EN DA
legislation

De viktigaste frågorna och svaren om Cyber Resilience Act

11 minuters läsning
De viktigaste frågorna och svaren om Cyber Resilience Act

Alla viktiga frågor om Cyber Resilience Act (CRA) tydligt besvarade. Lär dig vad EU-regleringen betyder för ditt företag och hur du kan förbereda dig.

Allmänt

Vad är Cyber Resilience Act?

Cyber Resilience Act (CRA) är en EU-reglering som fastställer minimikrav för cybersäkerheten för produkter (hårdvara och mjukvara). Målet är att göra produkter säkrare och därigenom bättre skydda konsumenter och företag från cyberattacker.

Vad betyder Cyber Resilience Act?

Cyber Resilience Act definierar säkerhetskrav för produkter med digitala element. Syftet är att säkerställa att produkter uppfyller grundläggande cybersäkerhetsstandarder från utveckling till slutet av deras livscykel.

Varför finns Cyber Resilience Act?

Cyber Resilience Act infördes för att förbättra cybersäkerheten för produkter med digitala element inom EU. Den syftar till att hantera det växande hotet från cyberattacker, som ofta möjliggörs av otillräckligt säkrade produkter.

Är Cyber Resilience Act en reglering eller ett direktiv?

CRA är en reglering. Detta betyder att CRA gäller direkt i alla EU-medlemsstater utan att dessa stater behöver införliva den i nationell lagstiftning.

Jämförelse med andra EU-ramverk

Cyber Resilience Act vs NIS2

Cyber Resilience Act (CRA) och NIS 2-direktivet har olika fokus:

  • CRA fokuserar på cybersäkerheten för produkter med digitala element och fastställer krav för tillverkare, importörer och distributörer.
  • NIS 2 riktar sig däremot mot företag och organisationer inom kritiska och väsentliga sektorer, såsom energi eller hälsovård, och kräver organisatoriska och tekniska säkerhetsåtgärder.

Medan CRA gäller direkt som en reglering måste NIS 2 införlivas i nationell lagstiftning. Båda ramverken kompletterar varandra genom att stärka produktsäkerhet och organisatorisk säkerhet.

Cyber Resilience Act vs DORA (Digital Operational Resilience Act)

Cyber Resilience Act (CRA) och Digital Operational Resilience Act (DORA) skiljer sig i fokus och omfattning:

  • CRA koncentrerar sig på cybersäkerheten för produkter med digitala element. Den fastställer krav för tillverkare, importörer och distributörer för att säkerställa att dessa produkter utvecklas, drivs och underhålls säkert. Målet är att förbättra säkerheten inom alla branscher som använder sådana produkter.
  • DORA är å andra sidan specifikt riktat mot finanssektorn. Den reglerar den digitala operativa motståndskraften hos finansinstitut som banker, försäkringsgivare och betaltjänstleverantörer. DORA syftar till att minimera risker relaterade till cyberattacker och IT-avbrott och inkluderar tydliga krav för IT-riskhantering och incidentrapportering.

Medan CRA är branschövergripande är DORA designat specifikt för finanssektorn. Båda kompletterar varandra genom att hantera olika aspekter av cybersäkerhet.

Cyber Resilience Act vs Cybersecurity Act

Cyber Resilience Act (CRA) och Cybersecurity Act (CSA) har olika tyngdpunkter:

  • CRA fastställer cybersäkerhetskrav för produkter med digitala element. Den förpliktar tillverkare att följa säkra utvecklingsprocesser, att åtgärda sårbarheter och att tillhandahålla säkerhetsuppdateringar. Syftet är att öka produktsäkerheten inom hela EU.
  • Cybersecurity Act skapar däremot ramverket för europeisk cybersäkerhetscertifiering. Den fastställer allmänna regler och krav för certifieringsscheman, såsom EUCC-schemat baserat på Common Criteria, och stärker rollen för EU-byrån ENISA.

Medan CRA definierar obligatoriska säkerhetskrav för produkter fokuserar CSA på frivilliga certifieringar för att bedöma cybersäkerheten för produkter, tjänster och processer.

Tidslinje, ikraftträdande och övergångsperioder

Är Cyber Resilience Act i kraft?

Cyber Resilience Act (CRA) trädde i kraft den 10 december 2024.

De huvudsakliga skyldigheterna, såsom efterlevnad av cybersäkerhetskrav och CE-märkning, kommer att bli obligatoriska från 11 december 2027. Vissa bestämmelser, särskilt rapporteringsskyldigheterna för sårbarheter, gäller redan från 11 september 2026. Dessa stegvisa övergångsperioder är avsedda att ge marknadsaktörer tillräckligt med tid att implementera de nya kraven.

När trädde Cyber Resilience Act i kraft?

