Netöryggi hugbúnaðar er lykilatriði í vexti hugverkaiðnaðar Unnur Kristín Sveinbjarnardóttir skrifar 10. maí 2026 14:00 Á undanförnum árum hefur orðið ljóst að rót margra alvarlegra öryggisatvika liggur ekki einungis í flóknum árásum ógnaraðila heldur liggur hún í veikleikum í þeim hugbúnaði sem innviðir og fyrirtæki byggja þjónustu sína á. Jen Easterly, fyrrverandi forstjóri bandarísku netöryggisstofnunarinnar CISA, hefur lýst þessu svo að heimurinn standi ekki frammi fyrir netöryggisvanda heldur gæðavanda í hugbúnaði. Sú lýsing hittir að mörgu leyti í mark, enda hafa fjölmörg nýleg alvarleg atvik átt upptök sín í hugbúnaði eða þjónustu frá birgjum sem tengjast mikilvægum innviðum. Netöryggi er þó víðtækara en svo að það verði rakið til hugbúnaðargæða eingöngu. Það tekur til skipulags, viðbragðsgetu og formfastrar áhættustýringar. Engu að síður gegnir hugbúnaður, og birgjakeðjan öll, lykilhlutverki í þessu samhengi. Veikleikar sem verða til við hönnun, þróun eða viðhald geta haft víðtæk áhrif, sérstaklega þegar um er að ræða kerfi sem tengjast fjarskiptum, orku, heilbrigðisþjónustu, flutningum eða annarri grunnstarfsemi samfélagsins. Þegar slíkir veikleikar eru nýttir geta afleiðingarnar orðið keðjuverkandi og náð langt út fyrir þann aðila sem upphaflega þróaði hugbúnaðinn. Í ljósi þessarar þróunar hefur Evrópusambandið gripið til aðgerða með setningu nýrrar reglugerðar, Cyber Resilience Act (CRA), sem tók gildi árið 2024 og kemur til fullra framkvæmda í desember 2027. Með henni er í fyrsta sinn sett samræmt regluverk sem kveður á um lágmarkskröfur um netöryggi fyrir vörur með stafræna eiginleika, hvort sem um ræðir hugbúnað, vélbúnað eða tengdar gagnavinnslulausnir. Reglugerðin byggir á þeirri meginforsendu að netöryggi skuli vera hluti af hönnun og þróun vörunnar, skuli ná yfir allan líftíma vörunnar og skuli vernda gögn og kerfi. Í framkvæmd felur þetta m.a. í sér að vörur með stafræna eiginleika skulu vera hannaðar með netöryggi að leiðarljósi, að sjálfgefnar stillingar séu öruggar og að þekktir veikleikar séu lágmarkaðir áður en vara er sett á markað. Gerð er krafa um að framleiðendur tryggi reglulegar og tímanlegar öryggisuppfærslur og komi á ferlum til að greina, tilkynna og bregðast við veikleikum sem upp kunna að koma. Þeir þurfa að framkvæma áhættumat, halda viðeigandi skjalfestingu, gefa út samræmisyfirlýsingu og merkja vörur með CE-merkingu til staðfestingar á því að þær uppfylli kröfur reglugerðarinnar. Skyldur eru þó ekki bundnar við framleiðendur eina, heldur ná einnig til innflytjenda og dreifingaraðila sem þurfa að ganga úr skugga um að vörur uppfylli skilyrði áður en þær eru gerðar aðgengilegar á innri markaðinum. Markmið þessara krafna er ekki einungis að bæta tæknilegt öryggi einstakra vara heldur jafnframt að efla neytendavernd og styrkja grunnstoðir stafræns samfélags í heild. Með því að setja lágmarksviðmið á stafrænar vörur er leitast við að vernda bæði neytendur og fyrirtæki sem notendur slíkra vara, en ekki síður að draga úr áhættu í kerfum mikilvægra innviða sem byggja þjónustu sína og rekstur á mismunandi lausnum frá mismunandi aðilum. Að tryggja netöryggi í allri þjónustukeðju mikilvægra innviða er lykilatriði til að byggja upp traust og tryggja