EN DA
legislation

Cyber Resilience Act EU-reglering för säkra produkter

23 minuters läsning
Cyber Resilience Act EU-reglering för säkra produkter

Cyber Resilience Act (CRA) reglerar säkerheten för produkter med digitala element i EU. Lär dig om tillämpningsområde, tillverkarskyldigheter och CE-märkning.

Tillämpningsområde och giltighet för CRA

Cyber Resilience Act gäller i princip alla produkter med digitala element (dvs. som är eller innehåller programvara) som har en nätverks- eller enhetsanslutning och släpps på EU-marknaden.

Dock utesluts produkter som redan regleras av annan EU-lagstiftning - som medicintekniska produkter, fordon eller flyg. Försvarsprodukter, reservdelar och produkter för vilka kommissionen har antagit ett undantag omfattas inte heller. Regleringen syftar huvudsakligen till att harmonisera och stärka cybersäkerhetskraven för de flesta anslutna produkter i EU.

En särskild roll inom tillämpningsområdet spelas av Open Source Software och molnlösningar eller Software-as-a-Service (SaaS).

Open Source Software

Open source-programvara ingår uttryckligen i tillämpningsområdet. Artikel 3(48) definierar "fri och öppen källkod" som programvara vars källkod delas öppet och görs tillgänglig under en fri och öppen licens som gör att den kan användas, användas, modifieras och distribueras fritt. För sådana open source-produkter kräver artikel 24 att "open source-programvaruförvaltarna" implementerar en cybersäkerhetspolicy och samarbetar med myndigheter vid riskbegränsning.

Moln och programvara som tjänst (SaaS)

SaaS och molnlösningar faller under Cyber Resilience Act endast om de betraktas som "fjärrdatabehandlingslösningar" enligt artikel 3(2). Annars ska de inte betraktas som en "produkt med digitala element" enligt definitionen i artikel 3(1) och därför inte omfattas av regleringen.

CRA:s tillämpningsområde - produkter med digitala element

I huvudsak faller all ansluten programvara, hårdvara och elektroniska produkter med databehandlingskapacitet under termen "produkter med digitala element".

Enligt artikel 2 (tillämpningsområde) gäller Cyber Resiliance Act för

> produkter med digitala element som görs tillgängliga på marknaden och vars avsedda användning eller rimligen förutsägbar användning innebär en direkt eller indirekt logisk eller fysisk dataanslutning till en enhet eller nätverk.

"Produkter med digitala element" (artikel 3) är alla mjukvaru- eller hårdvaruprodukter och deras fjärrdatabehandlingslösningar, inklusive mjukvaru- eller hårdvarukomponenter som släpps på marknaden separat.

Kärnan i definitionen är att dessa är elektroniska informationssystem som kan bearbeta, lagra eller överföra digital data. Detta inkluderar både mjukvarukomponenter och fysiska hårdvarukomponenter.

Fjärrdatabehandlingslösningar avser databehandling för vilken tillverkaren är ansvarig och utan vilken produkten inte kan utföra en av sina funktioner.

Produkter kan ha en logisk (virtuell) och/eller fysisk (elektrisk, optisk, mekanisk) anslutning till andra enheter eller nätverk, antingen direkt eller indirekt som en del av ett större system.

Undantag från CRA:s tillämpningsområde

CRA gäller brett för de flesta produkter med digitala element som är anslutna till enheter eller nätverk när de släpps på EU-marknaden. Den gäller dock inte för produkter som redan regleras på annat håll. Dessa inkluderar

Medicinska enheter

Produkter med digitala element som täcks av förordning (EU) 2017/745 om medicintekniska produkter (artikel 2(2a)).

In vitro-diagnostik

Produkter med digitala element som täcks av förordning (EU) 2017/746 om medicintekniska produkter för in vitro-diagnostik (artikel 2(2b)).

Komponenter för motorfordon

Produkter med digitala element som täcks av förordning (EU) 2019/2144 om motorfordon (artikel 2(2c)).

Civil luftfart

Produkter med digitala element certifierade enligt förordning (EU) 2018/1139 om luftfartssäkerhet (artikel 2(3)).

Skeppsutrustning

Utrustning som faller under direktiv 2014/90/EU om marin utrustning (artikel 2(4)).

