Hva er IoT – og hvilke krav gjelder?

IoT – Internet of Things, eller «tingenes internett» – er betegnelsen på fysiske enheter som er koblet til internett og som kan kommunisere med hverandre. Flere regelverk regulerer denne typen produkter i Norge.

IoT-produkter kan være alt fra smartklokker, robotstøvsugere og smarthussystemer til sensorer, leker og industrikomponenter. Felles for dem er at de samler inn, sender og mottar data – ofte kontinuerlig.

IoT-produkter gjør hverdagen enklere, men kan også være en risiko dersom de ikke har tilstrekkelig innebygde sikkerhetsfunksjoner. Dersom nettverket eller enheten ikke er godt nok beskyttet, kan sårbarheter utnyttes av angripere for å få tilgang til personopplysninger, betalingsinformasjon, nettverket eller styringen av selve enheten. 

Hvilke krav gjelder for IoT‑utstyr?

I Norge er det hovedsakelig to regelverk som regulerer IoT‑produkter - de eksisterende cybersikkerhetskravene i radioutstyrsdirektivet 2014/53/EU (RED) og de fremtidige horisontale kravene i Cyber Resilience Act (CRA).

Radioutstyrsdirektivet

Kravene i Radioutstyrsdirektivet omhandler produkter som smartklokker, robotstøvsugere, babycall, smarthussystemer, smartplugger, leker og lignende utstyr som kan kommunisere via internett. 
Produkter solgt i EØS etter 1. august 2025 må oppfylle disse kravene. 

Cyber Resilience Act (CRA)

EUs Cyber Resilience Act (CRA) er et overordnet sikkerhetsregelverk som gjelder for alle produkter med digitale elementer, inkludert en lang rekke IoT‑enheter. CRA er vedtatt og trådte i kraft i EU i desember 2024. 

Full etterlevelse blir obligatorisk fra 11. desember 2027, med gradvis innfasing av krav før dette. Fra denne datoen må IoT utstyr som skal selges på det europeiske markedet (inkludert det norske) tilfredsstille kravene til cybersikkerhet gitt i CRA. Når kravene i CRA trer i kraft vil ikke lengre kravene til cybersikkerhet i radioutstyrsdirektivet gjelde da aktuelle produkter vil omfattes av CRA.

Nkom følger opp avvik

Nasjonal kommunikasjonsmyndighet (Nkom) har ansvar for å føre tilsyn med at kravene til cybersikkerhet i produkter og programvare på det norske markedet er oppfylt. Dersom det avdekkes produkter som ikke følger regelverket vil Nkom kreve at avvikene rettes eller at salg av produktet stanses. Ved alvorlige avvik kan det bli vedtatt tilbakekalling av allerede solgte produkter.

Mer informasjon