örugga virkni samfélaga. Á tímum alþjóðlegrar pólitískrar óvissu og átaka þar sem óvinveittir hópar og jafnvel ríki herja á kerfi mikilvægra innviða er ekki einungis nauðsynlegt að tryggja öryggi hugbúnaðar og annarra vara með stafræna eiginleika, það er orðið almannahagsmuna- og þjóðaröryggismál. Þrátt fyrir að reglugerðin hafi hvorki verið tekinn upp í EES-samninginn né innleidd hér á landi mun hún engu að síður hafa bein áhrif á íslensk fyrirtæki sem starfa á eða selja vörur sínar á innri markaðinum. Þau þurfa að uppfylla kröfur hennar ef þau hyggjast bjóða vörur sínar þar til sölu. Þetta á við um stóran hluta þeirra fyrirtækja sem starfa á sviði hugbúnaðargerðar. Gildissvið reglugerðarinnar víðtækt og nær til allra vara með stafræna eiginleika. Á sama tíma hefur vaxandi umræða verið um það hérlendis að hugverkaiðnaður, þar á meðal hugbúnaðarþróun, sé að verða einn helsti vaxtarbroddur íslensks atvinnulífs. Samtök iðnaðarins hafa ítrekað bent á þessa þróun í fjölmiðlum og lagt áherslu á mikilvægi þess að efla tæknigreinar sem grunnþátt í framtíðarútflutningi. Sú áhersla endurspeglast jafnframt í nýrri atvinnustefnu stjórnvalda, þar sem nýsköpun og tækniþróun eru skilgreind sem burðarás í uppbyggingu atvinnulífs sem byggir á þekkingu, hugviti og nýjum lausnum. Þar er lögð áhersla á að hugverka- og þekkingariðnaður sé drifkraftur verðmætasköpunar. Í atvinnustefnunni er því skýrt kveðið á um að áframhaldandi vöxtur hugverkaiðnaðar sé lykilatriði fyrir aukinn útflutning og framleiðni, og að sérstakar stefnuáherslur um eflingu vísinda og nýsköpunar og tryggingu færni til framtíðar eigi að styðja við þá þróun. Fjarskiptastofa getur tekið undir þetta markmið enda er ljóst að mikil gróska er í íslensku nýsköpunarumhverfi hvað þennan iðnað varðar. Sést það m.a. í gegnum áhuga á netöryggisstyrkjum Eyvarar, hæfnisseturs Íslands í netöryggi sem Fjarskiptastofa leiðir. En í þessu ljósi er einnig augljóst að það regluverk sem mótar aðgengi að erlendum mörkuðum skiptir sköpum. Það má því líta á hina nýju gerð, CRA, sem bæði áskorun og tækifæri. Hún kallar á aukna fagmennsku, skýrari ferla og meiri ábyrgð á þróun og líftíma hugbúnaðar og annarra stafrænna vara. Um leið getur hún styrkt stöðu þeirra fyrirtækja sem tileinka sér slíka nálgun snemma, enda verður öryggi og áreiðanleiki sífellt mikilvægari þáttur í samkeppni á alþjóðlegum mörkuðum. Fyrir lítið, opið hagkerfi sem byggir í auknum mæli á útflutningi hugverka getur þetta reynst lykilatriði. Fyrir íslenskan hugbúnaðariðnað felast í því skýr skilaboð: gæði og öryggi eru ekki aðeins tæknilegt atriði heldur lykill að trausti, samkeppnishæfni og áframhaldandi vexti. Höfundur er sviðsstjóri netöryggissviðs hjá Fjarskiptastofu. Viltu birta grein á Vísi? Kynntu þér reglur ritstjórnar um skoðanagreinar. Senda grein Netöryggi Fjarskipti Mest lesið Getum við gert betur fyrir íslensk heimili? Berglind Guðmundsdóttir Skoðun Ofveiðin í ESB fyrir 500 árum Sigurjón Þórðarson Skoðun Bless tollfrjálsu Temu, Shein og Alibaba Jón Pétur Zimsen Skoðun Óafsakanlegt, en ekki óleysanlegt Birgir Hrafn Birgisson Skoðun FIFA skapar nýja skúrka Bragi V. Bergmann Skoðun Tæknin kemur hratt - en ávinningurinn ekki sjálfkrafa Gísli Rafn Ólafsson Skoðun Almyrkvinn 