfestingu, gefa út samræmisyfirlýsingu og merkja vörur með CE-merkingu til staðfestingar á því að þær uppfylli kröfur reglugerðarinnar. Skyldur eru þó ekki bundnar við framleiðendur eina, heldur ná einnig til innflytjenda og dreifingaraðila sem þurfa að ganga úr skugga um að vörur uppfylli skilyrði áður en þær eru gerðar aðgengilegar á innri markaðinum. Markmið þessara krafna er ekki einungis að bæta tæknilegt öryggi einstakra vara heldur jafnframt að efla neytendavernd og styrkja grunnstoðir stafræns samfélags í heild. Með því að setja lágmarksviðmið á stafrænar vörur er leitast við að vernda bæði neytendur og fyrirtæki sem notendur slíkra vara, en ekki síður að draga úr áhættu í kerfum mikilvægra innviða sem byggja þjónustu sína og rekstur á mismunandi lausnum frá mismunandi aðilum. Að tryggja netöryggi í allri þjónustukeðju mikilvægra innviða er lykilatriði til að byggja upp traust og tryggja örugga virkni samfélaga. Á tímum alþjóðlegrar pólitískrar óvissu og átaka þar sem óvinveittir hópar og jafnvel ríki herja á kerfi mikilvægra innviða er ekki einungis nauðsynlegt að tryggja öryggi hugbúnaðar og annarra vara með stafræna eiginleika, það er orðið almannahagsmuna- og þjóðaröryggismál. Þrátt fyrir að reglugerðin hafi hvorki verið tekinn upp í EES-samninginn né innleidd hér á landi mun hún engu að síður hafa bein áhrif á íslensk fyrirtæki sem starfa á eða selja vörur sínar á innri markaðinum. Þau þurfa að uppfylla kröfur hennar ef þau hyggjast bjóða vörur sínar þar til sölu. Þetta á við um stóran hluta þeirra fyrirtækja sem starfa á sviði hugbúnaðargerðar. Gildissvið reglugerðarinnar víðtækt og nær til allra vara með stafræna eiginleika. Á sama tíma hefur vaxandi umræða verið um það hérlendis að hugverkaiðnaður, þar á meðal hugbúnaðarþróun, sé að verða einn helsti vaxtarbroddur íslensks atvinnulífs. Samtök iðnaðarins hafa ítrekað bent á þessa þróun í fjölmiðlum og lagt áherslu á mikilvægi þess að efla tæknigreinar sem grunnþátt í framtíðarútflutningi. Sú áhersla endurspeglast jafnframt í nýrri atvinnustefnu stjórnvalda, þar sem nýsköpun og tækniþróun eru skilgreind sem burðarás í uppbyggingu atvinnulífs sem byggir á þekkingu, hugviti og nýjum lausnum. Þar er lögð áhersla á að hugverka- og þekkingariðnaður sé drifkraftur verðmætasköpunar. Í atvinnustefnunni er því skýrt kveðið á um að áframhaldandi vöxtur hugverkaiðnaðar sé lykilatriði fyrir aukinn útflutning og framleiðni, og að sérstakar stefnuáherslur um eflingu vísinda og nýsköpunar og tryggingu færni til framtíðar eigi að styðja við þá þróun. Fjarskiptastofa getur tekið undir þetta markmið enda er ljóst að mikil gróska er í íslensku nýsköpunarumhverfi hvað þennan iðnað varðar. Sést það m.a. í gegnum áhuga á netöryggisstyrkjum Eyvarar, hæfnisseturs Íslands í netöryggi sem Fjarskiptastofa leiðir. En í þessu ljósi er einnig augljóst að það regluverk sem mótar aðgengi að erlendum mörkuðum skiptir sköpum. Það má því líta á hina nýju gerð, CRA, sem bæði áskorun og tækifæri. Hún kallar á aukna fagmennsku, skýrari ferla og meiri ábyrgð á þróun og líftíma hugbúnaðar og annarra stafrænna vara. Um leið getur hún styrkt stöðu þeirra fyrirtækja sem tileinka sér slíka nálgun snemma, enda verður öryggi og áreiðanleiki sífellt mikilvægari þáttur í samkeppni á alþjóðlegum mörkuðum. Fyrir lítið, opið hagkerfi sem byggir í auknum mæli á útflutningi hugverka getur þetta reynst lykilatriði. Fyrir íslenskan hugbúnaðariðnað felast í því skýr skilaboð: gæði og öryggi eru ekki aðeins tæknilegt atriði heldur lykill að trausti, samkeppnishæfni og áframhaldandi vexti. Höfundur er sviðsstjóri netöryggissviðs hjá Fjarskiptastofu. Viltu birta grein á Vísi? Kynntu þér reglur ritstjórnar um skoðanagreinar. Senda grein Netöryggi Fjarskipti Mest lesið „Eigðu sjálfur þinn helvítis tjakk!