Produkter med högre säkerhetsnivå

Produkter med digitala element som täcks av annan EU-lagstiftning som uppfyller en motsvarande eller högre nivå av cybersäkerhet, som fastställts av kommissionen i delegerade akter (artikel 2(5)).

Reservdelar

Reservdelar som ersätter identiska komponenter i befintliga produkter med digitala element (artikel 2(6)).

Nationell säkerhet och försvar

Produkter utvecklade eller modifierade uteslutande för nationell säkerhet, försvar eller behandling av klassificerad information (artikel 2(7)).

Skyldigheter för tillverkare av produkter

Tillverkare av produkter med digitala element har många skyldigheter för att säkerställa cybersäkerheten och överensstämmelsen hos sina produkter. Dessa skyldigheter inkluderar

Riskhantering och överensstämmelse med väsentliga krav

Tillverkare måste säkerställa att deras produkter designas, utvecklas och produceras i enlighet med de väsentliga kraven, inklusive cybersäkerhetskraven som anges i bilaga I, del I (artikel 13(1)).

För att efterleva måste tillverkare utföra en cybersäkerhetsriskbedömning och ta hänsyn till den under hela produktlivscykeln, inklusive planering, design, utveckling, produktion, leverans och underhåll (artikel 13(2)).

Riskbedömningen måste dokumenteras, hållas uppdaterad och ingå i den tekniska dokumentationen som förbereds vid marknadsplacering (artikel 13(3)-(4)).

Tillverkare måste utöva vederbörlig omsorg när de integrerar komponenter, inklusive tredjepartskomponenter, för att säkerställa att de inte undergräver produktens cybersäkerhet. Detta gäller även för open source-programvara som inte gjorts kommersiellt tillgänglig (artikel 13(5)).

Tillhandahållande av uppdateringar och åtgärder av sårbarheter

När en sårbarhet identifieras i en komponent, inklusive open source-komponenter, måste tillverkare rapportera sårbarheten till komponentens tillverkare eller underhållsleverantör och vidta åtgärder för att åtgärda den (artikel 13(6)).

Tillverkare måste systematiskt dokumentera cybersäkerhetsaspekter av produkter och uppdatera riskbedömningen i enlighet därmed (artikel 13(7)).

Tillverkare måste säkerställa att sårbarheter adresseras effektivt under hela supportperioden, som måste vara minst fem år (artikel 13(8)).

Säkerhetsuppdateringar måste förbli tillgängliga i minst tio år efter marknadsplacering eller under supportperiodens varaktighet (artikel 13(9)).

När efterföljande versioner av programvara släpps måste tillverkare säkerställa att tidigare versioner kan uppdateras till den senaste versionen gratis (artikel 13(10)).

Teknisk dokumentation och konformitetsbedömning

Tillverkare måste förbereda teknisk dokumentation, utföra eller låta utföra konformitetsbedömningsförfaranden, utfärda EU-konformitetsdeklarationen och fästa CE-märkningen (artikel 13(12)).

Den tekniska dokumentationen och EU-konformitetsdeklarationen måste bevaras i minst tio år (artikel 13(13)).

Tillverkare måste säkerställa att produkter som produceras som en del av en serie förblir överensstämmande (artikel 13(14)).

Produktmärkning och information för användare

Tillverkare måste säkerställa att deras produkter bär ett unikt identifikationsnummer och att deras kontaktinformation tillhandahålls på produkten eller förpackningen (artikel 13(15)-(16)).

Tillverkare måste utse en enda kontaktpunkt för att göra det möjligt för användare att kommunicera direkt och snabbt, och säkerställa att denna kontakt är lätt att identifiera (artikel 13(17)).

Produkter måste levereras med den nödvändiga informationen och instruktionerna för användare, som måste vara tillgänglig i minst tio år (artikel 13(18)).

Slutet på support måste tydligt och begripligt anges vid köptillfället (artikel 13(19)).

Tillverkare måste tillhandahålla en kopia av EU-konformitetsdeklarationen eller en förenklad EU-konformitetsdeklaration tillsammans med produkten (artikel 13(20)).

Korrigerande åtgärder och samarbete med myndigheter

Tillverkare måste omgående vidta korrigerande åtgärder för att få produkten eller processerna att överensstämma om de inte är överensstämmande (artikel 13(21)).

På begäran av marknadsövervakningmyndigheter måste tillverkare tillhandahålla all nödvändig information och dokumentation och samarbeta i åtgärder för att eliminera cybersäkerhetsrisker (artikel 13(22)).