2026 – besta áhorfssvæðið gæti verið heima hjá þér Dagbjartur Kr. Brynjarsson Skoðun Temu-pakkar JP Zimsen eða alvöru hagsmunir Íslands Sveinn Atli Gunnarsson Skoðun Nærri þrír vinnumánuðir á ári – hinn ósýnilegi kostnaður endómetríósu Jón Ívar Einarsson Skoðun Vangaveltur Hörður Torfason Skoðun Skoðun Skoðun Almyrkvinn 2026 – besta áhorfssvæðið gæti verið heima hjá þér Dagbjartur Kr. Brynjarsson skrifar Skoðun Hvalfjarðarsveit kallar eftir samtali við Vegagerðina um umferðaröryggi Björn Bjarki Þorsteinsson skrifar Skoðun Tæknin kemur hratt - en ávinningurinn ekki sjálfkrafa Gísli Rafn Ólafsson skrifar Skoðun Óafsakanlegt, en ekki óleysanlegt Birgir Hrafn Birgisson skrifar Skoðun Ofveiðin í ESB fyrir 500 árum Sigurjón Þórðarson skrifar Skoðun Getum við gert betur fyrir íslensk heimili? Berglind Guðmundsdóttir skrifar Skoðun FIFA skapar nýja skúrka Bragi V. Bergmann skrifar Skoðun Vangaveltur Hörður Torfason skrifar Skoðun Þegar stórveldin gera það sem þeim sýnist er ESB okkar besti kostur Eiríkur Ragnarsson skrifar Skoðun Nærri þrír vinnumánuðir á ári – hinn ósýnilegi kostnaður endómetríósu Jón Ívar Einarsson skrifar Skoðun Temu-pakkar JP Zimsen eða alvöru hagsmunir Íslands Sveinn Atli Gunnarsson skrifar Skoðun Bless tollfrjálsu Temu, Shein og Alibaba Jón Pétur Zimsen skrifar Skoðun En stelirðu miklu... Ögmundur Jónasson skrifar Skoðun Menntun fyrir mennsku Fanney Dóróthe Halldórsdóttir skrifar Skoðun Ekki má draga víðtækar ályktanir af veikum gögnum Helga Rósa Másdóttir,Steinunn Þórðadóttir skrifar Skoðun Krónuskatturinn á kynslóðirnar: mesti skattur Íslandssögunnar Baldur Pétursson skrifar Skoðun Það er mér í hag að hinsegin fánar séu sýnilegir Daníel Ágúst Gautason skrifar Skoðun Minnir á kafla úr bók Franz Kafka Sigurður Páll Jónsson skrifar Skoðun Kannski erum við að spyrja rangra spurninga Haukur Logi Jóhannsson skrifar Skoðun „Að deila og drottna“ - hugleiðingar miðaldra konu að kvöldlagi Ingibjörg Einarsdóttir skrifar Skoðun Þegar maður gengur gegn eigin gildum Sigurður Árni Reynisson skrifar Skoðun Er ekki komið gott af því að mæta í sumarfrí eins og sími á 2% rafhlöðu? Ingunn Björk Vilhjálmsdóttir skrifar Skoðun Hvernig fyrirbyggjum við heimilisleysi eftir meðferð vegna vímuefnaröskunar? Erla Björg Sigurðardóttir skrifar Skoðun Dulinn kostnaður við kreditkortið þitt Dagur B. Eggertsson skrifar Skoðun Hljóðlát endalok íslensku vefumsjónarkerfanna Birgir Hrafn Birgisson skrifar Skoðun Það borgar sig að skoða kostina Gunnar Ármannsson skrifar Skoðun Hvað sér unga fólkið sem ég sé ekki? Gunnar Salvarsson skrifar Skoðun Hlutdrægni RÚV í ESB umræðunni Birgir Finnsson skrifar Skoðun Voru lífeyrisréttindi markvisst tekin af opinberum starfsmönnum og var engin leiðrétting launa? Gunnar Alexander Ólafsson,Sveinn Ólafsson skrifar Skoðun Evrópusambandið og fiskveiðar Finnur Torfi Magnússon. skrifar Sjá meira