“ Ólafur Hauksson Skoðun Eilífðar smáblóm... Móheiður Hlíf Geirlaugsdóttir Skoðun Reikningsdæmi handa Ögmundi Arnar Sigurðsson Skoðun Að tala tungum tveim Ingólfur Sverrisson Skoðun Reykjavík er að byrja á röngum enda Brynhildur Heiðar- og Ómarsdóttir Skoðun Virðing fyrir menntun leikskólakennara er virðing fyrir börnum Ingibjörg Ósk Sigurðardóttir,Sara Margrét Ólafsdóttir Skoðun Komið með skólabörnin í heimsókn á gamla leikskólann Elína Hallgrímsdóttir Skoðun Meira íslenskt grænmeti er velferðarmál Þórarinn Ingi Pétursson Skoðun Huh eða ro? Freyja Rut Emilsdóttir Skoðun Húsnæðispakkinn Magnea Gná Jóhannsdóttir Skoðun Skoðun Skoðun Reikningsdæmi handa Ögmundi Arnar Sigurðsson skrifar Skoðun Eilífðar smáblóm... Móheiður Hlíf Geirlaugsdóttir skrifar Skoðun „Eigðu sjálfur þinn helvítis tjakk!“ Ólafur Hauksson skrifar Skoðun Komið með skólabörnin í heimsókn á gamla leikskólann Elína Hallgrímsdóttir skrifar Skoðun Að tala tungum tveim Ingólfur Sverrisson skrifar Skoðun Hver á íslenska fánann? Berglind Guðmundsdóttir skrifar Skoðun Huh eða ro? Freyja Rut Emilsdóttir skrifar Skoðun Vaðlaheiðargöng: greiðsluvilji er allt sem þarf Hilmar Gunnlaugsson skrifar Skoðun Við erum öll í sama liði: mikilvægi þess að ræða við börn um virðingu í samskiptum Arna Hrönn Aradóttir skrifar Skoðun Verum JÁ-kvæð í ágúst Kristján Kristinsson skrifar Skoðun Nágranninn Ingibjörg Gunnlaugsdóttir skrifar Skoðun Virðing fyrir menntun leikskólakennara er virðing fyrir börnum Ingibjörg Ósk Sigurðardóttir,Sara Margrét Ólafsdóttir skrifar Skoðun Er ESB að grafa undan eigin hagsmunum? Erna Bjarnadóttir skrifar Skoðun Landhelgisgæslan til taks - í heila öld Þorbjörg S. Gunnlaugsdóttir skrifar Skoðun Þegar ,,ríkið” yfirgaf byggðina Ragnar Sigurðsson skrifar Skoðun Húsnæðispakkinn Magnea Gná Jóhannsdóttir skrifar Skoðun Varðskipið Þór: Frá samtakamætti til upphafs Landhelgisgæslu Íslands Íris Róbertsdóttir skrifar Skoðun Lýðræðisveislan í ágúst - Upplýsingar, fullveldi og framtíðarsýn fullvalda þjóðar Sigurður Sigurðsson skrifar Skoðun Meira íslenskt grænmeti er velferðarmál Þórarinn Ingi Pétursson skrifar Skoðun „Biðlisti“ Rannveig Haraldsdóttir skrifar Skoðun Meira afl fyrir orkuna Gunnar Guðni Tómasson skrifar Skoðun Reykjavík er að byrja á röngum enda Brynhildur Heiðar- og Ómarsdóttir skrifar Skoðun Tvær flugur í einu höggi: Einkavætt og réttarríkið vængstíft! Ögmundur Jónasson skrifar Skoðun Hanna Katrín Friðriksson og hvalveiðar — Frelsi eða forræðishyggja? Hjörvar Sigurðsson skrifar Skoðun Nokkur orð um samkennd Ari Allansson skrifar Skoðun Bruninn á Stuðlum, skýrsla HMS Ingibjörg Einarsdóttir skrifar Skoðun Réttur barna til tvítyngis: íslenskt táknmál og íslenska Júlía Guðný Hreinsdóttir skrifar Skoðun Öruggt ferðasumar hefst með góðum brunavörnum Methúsalem Hilmarsson skrifar Skoðun Hvernig lesum við skoðanagreinar? Hilmar Kristinsson skrifar Skoðun Stjórnsýsla Íslands er ekki „allt of lítil“, hún er „lítil og skilvirk“ Halldór Jörgen Olesen skrifar Sjá meira