Cyber Resilience Act (CRA) trädde i kraft den 10 december 2024. Dock blir de flesta krav endast obligatoriska från 11 december 2027.

När träder Cyber Resilience Act i kraft?

Cyber Resilience Act (CRA) trädde i kraft den 10 december 2024. De flesta krav, såsom implementering av cybersäkerhetsåtgärder, gäller endast från 11 december 2027.

När måste Cyber Resilience Act vara implementerat?

Bestämmelserna i Cyber Resilience Act (CRA) måste vara implementerade senast 11 december 2027, då alla krav blir bindande från det datumet. För skyldigheterna att rapportera sårbarheter gäller en tidigare deadline: denna träder i kraft 11 september 2026.

Tillämpningsområde

Vilka produkter faller under Cyber Resilience Act?

Cyber Resilience Act (CRA) gäller för alla produkter med digitala element som släpps på marknaden inom EU. Dessa inkluderar både hårdvara och mjukvara, oavsett om de är avsedda för konsumenter eller företag.

Det finns undantag för vissa produkter som redan faller under andra specifika EU-regleringar, såsom medicintekniska produkter eller fordon, eftersom deras cybersäkerhetskrav regleras separat.

Finns det undantag från Cyber Resilience Act?

CRA gäller inte för produkter som redan omfattas av specifika cybersäkerhetskrav under andra EU-regler. Dessa inkluderar bland annat:

  • Medicintekniska produkter (reglerade av förordningen om medicintekniska produkter)
  • Fordon (omfattas av typgodkännanderegleringar)
  • Luftfartsprodukter
  • Militära produkter

Dessa undantag undviker dubbelreglering, eftersom dessa produkter redan måste uppfylla cybersäkerhetskrav under sina egna sektoriella regler.

Gäller Cyber Resilience Act även för radioutrustning?

Cyber Resilience Act (CRA) gäller även för radioutrustning när dessa produkter inkluderar digitala element. För närvarande gäller kraven från CRA och Radio Equipment Directive (RED) parallellt, eftersom båda innehåller cybersäkerhetsbestämmelser.

Dock är det planerat att CRA ska ersätta cybersäkerhetskraven i RED för att skapa en enhetlig reglering för produkter med digitala element.

Gäller Cyber Resilience Act för små och medelstora företag (SME)?

Cyber Resilience Act (CRA) gäller för alla företag, inklusive små och medelstora företag (SME), som tillverkar, importerar eller distribuerar produkter med digitala element i EU. Det finns inga allmänna undantag för SME. Dock tar CRA hänsyn till mindre företags behov och syftar till att minimera den administrativa bördan för dem.

Gäller Cyber Resilience Act för utländska företag?

Ja, Cyber Resilience Act (CRA) gäller även för utländska företag om de släpper produkter med digitala element på EU-marknaden. Dessa företag måste uppfylla samma krav som EU-tillverkare för att säkerställa att deras produkter överensstämmer med CRA.

Dessutom är importörer och distributörer inom EU ansvariga för att säkerställa att produkter från utanför EU är regelkonforma. Utländska tillverkare som distribuerar produkter direkt kan behöva utse en auktoriserad representant i EU som fungerar som kontakt för efterlevnad av regleringar.

Gäller Cyber Resilience Act för distributörer och onlinemarknadsplatser?

Ja, Cyber Resilience Act (CRA) gäller även för distributörer och onlinemarknadsplatser om de distribuerar produkter med digitala element i EU. Dessa aktörer är ansvariga för att säkerställa att produkterna de säljer överensstämmer med CRA-kraven.

Distributörer måste särskilt kontrollera om produkter bär CE-märkning, åtföljs av en EU-försäkran om överensstämmelse och inkluderar den nödvändiga säkerhetsinformationen.

Gäller Cyber Resilience Act för mjukvara och mjukvaruprodukter?

Ja, Cyber Resilience Act (CRA) gäller uttryckligen även för mjukvara och mjukvaruprodukter om de tillhandahålls i EU. Dessa inkluderar till exempel operativsystem, applikationsmjukvara, mellenprogramvara och även open-source-mjukvara när den distribueras kommersiellt.

Gäller Cyber Resilience Act för open-source-mjukvara?

Cyber Resilience Act (CRA) gäller inte för ren open-source-mjukvara som tillhandahålls utan direkt kommersiell avsikt. Detta betyder att mjukvara utvecklad av volontärer och gjord tillgänglig gratis generellt inte omfattas av CRA.

Dock, om open-source-mjukvara används i kommersiell kontext - till exempel som del av en produkt som säljs, eller där supporttjänster eller andra betalda tjänster erbjuds - gäller CRA-kraven. I detta fall är leverantören av slutprodukten ansvarig för att uppfylla cybersäkerhetskraven.

Ytterligare information om ämnet finns i vår artikel Der Cyber Resilience Act und seine Auswirkungen auf Open-Source-Software.