Tillverkare som upphör med sin verksamhet måste informera relevanta marknadsövervakningmyndigheter och, där det är möjligt, användare om den planerade nedläggningen (artikel 13(23)).

Dessa omfattande skyldigheter säkerställer att tillverkare är ansvariga för säkerheten och överensstämmelsen hos sina digitala produkter och vidtar nödvändiga åtgärder för att minimera potentiella cybersäkerhetsrisker.

Väsentliga krav för CRA

Artikel 13 kräver att tillverkare säkerställer att deras produkter designas, utvecklas och produceras i enlighet med de väsentliga kraven, som inkluderar cybersäkerhetskraven i bilaga I, del I.

I grunden kräver Cyber Resilience Act en riskbaserad ansats för produktutveckling. Detta återspeglas i det första kravet

  • Lämplig cybersäkerhetsnivå baserad på risker (del I, stycke 1) Exempel: En tillverkare utför en riskbedömning och implementerar lämpliga säkerhetsåtgärder för sin internetaktiverade produkt.

Ytterligare krav måste implementeras baserat på riskbedömningen

  • Inga kända exploaterbara sårbarheter vid marknadsplacering (del I, stycke 2a) Exempel: Alla kända sårbarheter åtgärdas före marknadsplacering.
  • Säker standardkonfiguration (del I, stycke 2b) Exempel: Produkten levereras med onödiga tjänster inaktiverade och starka standardlösenord.
  • Sårbarheter adresserbara genom säkerhetsuppdateringar (del I, stycke 2c) Exempel: Produkten notifierar användare om nya uppdateringar och erbjuder en funktion för (automatiska) säkerhetsuppdateringar.
  • Förebyggande av obehörig åtkomst genom åtkomstkontroll (del I, stycke 2d) Exempel: Multifaktorautentisering och användaråtkomsthantering implementeras.
  • Konfidentialitet av data skyddad genom kryptering (del I, stycke 2e) Exempel: Lagrad och överförd data skyddas genom kryptering.
  • Integritet av data, kommandon och konfigurationer skyddad (del I, stycke 2f) Exempel: Digitala signaturer och integritetskontroller används för att upptäcka obehöriga ändringar.
  • Dataminimering (del I, stycke 2g) Exempel: Endast data som är nödvändiga för funktionaliteten samlas in och behandlas.
  • Kärnfunktioner förblir tillgängliga efter incidenter (del I, stycke 2h) Exempel: Redundanta arkitekturer och DDoS-skyddsåtgärder implementeras.
  • Minimal negativ påverkan på andra enheter och nätverk (del I, stycke 2i) Exempel: Begränsad nätverksåtkomst och bandbreddskontroller implementeras.
  • Minimering av attackyta (del I, stycke 2j) Exempel: Oanvända portar, tjänster och gränssnitt inaktiveras.
  • Skadebegränsning vid incidenter (del I, stycke 2k) Exempel: Mekanismer som sandlåda, minsta privilegiumprinciper och adressutrymmelayoutrandomisering (ASLR) används.
  • Säkerhetsövervakning och loggning (del I, stycke 2l) Exempel: Säkerhetsrelevanta händelser loggas och övervakas.
  • Säker datarensning (del I, stycke 2m) Exempel: Användare kan utföra en fullständig och säker rensning av all data och inställningar.

Dessutom måste tillverkare säkerställa att sårbarheter adresseras effektivt under supportperioden.

Väsentliga krav för detta inkluderar

  • Dokumentation av sårbarheter och komponenter (del II, stycke 1) Exempel: En programvarukomponentförteckning (SBOM) tillhandahålls i ett vanligt, maskinläsbart format.
  • Snabb åtgärd av sårbarheter (del II, stycke 2) Exempel: Säkerhetsuppdateringar publiceras omgående efter att en sårbarhet upptäcks.
  • Regelbunden säkerhetstestning (del II, stycke 3) Exempel: Penetrationstester och kodgranskningar utförs rutinmässigt.
  • Avslöjande av åtgärdade sårbarheter (del II, stycke 4) Exempel: Detaljer om sårbarheter och säkerhetsuppdateringar publiceras.
  • Koordinerat sårbarhetsavslöjande (del II, stycke 5) Exempel: En policy för snabb åtgärd och kontrollerat avslöjande av sårbarheter implementeras.
  • Kontaktpunkt för sårbarhetsrapporter (del II, stycke 6) Exempel: En säker kommunikationskanal för rapportering av sårbarheter tillhandahålls.
  • Säker distribution av uppdateringar (del II, stycke 7) Exempel: Säkerhetsuppdateringar distribueras via krypterade och autentiserade kanaler.
  • Snabb och kostnadsfri tillhandahållande av säkerhetsuppdateringar (del II, stycke 8) Exempel: Säkerhetsuppdateringar tillhandahålls omgående och generellt kostnadsfritt.

