Implementering af Cyber Resilience Act i SMV’er

Vi ønsker at undersøge:
Hvordan SMVer, der producere netværksopkoblede produkter, kan leve op til forordning om cyberrobusthed.
Hvordan virksomheder kan holde den tekniske del af påkrævet dokumentationen ajourført.
Hvordan virksomhederne kan sikre sig, at de ikke sender produkter på markedet med kendte sårbarheder.

Cyberkriminalitet er et voksende problem. F.eks. er der fra 2022 til 2023 sket en stigning på 30% i antallet af anmeldelser på IT-relateret økonomisk kriminalitet. Derudover giver geopolitiske spændinger – heriblandt krigen i Ukraine – en meget høj trussel for cyberspionage.
Cybertrusselsniveauet i landet er alvorligt højt og det påvirker også lokale virksomheder.
På landsplan skal der investeres i cyberforsvaret. Og IT-branchen efterspørger talent på cyberområdet, som EASV kan være med til at udfylde.
Kigger vi på EU, så har behovet for øget IT-sikkerhed ført til flere lovpakker, som GDPR Cybersecurity Act NIS2 og Cyber Resilience Act.
Det er den virkelighed, de studerende på IT-uddannelserne står over for, når de kommer ud på arbejdsmarkedet, og det bør vi forholde os til.

Projektplanlægning: august-september 2025, forundersøgelse af eksisterende litteratur om emnet, møder med virksomheden Agramkow, udarbejdelse af spørgeskema, planlægning af case(s) til de studerende.
Projektgennemførelse:
Perioden oktober-maj 2025/2026 udføres de senere omtalte undervisningssekvenser og målinger. Vi vil også løbende udbygge vores viden og lave vores eget materialet klar til rapporteringen baseret på vores analyser af de indsamlede data.
Afslutning: Juli 2026 – her forventes slutprodukterne at være færdige. Formidlingen kan sikkert først ske til efteråret 2026.

Litteraturstudie:
Vi vil indledningsvist lave et litteraturstudie, hvor vi sammenholder lovteksten med hvad der eksisterer af praksisser inden for sikkerhedsverdenen, med henblik på at afdække sammenhæng.

Interviews:
Interviews med relevante medarbejdere i virksomheden Agramkow, der fungerer som case i dette projekt. Vi ønsker at gennemføre interviews med nøglepersoner i AGRAMKOW omkring deres kendskab til CRA, GDPR samt de tiltag, som virksomheden allerede har sat i gang.

Eksperimentel dataindsamling under projektet:
Til at besvare problemformuleringen ønsker vi at inddrage studerende på EASV. Fordelen herved er, at vi de er uvildige og vi har mange af dem, så det giver noget volumen. De bidrager med at undersøge, om eksisterende metoder kan anvendes i forhold til Cyber Resilience Act.
Vi gennemfører mindst tre konkrete undervisningsforløb hvor de studerende både konstruerer software og laver analysearbejde med dokumentation of arbejdet.
Vi tilstræber så vidt som muligt at gennemføre disse forløb baseret på oplæg fra virksomheden og tilrettede case-opgaver.
Vi laver altså primært eksperimentelt arbejde med de studerende baseret på hypoteser som slutteligt kan bekræftes /eller afkræftes.

Udarbejdelse af rapport:
Resultatet af dette arbejde er skriftlige rapporter med anbefalinger rettet til AGRAMKOW samt generelle anbefalinger til SMV’er. Vi planlægger at lave en mini-konference med repræsentanter for virksomheden samt studerende og os, hvor resultaterne i fællesskab vurderes.

Vi forventer at projektet kan bidrage med anbefalinger til SMV’er omkring implementering af Cyber Resilience Act.