Á undanförnum árum hefur orðið ljóst að rót margra alvarlegra öryggisatvika liggur ekki einungis í flóknum árásum ógnaraðila heldur liggur hún í veikleikum í þeim hugbúnaði sem innviðir og fyrirtæki byggja þjónustu sína á. Jen Easterly, fyrrverandi forstjóri bandarísku netöryggisstofnunarinnar CISA, hefur lýst þessu svo að heimurinn standi ekki frammi fyrir netöryggisvanda heldur gæðavanda í hugbúnaði. Sú lýsing hittir að mörgu leyti í mark, enda hafa fjölmörg nýleg alvarleg atvik átt upptök sín í hugbúnaði eða þjónustu frá birgjum sem tengjast mikilvægum innviðum. Netöryggi er þó víðtækara en svo að það verði rakið til hugbúnaðargæða eingöngu. Það tekur til skipulags, viðbragðsgetu og formfastrar áhættustýringar. Engu að síður gegnir hugbúnaður, og birgjakeðjan öll, lykilhlutverki í þessu samhengi. Veikleikar sem verða til við hönnun, þróun eða viðhald geta haft víðtæk áhrif, sérstaklega þegar um er að ræða kerfi sem tengjast fjarskiptum, orku, heilbrigðisþjónustu, flutningum eða annarri grunnstarfsemi samfélagsins. Þegar slíkir veikleikar eru nýttir geta afleiðingarnar orðið keðjuverkandi og náð langt út fyrir þann aðila sem upphaflega þróaði hugbúnaðinn. Í ljósi þessarar þróunar hefur Evrópusambandið gripið til aðgerða með setningu nýrrar reglugerðar, Cyber Resilience Act (CRA), sem tók gildi árið 2024 og kemur til fullra framkvæmda í desember 2027. Með henni er í fyrsta sinn sett samræmt regluverk sem kveður á um lágmarkskröfur um netöryggi fyrir vörur með stafræna eiginleika, hvort sem um ræðir hugbúnað, vélbúnað eða tengdar gagnavinnslulausnir. Reglugerðin byggir á þeirri meginforsendu að netöryggi skuli vera hluti af hönnun og þróun vörunnar, skuli ná yfir allan líftíma vörunnar og skuli vernda gögn og kerfi. Í framkvæmd felur þetta m.a. í sér að vörur með stafræna eiginleika skulu vera hannaðar með netöryggi að leiðarljósi, að sjálfgefnar stillingar séu öruggar og að þekktir veikleikar séu lágmarkaðir áður en vara er sett á markað. Gerð er krafa um að framleiðendur tryggi reglulegar og tímanlegar öryggisuppfærslur og komi á ferlum til að greina, tilkynna og bregðast við veikleikum sem upp kunna að koma. Þeir þurfa að framkvæma áhættumat, halda viðeigandi skjalfestingu, gefa út samræmisyfirlýsingu og merkja vörur með CE-merkingu til staðfestingar á því að þær uppfylli kröfur reglugerðarinnar. Skyldur eru þó ekki bundnar við framleiðendur eina, heldur ná einnig til innflytjenda og dreifingaraðila sem þurfa að ganga úr skugga um að vörur uppfylli skilyrði áður en þær eru gerðar aðgengilegar á innri markaðinum. Markmið þessara krafna er ekki einungis að bæta tæknilegt öryggi einstakra vara heldur jafnframt að efla neytendavernd og styrkja grunnstoðir stafræns samfélags í heild. Með því að setja lágmarksviðmið á stafrænar vörur er leitast við að vernda bæði neytendur og fyrirtæki sem notendur slíkra vara, en ekki síður að draga úr áhættu í kerfum mikilvægra innviða sem byggja þjónustu sína og rekstur á mismunandi lausnum frá mismunandi aðilum. Að tryggja netöryggi í allri þjónustukeðju mikilvægra innviða er lykilatriði til að byggja upp traust og tryggja örugga virkni samfélaga. Á tímum alþjóðlegrar pólitískrar óvissu og átaka þar sem óvinveittir hópar og jafnvel ríki herja á kerfi mikilvægra innviða er ekki einungis nauðsynlegt að tryggja öryggi hugbúnaðar og annarra vara með stafræna eiginleika, það er orðið