Rapporteringsskyldigheter för CRA

Tillverkare måste rapportera sårbarheter och säkerhetsrelevanta incidenter omfattande och i rätt tid för att säkerställa produktcybersäkerhet och möjliggöra snabb respons på hot.

Dessa rapporteringsskyldigheter inkluderar notifieringar till den behöriga CSIRT och till ENISA via en enda rapporteringsplattform. Tidsramar definieras för att säkerställa att information om sårbarheter och säkerhetsrelevanta incidenter överförs snabbt och korrekt.

Nedan finns de detaljerade tillverkarskyldigheterna för sårbarheter och säkerhetsrelevanta incidenter, inklusive associerade tidsramar.

Hantering av sårbarheter

Tillverkare måste omgående rapportera aktivt exploaterade sårbarheter som upptäcks i deras produkter för att minimera exploatering av angripare. Rapporter måste göras inom specificerade tidsramar för att säkerställa att relevanta myndigheter kan agera snabbt.

Första varning

Den första varningen måste göras inom 24 timmar från att man blir medveten om en aktivt exploaterad sårbarhet. Denna varning måste skickas till den behöriga CSIRT och ENISA och inkludera en tidig varning om sårbarheten och medlemsstaterna där produkten är tillgänglig (artikel 14(2)(a)).

Detaljerad rapport

Inom 72 timmar från att man blir medveten om sårbarheten måste en detaljerad sårbarhetsrapport skickas till den behöriga CSIRT och ENISA. Denna rapport måste innehålla allmän information om den drabbade produkten, den allmänna naturen hos sårbarheten och exploits, korrigerande eller begränsande åtgärder som vidtagits och åtgärder användare kan vidta. Den måste också ange känsligheten hos den rapporterade informationen (artikel 14(2)(b)).

Slutrapport

Senast 14 dagar efter att en korrigerande åtgärd blir tillgänglig måste en slutrapport skickas till den behöriga CSIRT och ENISA. Denna rapport måste inkludera en detaljerad beskrivning av sårbarheten, inklusive svårighetsgrad och påverkan, information om angriparen (om tillgänglig) och detaljer om de korrigerande åtgärder som vidtagits (artikel 14(2)(c)).

Hantering av säkerhetsrelevanta incidenter

Tillverkare måste också rapportera allvarliga säkerhetsincidenter som kan påverka säkerheten hos deras produkter. Dessa rapporter måste göras inom definierade tidsramar för att säkerställa att påverkan minimeras och motåtgärder implementeras snabbt.

Första varning

Den första varningen måste göras inom 24 timmar från att man blir medveten om den säkerhetsrelevanta händelsen. Denna notifiering måste skickas till den behöriga CSIRT och ENISA och innehålla en preliminär beskrivning av incidenten, inklusive om den misstänks bero på olaglig eller skadlig aktivitet, och information om drabbade medlemsstater (artikel 14(4)(a)).

Detaljerad rapport

Inom 72 timmar från att man blir medveten om incidenten måste en detaljerad incidentrapport skickas till den behöriga CSIRT och ENISA. Denna rapport måste inkludera allmän information om incidenten, en initial bedömning, korrigerande eller begränsande åtgärder som vidtagits och åtgärder användare kan vidta. Känsligheten hos informationen måste också anges (artikel 14(4)(b)).

Slutrapport

Inom en månad från den detaljerade rapporten måste en slutrapport skickas till den behöriga CSIRT och ENISA. Denna rapport måste inkludera en detaljerad beskrivning av incidenten, inklusive svårighetsgrad och påverkan, hotets eller orsakens natur och korrigerande och pågående motåtgärder (artikel 14(4)(c)).

Notifiering av användare

Tillverkare måste informera drabbade användare och, där nödvändigt, alla användare om aktivt exploaterade sårbarheter eller säkerhetsincidenter. Dessa kommunikationer måste inkludera riskbegränsning och åtgärder användare kan vidta (artikel 14(8)).