Á undanförnum árum hefur orðið ljóst að rót margra alvarlegra öryggisatvika liggur ekki einungis í flóknum árásum ógnaraðila heldur liggur hún í veikleikum í þeim hugbúnaði sem innviðir og fyrirtæki byggja þjónustu sína á. Jen Easterly, fyrrverandi forstjóri bandarísku netöryggisstofnunarinnar CISA, hefur lýst þessu svo að heimurinn standi ekki frammi fyrir netöryggisvanda heldur gæðavanda í hugbúnaði. Sú lýsing hittir að mörgu leyti í mark, enda hafa fjölmörg nýleg alvarleg atvik átt upptök sín í hugbúnaði eða þjónustu frá birgjum sem tengjast mikilvægum innviðum. Netöryggi er þó víðtækara en svo að það verði rakið til hugbúnaðargæða eingöngu. Það tekur til skipulags, viðbragðsgetu og formfastrar áhættustýringar. Engu að síður gegnir hugbúnaður, og birgjakeðjan öll, lykilhlutverki í þessu samhengi. Veikleikar sem verða til við hönnun, þróun eða viðhald geta haft víðtæk áhrif, sérstaklega þegar um er að ræða kerfi sem tengjast fjarskiptum, orku, heilbrigðisþjónustu, flutningum eða annarri grunnstarfsemi samfélagsins. Þegar slíkir veikleikar eru nýttir geta afleiðingarnar orðið keðjuverkandi og náð langt út fyrir þann aðila sem upphaflega þróaði hugbúnaðinn. Í ljósi þessarar þróunar hefur Evrópusambandið gripið til aðgerða með setningu nýrrar reglugerðar, Cyber Resilience Act (CRA), sem tók gildi árið 2024 og kemur til fullra framkvæmda í desember 2027. Með henni er í fyrsta sinn sett samræmt regluverk sem kveður á um lágmarkskröfur um netöryggi fyrir vörur með stafræna eiginleika, hvort sem um ræðir hugbúnað, vélbúnað eða tengdar gagnavinnslulausnir. Reglugerðin byggir á þeirri meginforsendu að netöryggi skuli vera hluti af hönnun og þróun vörunnar, skuli ná yfir allan líftíma vörunnar og skuli vernda gögn og kerfi. Í framkvæmd felur þetta m.a. í sér að vörur með stafræna eiginleika skulu vera hannaðar með netöryggi að leiðarljósi, að sjálfgefnar stillingar séu öruggar og að þekktir veikleikar séu lágmarkaðir áður en vara er sett á markað. Gerð er krafa um að framleiðendur tryggi reglulegar og tímanlegar öryggisuppfærslur og komi á ferlum til að greina, tilkynna og bregðast við veikleikum sem upp kunna að koma. Þeir þurfa að framkvæma áhættumat, halda viðeigandi skjalfestingu, gefa út samræmisyfirlýsingu og merkja vörur með CE-merkingu til staðfestingar á því að þær uppfylli kröfur reglugerðarinnar. Skyldur eru þó ekki bundnar við framleiðendur eina, heldur ná einnig til innflytjenda og dreifingaraðila sem þurfa að ganga úr skugga um að vörur uppfylli skilyrði áður en þær eru gerðar aðgengilegar á innri markaðinum. Markmið þessara krafna er ekki einungis að bæta tæknilegt öryggi einstakra vara heldur jafnframt að efla neytendavernd og styrkja grunnstoðir stafræns samfélags í heild. Með því að setja lágmarksviðmið á stafrænar vörur er leitast við að vernda bæði neytendur og fyrirtæki sem notendur slíkra vara, en ekki síður að draga úr áhættu í kerfum mikilvægra innviða sem byggja þjónustu sína og rekstur á mismunandi lausnum frá mismunandi aðilum. Að tryggja netöryggi í allri þjónustukeðju mikilvægra innviða er lykilatriði til að byggja upp traust og tryggja örugga virkni samfélaga. Á tímum alþjóðlegrar pólitískrar óvissu og átaka þar sem óvinveittir hópar og jafnvel ríki herja á kerfi mikilvægra innviða er ekki einungis nauðsynlegt að tryggja öryggi hugbúnaðar og annarra vara með stafræna eiginleika, það er orðið almannahagsmuna- og þjóðaröryggismál. Þrátt fyrir að reglugerðin hafi hvorki verið tekinn upp í EES-samninginn né innleidd hér á landi mun hún engu að síður hafa bein áhrif á íslensk fyrirtæki sem starfa á eða selja vörur sínar á innri