Överensstämmelse

Vilka kategorier särskiljer Cyber Resilience Act?

Cyber Resilience Act (CRA) särskiljer produkter med digitala element uteslutande enligt den tillämpliga överensstämmelsebedömningsproceduren. De tekniska och procedurmässiga kraven är identiska för alla produkter.

Kategorierna är:

  • Allmänna produkter
  • Viktiga produkter - Klass I
  • Viktiga produkter - Klass II
  • Kritiska produkter

Detaljer om de enskilda kategorierna och de associerade överensstämmelsebedömningsprocedurerna finns i vår artikel om Cyber Resilience Act.

Hur är överensstämmelsebedömningsorgan involverade?

Överensstämmelsebedömningsorgan är involverade under Cyber Resilience Act (CRA) för vissa kategorier av produkter för att verifiera efterlevnad av cybersäkerhetskraven. Detta gäller produkter för vilka tillverkarens självbedömning inte är tillräcklig.

Deras involvering sker särskilt för:

  • Viktiga produkter - Klass II
  • Kritiska produkter

I dessa fall granskar ett anmält organ den tekniska dokumentationen och, om nödvändigt, själva produkten innan den kan släppas på marknaden. Ytterligare detaljer om överensstämmelsebedömningsprocedurerna finns i vår artikel om Cyber Resilience Act.

Uppdateringar

Måste jag tillhandahålla uppdateringar för mina produkter?

Ja, Cyber Resilience Act (CRA) förpliktar tillverkare att tillhandahålla uppdateringar för sina produkter med digitala element för att stänga säkerhetsluckor.

Kraven är:

  • Tillhandahållandeperiod: Tillverkare måste tillhandahålla säkerhetsuppdateringar under en period av minst fem år efter att produkten släpps på marknaden eller för hela den förväntade livslängden för produkten om denna är kortare.
  • Transparens: Kunder måste informeras om tillgängligheten av säkerhetsuppdateringar och deras installation.
  • Säkerhetskritiska uppdateringar: Säkerhetsuppdateringar måste tillhandahållas omgående och utan onödig fördröjning.

Uppdateringar är ett centralt element i CRA och tjänar till att säkerställa långsiktig säkerhet och integritet för produkter.

Kan jag debitera för mina uppdateringar?

I princip får under Cyber Resilience Act (CRA) inga ytterligare kostnader debiteras för säkerhetsuppdateringar. Säkerhetsuppdateringar som tillhandahålls för att åtgärda identifierade sårbarheter måste levereras omgående och kostnadsfritt.

Dock, för en anpassad produkt med digitala element kan ett annat avtal träffas mellan tillverkaren och den kommersiella användaren. I detta fall kan kostnader för säkerhetsuppdateringar överenskommas om detta uttryckligen regleras kontraktuellt.

Implementering

Hur kan jag förbereda mig för Cyber Resilience Act?

För att förbereda sig för Cyber Resilience Act (CRA) bör tillverkare vidta följande steg:

  • Analysera produktkategorin: Bestäm vilken kategori dina produkter faller inom (allmän, viktig, kritisk) och vilken överensstämmelsebedömningsprocedur som gäller.
  • Justera processer: Implementera en säker produktutvecklingsprocess som uppfyller CRA-kraven (till exempel enligt IEC 62443-4-1).
  • Uppfyll tekniska krav: Implementera säkerhetsfunktioner baserade på en riskbedömning för att effektivt hantera potentiella hot.
  • Förbered teknisk dokumentation: Skapa nödvändiga bevis och dokumentation som måste granskas som del av överensstämmelsebedömningsproceduren.

Om du behöver stöd för att förbereda dig för CRA hjälper vi gärna med vår expertis, oavsett om det gäller processimplementering, teknisk implementering eller dokumentation. Kontakta oss för en icke-bindande initial konsultation.

Vad händer om jag inte följer Cyber Resilience Act?

Brist på efterlevnad av Cyber Resilience Act (CRA) kan ha betydande konsekvenser, inklusive:

  • Försäljningsförbud: Produkter som inte uppfyller CRA-kraven får inte säljas eller släppas på marknaden i EU.
  • Återkallelse eller marknadsdragande: Produkter redan på marknaden kan återkallas eller tas bort från marknaden av behöriga myndigheter om de inte överensstämmer med regleringar.
  • Böter: CRA föreskriver betydande böter, som kan bero på allvaret i överträdelsen. Den maximala straffavgiften är upp till 15 miljoner euro eller 2,5% av global årsomsättning, vilket belopp som än är högre.

För att undvika dessa risker är det väsentligt att vidta tidiga åtgärder för att uppfylla CRA-kraven. Vi hjälper gärna dig med implementering och förberedelse för överensstämmelsebedömningen. Kontakta oss för en icke-bindande initial konsultation.