Skyldigheter för andra aktörer

Förutom produkttillverkare definierar Cyber Resilience Act krav för importörer och distributörer av produkter och för open source-programvaruförvaltare.

Importörer

Enligt artikel 19 får importörer endast placera produkter på marknaden som uppfyller de väsentliga kraven. De måste säkerställa att tillverkaren har utfört konformitetsbedömningsförfaranden, att teknisk dokumentation är tillgänglig och att CE-märkningen är fäst. De måste också ange sitt namn och kontaktuppgifter på produkten, förpackningen eller medföljande dokument. Vid icke-överensstämmelse eller säkerhetsrisker måste de vidta åtgärder och informera myndigheterna. EU-konformitetsdeklarationen och teknisk dokumentation måste bevaras i minst tio år, och importörer måste samarbeta med marknadsövervakningmyndigheter på begäran.

Distributörer

Enligt artikel 20 måste distributörer agera med vederbörlig omsorg och säkerställa att produkten bär CE-märkningen och uppfyller kraven. De måste kontrollera om tillverkaren och importören har tillhandahållit den nödvändiga informationen och märkningarna. Om de misstänker icke-överensstämmelse eller säkerhetsrisker får de inte placera produkten på marknaden och måste informera tillverkaren och marknadsövervakningmyndigheterna. Distributörer måste också samarbeta med myndigheter och tillhandahålla relevant information på begäran.

Open source-programvaruförvaltare

CRA erkänner den speciella rollen för fri och öppen källkodsprogramvara (FOSS). FOSS-projekt faller generellt i kategorin självbedömda produkter. CRA introducerar konceptet en "open source-programvaruförvaltare" för juridiska personer som stöder FOSS-projekt utan att direkt tjäna pengar på dem.

Dessa förvaltare har specifika, om än mindre omfattande, skyldigheter än kommersiella mjukvarutillverkare. Artikel 24 kräver att open source-förvaltare antar och dokumenterar en cybersäkerhetspolicy som främjar säker utveckling och hantering av sårbarheter. De måste samarbeta med marknadsövervakningmyndigheter och tillhandahålla nödvändig dokumentation på begäran. Förvaltare är skyldiga att rapportera aktivt exploaterade sårbarheter och allvarliga incidenter där de är inblandade i utveckling eller där deras system påverkas.

Den detaljerade påverkan av CRA på open source-gemenskapen, inklusive relaterade utmaningar och möjligheter, undersöks vidare i artikeln "Der Cyber Resilience Act und seine Auswirkungen auf Open-Source-Software" (Open Source Software).

Bristande efterlevnad av CRA

Sanktioner och konsekvenser för bristande efterlevnad av Cyber Resilience Act är strukturerade och skräddarsydda för olika typer av överträdelser för att säkerställa produktsäkerhet

  • Bristande efterlevnad av väsentliga krav: Misslyckande att uppfylla de väsentliga cybersäkerhetskraven i bilaga I eller skyldigheterna enligt artiklarna 13 och 14 kan bötfällas med upp till 15 miljoner euro eller upp till 2,5% av den globala årsomsättningen under det föregående räkenskapsåret, beroende på vilket som är högre.
  • Överträdelser av procedur- och märkningsskyldigheter: Överträdelser som felaktig fastsättning av CE-märkning, frånvaro av EU-konformitetsdeklaration eller misslyckande att upprätthålla teknisk dokumentation kan bötfällas med upp till 10 miljoner euro eller upp till 2% av global årsomsättning. Denna kategori inkluderar även bristande efterlevnad av importörer och distributörer.
  • Falska uttalanden och missvisande information: Tillhandahållande av felaktig, ofullständig eller missvisande information till anmälda organ eller marknadsövervakningmyndigheter, särskilt när de svarar på deras begäranden, kan bötfällas med upp till 5 miljoner euro eller upp till 1% av global årsomsättning.

Vid fastställande av böter beaktas överträdelsens art, allvar och varaktighet samt den ekonomiska påverkan på den drabbade marknaden i varje enskilt fall. Målet med dessa sanktioner är att uppnå en stark avskräckande effekt samtidigt som proportionalitet bibehålls för att förbättra den digitala inre marknadens säkerhet.