markaðinum. Þau þurfa að uppfylla kröfur hennar ef þau hyggjast bjóða vörur sínar þar til sölu. Þetta á við um stóran hluta þeirra fyrirtækja sem starfa á sviði hugbúnaðargerðar. Gildissvið reglugerðarinnar víðtækt og nær til allra vara með stafræna eiginleika. Á sama tíma hefur vaxandi umræða verið um það hérlendis að hugverkaiðnaður, þar á meðal hugbúnaðarþróun, sé að verða einn helsti vaxtarbroddur íslensks atvinnulífs. Samtök iðnaðarins hafa ítrekað bent á þessa þróun í fjölmiðlum og lagt áherslu á mikilvægi þess að efla tæknigreinar sem grunnþátt í framtíðarútflutningi. Sú áhersla endurspeglast jafnframt í nýrri atvinnustefnu stjórnvalda, þar sem nýsköpun og tækniþróun eru skilgreind sem burðarás í uppbyggingu atvinnulífs sem byggir á þekkingu, hugviti og nýjum lausnum. Þar er lögð áhersla á að hugverka- og þekkingariðnaður sé drifkraftur verðmætasköpunar. Í atvinnustefnunni er því skýrt kveðið á um að áframhaldandi vöxtur hugverkaiðnaðar sé lykilatriði fyrir aukinn útflutning og framleiðni, og að sérstakar stefnuáherslur um eflingu vísinda og nýsköpunar og tryggingu færni til framtíðar eigi að styðja við þá þróun. Fjarskiptastofa getur tekið undir þetta markmið enda er ljóst að mikil gróska er í íslensku nýsköpunarumhverfi hvað þennan iðnað varðar. Sést það m.a. í gegnum áhuga á netöryggisstyrkjum Eyvarar, hæfnisseturs Íslands í netöryggi sem Fjarskiptastofa leiðir. En í þessu ljósi er einnig augljóst að það regluverk sem mótar aðgengi að erlendum mörkuðum skiptir sköpum. Það má því líta á hina nýju gerð, CRA, sem bæði áskorun og tækifæri. Hún kallar á aukna fagmennsku, skýrari ferla og meiri ábyrgð á þróun og líftíma hugbúnaðar og annarra stafrænna vara. Um leið getur hún styrkt stöðu þeirra fyrirtækja sem tileinka sér slíka nálgun snemma, enda verður öryggi og áreiðanleiki sífellt mikilvægari þáttur í samkeppni á alþjóðlegum mörkuðum. Fyrir lítið, opið hagkerfi sem byggir í auknum mæli á útflutningi hugverka getur þetta reynst lykilatriði. Fyrir íslenskan hugbúnaðariðnað felast í því skýr skilaboð: gæði og öryggi eru ekki aðeins tæknilegt atriði heldur lykill að trausti, samkeppnishæfni og áframhaldandi vexti. Höfundur er sviðsstjóri netöryggissviðs hjá Fjarskiptastofu.
Skoðun Almyrkvinn 2026 – besta áhorfssvæðið gæti verið heima hjá þér Dagbjartur Kr. Brynjarsson skrifar
Skoðun Hvalfjarðarsveit kallar eftir samtali við Vegagerðina um umferðaröryggi Björn Bjarki Þorsteinsson skrifar
Skoðun Þegar stórveldin gera það sem þeim sýnist er ESB okkar besti kostur Eiríkur Ragnarsson skrifar
Skoðun Nærri þrír vinnumánuðir á ári – hinn ósýnilegi kostnaður endómetríósu Jón Ívar Einarsson skrifar
Skoðun Ekki má draga víðtækar ályktanir af veikum gögnum Helga Rósa Másdóttir,Steinunn Þórðadóttir skrifar
Skoðun „Að deila og drottna“ - hugleiðingar miðaldra konu að kvöldlagi Ingibjörg Einarsdóttir skrifar
Skoðun Er ekki komið gott af því að mæta í sumarfrí eins og sími á 2% rafhlöðu? Ingunn Björk Vilhjálmsdóttir skrifar
Skoðun Hvernig fyrirbyggjum við heimilisleysi eftir meðferð vegna vímuefnaröskunar? Erla Björg Sigurðardóttir skrifar
Skoðun Voru lífeyrisréttindi markvisst tekin af opinberum starfsmönnum og var engin leiðrétting launa? Gunnar Alexander Ólafsson,Sveinn Ólafsson skrifar