almannahagsmuna- og þjóðaröryggismál. Þrátt fyrir að reglugerðin hafi hvorki verið tekinn upp í EES-samninginn né innleidd hér á landi mun hún engu að síður hafa bein áhrif á íslensk fyrirtæki sem starfa á eða selja vörur sínar á innri markaðinum. Þau þurfa að uppfylla kröfur hennar ef þau hyggjast bjóða vörur sínar þar til sölu. Þetta á við um stóran hluta þeirra fyrirtækja sem starfa á sviði hugbúnaðargerðar. Gildissvið reglugerðarinnar víðtækt og nær til allra vara með stafræna eiginleika. Á sama tíma hefur vaxandi umræða verið um það hérlendis að hugverkaiðnaður, þar á meðal hugbúnaðarþróun, sé að verða einn helsti vaxtarbroddur íslensks atvinnulífs. Samtök iðnaðarins hafa ítrekað bent á þessa þróun í fjölmiðlum og lagt áherslu á mikilvægi þess að efla tæknigreinar sem grunnþátt í framtíðarútflutningi. Sú áhersla endurspeglast jafnframt í nýrri atvinnustefnu stjórnvalda, þar sem nýsköpun og tækniþróun eru skilgreind sem burðarás í uppbyggingu atvinnulífs sem byggir á þekkingu, hugviti og nýjum lausnum. Þar er lögð áhersla á að hugverka- og þekkingariðnaður sé drifkraftur verðmætasköpunar. Í atvinnustefnunni er því skýrt kveðið á um að áframhaldandi vöxtur hugverkaiðnaðar sé lykilatriði fyrir aukinn útflutning og framleiðni, og að sérstakar stefnuáherslur um eflingu vísinda og nýsköpunar og tryggingu færni til framtíðar eigi að styðja við þá þróun. Fjarskiptastofa getur tekið undir þetta markmið enda er ljóst að mikil gróska er í íslensku nýsköpunarumhverfi hvað þennan iðnað varðar. Sést það m.a. í gegnum áhuga á netöryggisstyrkjum Eyvarar, hæfnisseturs Íslands í netöryggi sem Fjarskiptastofa leiðir. En í þessu ljósi er einnig augljóst að það regluverk sem mótar aðgengi að erlendum mörkuðum skiptir sköpum. Það má því líta á hina nýju gerð, CRA, sem bæði áskorun og tækifæri. Hún kallar á aukna fagmennsku, skýrari ferla og meiri ábyrgð á þróun og líftíma hugbúnaðar og annarra stafrænna vara. Um leið getur hún styrkt stöðu þeirra fyrirtækja sem tileinka sér slíka nálgun snemma, enda verður öryggi og áreiðanleiki sífellt mikilvægari þáttur í samkeppni á alþjóðlegum mörkuðum. Fyrir lítið, opið hagkerfi sem byggir í auknum mæli á útflutningi hugverka getur þetta reynst lykilatriði. Fyrir íslenskan hugbúnaðariðnað felast í því skýr skilaboð: gæði og öryggi eru ekki aðeins tæknilegt atriði heldur lykill að trausti, samkeppnishæfni og áframhaldandi vexti. Höfundur er sviðsstjóri netöryggissviðs hjá Fjarskiptastofu.
Virðing fyrir menntun leikskólakennara er virðing fyrir börnum Ingibjörg Ósk Sigurðardóttir,Sara Margrét Ólafsdóttir Skoðun
Skoðun Við erum öll í sama liði: mikilvægi þess að ræða við börn um virðingu í samskiptum Arna Hrönn Aradóttir skrifar
Skoðun Virðing fyrir menntun leikskólakennara er virðing fyrir börnum Ingibjörg Ósk Sigurðardóttir,Sara Margrét Ólafsdóttir skrifar
Skoðun Varðskipið Þór: Frá samtakamætti til upphafs Landhelgisgæslu Íslands Íris Róbertsdóttir skrifar
Skoðun Lýðræðisveislan í ágúst - Upplýsingar, fullveldi og framtíðarsýn fullvalda þjóðar Sigurður Sigurðsson skrifar
Skoðun Hanna Katrín Friðriksson og hvalveiðar — Frelsi eða forræðishyggja? Hjörvar Sigurðsson skrifar
Skoðun Stjórnsýsla Íslands er ekki „allt of lítil“, hún er „lítil og skilvirk“ Halldór Jörgen Olesen skrifar
Virðing fyrir menntun leikskólakennara er virðing fyrir börnum Ingibjörg Ósk Sigurðardóttir,Sara Margrét Ólafsdóttir Skoðun