Implementering av CRA och IEC 62443

IEC 62443-standardserien spelar en viktig roll vid implementering av Cyber Resilience Act. Särskilt IEC 62443-4-1, IEC 62443-4-2 och IEC 62443-3-3 adresserar centrala CRA-krav inom områdena säkerhetskrav och sårbarhetshantering.

Kartläggningen publicerad av ENISA som visar förhållandet mellan CRA-krav och olika standarder bekräftar denna relevans. Den visar hur IEC 62443 täcker många CRA-krav, särskilt för industriell automation och kontrollsystem. Standardserien ger därför ett värdefullt ramverk för tillverkare att systematiskt implementera CRA-bestämmelser. Samtidigt belyser ENISA-kartläggningen luckor som ytterligare standardiseringsarbete måste täcka.

Sammantaget hjälper IEC 62443 företag att uppfylla CRA:s regulatoriska krav och förbättra cybersäkerheten hos sina produkter.

Harmoniserade standarder för Cyber Resilience Act

Ett nyckelelement i CRA-implementering är harmoniserade standarder som ger tillverkare konkreta tekniska specifikationer för att uppfylla de väsentliga cybersäkerhetskraven. Produkter utvecklade i enlighet med harmoniserade standarder drar nytta av en presumtion av överensstämmelse med motsvarande CRA-krav.

Standardiseringen för CRA följer en tvådelad ansats

Horisontella standarder - EN 40000-serien

Horisontella standarder gäller över produktkategorier för alla produkter med digitala element. De utvecklas av CEN/CENELEC och definierar

  • prEN 40000-1-1 (vokabulär): enhetlig terminologi för hela standardfamiljen
  • prEN 40000-1-2 (principer för cyberresiliens): fyra grundläggande principer (riskbaserad ansats, säkerhet genom design, säker som standard, transparens) plus sex riskhanteringselement och elva cybersäkerhetsaktiviteter över produktlivscykeln

Andra planerade horisontella standarder

  • Generiska säkerhetskrav (kontrollkatalog)
  • Krav för sårbarhetshantering

Vertikala standarder - ETSI EN 304 6xx-serien

Vertikala standarder specificerar de horisontella kraven för specifika produktkategorier. ETSI publicerade första utkast i september 2025

  • EN 304 618: Lösenordshanterare
  • EN 304 619: Antivirus
  • EN 304 623: Starthanterare
  • EN 304 625: Nätverksgränssnitt
  • EN 304 626: Operativsystem
  • EN 304 627: Routrar, modem, switches
  • EN 304 635: Virtualisering och behållare

Dessa standarder följer en konsekvent fyrstegsstruktur

  1. Användningsfall: realistiska distributionsscenarier och användningsmönster
  2. Hot och risköverväganden: produktspecifik hotanalys och risktoleransklassificering
  3. Begränsningar: kapacitetsbaserade villkor och specifika säkerhetsåtgärder
  4. Bedömning: objektiva testkriterier och kryssrutekrav

Utkast är tillgängliga på ETSI:s öppna konsultationsplattform för offentliga kommentarer.

Endast kombinationen av båda standardtyper skapar presumtionen av full CRA-överensstämmelse

  • Horisontella standarder definierar det övergripande ramverket
  • Vertikala standarder konkretiserar detta för specifika produktkategorier
  • Tillverkare måste adressera båda nivåerna

Bilaga A till EN 40000-1-2 ger vertikala standarder explicit vägledning för att säkerställa koherens med det horisontella ramverket.

Ytterligare information

  • EN 40000-standardserien i detalj
  • ETSI utkassstandarder för CRA

Överensstämmelse med CRA

Cyber Resilience Act etablerar ett omfattande system för att bedöma och säkerställa överensstämmelse för produkter med digitala element. Systemet syftar till att säkerställa en hög nivå av cybersäkerhet och motståndskraft över EU:s inre marknad. Konformitetsbedömning är ett centralt element i CRA och varierar enligt produktens riskklassificering och kritiskhet.

Vilken konformitetsbedömningsförfarande som krävs beror på produktens risknivå.

Produkter med digitala element

Produkter med digitala element (artikel 6) är baskategorin. Dessa produkter måste uppfylla grundkraven från bilaga I, del I och deras tillverkningsprocesser måste följa bilaga I, del II. Inga specifika konformitetsbedömningsförfaranden föreskrivs för denna kategori, men tillverkare måste säkerställa att deras produkter uppfyller säkerhetskrav när de är korrekt installerade, underhållna och använda som avsett.

Viktiga produkter

Viktiga produkter med digitala element (artikel 7) bildar den andra kategorin. Dessa produkter definieras av kärnfunktionaliteter som motsvarar kategorier listade i bilaga III. De måste genomgå specifika konformitetsbedömningsförfaranden för att säkerställa överensstämmelse med väsentliga cybersäkerhetskrav.

Viktiga produktkategorier delas in i klass I och klass II som anges i bilaga III. Klasserna baseras på

  • Klass I: produkter kritiska för cybersäkerhet, inklusive autentisering, intrångsprevention, slutpunktsäkerhet, etc.
  • Klass II: produkter som utgör en betydande risk för negativa effekter, som nätverkshantering, konfigurationskontroll, virtualisering eller behandling av personuppgifter.

För viktiga klass I-produkter: om harmoniserade standarder eller europeiska certifieringsscheman för cybersäkerhet inte tillämpas eller endast delvis tillämpas, måste produkten och dess tillverkningsförfaranden antingen genomgå en EU-typundersökning (modul B) tillsammans med intern produktionskontroll (modul C) eller en konformitetsbedömning baserad på omfattande kvalitetssäkring (modul H).

För viktiga klass II-produkter måste tillverkaren visa överensstämmelse med grundkrav genom liknande förfaranden eller, där tillämpligt, genom en europeisk cybersäkerhetscertifiering under Cybersecurity Act. Integrering av en sådan produkt i en annan produkt gör inte automatiskt den senare föremål för samma förfaranden.

Kritiska produkter

Den tredje kategorin täcker kritiska produkter med digitala element (artikel 8). Dessa produkter definieras av delegerade akter från kommissionen och måste ha kärnfunktionaliteter listade i bilaga IIIa.

Kritiska produkter måste erhålla ett europeiskt cybersäkerhetscertifikat under Cybersecurity Act med en säkerhetsnivå av substantiell eller högre. Kriterier för att identifiera dessa produkter inkluderar kritiskt beroende av väsentliga enheter och potentialen för allvarlig störning av kritiska leveranskedjor över den inre marknaden.

Bilaga III kan ändras genom delegerade akter för att lägga till eller ändra kategorier av viktiga produkter baserat på deras cybersäkerhetsfunktioner och risker. Påverkan på marknaden och medlemsstaternas beredskap att införa certifieringssystem måste beaktas.

För kritiska produkter (artikel 6a) kan kommissionen anta delegerade akter som bestämmer vilka produkter som kräver ett europeiskt cybersäkerhetscertifikat och lämplig säkerhetsnivå som matchar cybersäkerhetsriskerna och avsedd användning.

Konformitetsbedömningsförfaranden i CRA

CRA tillhandahåller olika konformitetsbedömningsförfaranden för att säkerställa att produkter uppfyller de väsentliga kraven i bilaga I

Intern kontroll

Det enklaste förfarandet där tillverkaren verifierar och dokumenterar produktöverensstämmelse internt (bilaga VIII, modul A).

EU-typundersökning

En oberoende undersökning av produktdesignen av ett anmält organ följt av intern produktionskontroll av tillverkaren (bilaga VIII, moduler B och C). Detta är avsett särskilt för viktiga klass I-produkter när harmoniserade standarder, gemensamma specifikationer eller europeiska cybersäkerhetscertifieringar inte helt tillämpas eller saknas.

Omfattande kvalitetssäkring

Under en konformitetsbedömning baserad på omfattande kvalitetssäkring (bilaga VIII, modul H) tar ett anmält organ på sig omfattande kvalitetskontroll av tillverkningsprocessen.

Europeisk cybersäkerhetscertifiering

För kritiska produkter listade i bilaga IV krävs certifiering under Cybersecurity Act för att visa överensstämmelse med de väsentliga kraven där tillgängligt och tillämpligt (artikel 8(1)). Certifieringen måste uppnå minst en "substantiell" säkerhetsnivå och kan involvera ett anmält organ beroende på vald certifiering och skyddsprofil.

För närvarande är EUCC (EU Cybersecurity Certification Scheme on Common Criteria) det första schemat under Cybersecurity Act, baserat på ISO/IEC 15408 (Common Criteria). Det är särskilt lämpligt för säkerhetskritiska produkter som brandväggar eller kryptografiska enheter. Ytterligare sektorspecifika certifieringsscheman utvecklas.

Mer information om de individuella konformitetsbedömningsförfarandena finns i vår artikel om CE-märkning.

Att välja konformitetsbedömningsförfarande

Produkter i alla kategorier - icke-kritiska, viktiga (klass I och II) och kritiska - kan potentiellt certifieras under lagens cybersäkerhetscertifieringssystem. För viktiga produkter som inte täcks av harmoniserade standarder och för kritiska produkter som saknar ett tillämpligt certifieringsschema krävs inblandning av ett anmält organ (moduler B+C eller H). Den interna produktionskontrollmetoden (modul A) gäller främst icke-kritiska produkter och för viktiga klass I-produkter endast där en harmoniserad standard har tillämpats omfattande.

Följande diagram illustrerar beslutsprocessen för att välja lämpligt CRA-förfarande.

Denna distinktion säkerställer att nivån av granskning och bedömning står i proportion till produktkategorins cybersäkerhetsrisk.

Produkttyp Intern kontroll (modul A) EU-typundersökning (moduler B+C) Omfattande kvalitetssäkring (modul H) Cybersäkerhetscertifikat
Icke-kritisk
Viktig - klass I (bilaga III) (✓)1)
Viktig - klass II (bilaga III)
Kritisk (bilaga IV) (✓)2) (✓)2)
  1. Användning av harmoniserad standard krävs för att uppnå full överensstämmelse.
  2. Endast möjligt om ingen delegerad akt har antagits som föreskriver ett certifikat för produktkategorin.

Aktuell status och CRA-övergångsperioder

Cyber Resilience Act (CRA) publicerades i Europeiska unionens officiella tidning den 20 november 2024. Övergångsperioder i korthet

  • 20.11.2024: Publicering av CRA i OJEU
  • 10.12.2024: CRA träder i kraft
  • 11.06.2026: Krav för konformitetsbedömningsorgan
  • 11.09.2026: Rapporteringsskyldigheter för tillverkare
  • 11.12.2027: Full tillämplighet

Den slutliga texten till CRA är tillgänglig i Europeiska unionens officiella tidning (eur-lex länk).

Parallellt med CRA-implementering utvecklas harmoniserade standarder

  • Oktober 2025: Första horisontella standarder (EN 40000-1-1 och EN 40000-1-2) i CEN-förfrågningsförfarandet
  • September 2025: Första vertikala ETSI-standarder (EN 304 6xx-serien) för offentlig konsultation
  • Pågående: Ytterligare produktspecifika standarder under utveckling

De slutliga harmoniserade standarderna kommer att refereras i OJEU och ge sedan en presumtion av överensstämmelse med de väsentliga cybersäkerhetskraven.

Vanliga frågor om CRA

Har du ytterligare frågor om Cyber Resilience Act? I vår detaljerade FAQ-artikel (Cyber Resilience Act FAQ) svarar vi på de viktigaste frågorna om den nya EU-regleringen. Från tillämpningsområde och deadlines till specifika krav för uppdateringar och konformitetsbedömning - hitta allt du behöver för praktisk CRA-implementering, inklusive konkreta rekommendationer för företag som förbereder sig för kommande krav.

Länk till bidraget: Häufige Fragen zum Cyber Resilience Act (Cyber Resilience Act FAQ)

Stöd för CRA-implementering

Med Cyber Resilience Act skapar EU för första gången ett enhetligt ramverk för cybersäkerheten för digitala produkter - från operativsystem genom anslutna enheter till industriella kontrollsystem. Tillverkare krävs att systematiskt integrera säkerhetskrav i produktutveckling, aktivt hantera sårbarheter och visa överensstämmelse.

Secuvi stöder företag i att överföra CRA-krav till befintliga processer och produkter. Vi bistår med konsekvensanalyser, utvecklar praktiska implementeringsstrategier och åtföljer tekniska, organisatoriska och dokumentationsåtgärder upp till marknadstillstånd.

Vi stöder också praktisk tillämpning av de harmoniserade standarderna - från implementering av riskhanteringsramverket enligt EN 40000-1-2 till att uppfylla produktspecifika krav från ETSI-standarderna och förbereda teknisk dokumentation för konformitetsbedömning.

Ytterligare information om CRA-implementering finns på: secuvi.com