01Hvad CRA er
Cyber Resilience Act er den første EU-dækkende lov, der fastsætter obligatoriske cybersikkerhedskrav til produkter med digitale elementer; hardware og software; i hele deres livscyklus. Den flytter ansvaret for sikkerheden over på de organisationer, der bringer disse produkter i omsætning, frem for at overlade det til brugerne. Art. 1
I praksis må et produkt kun gøres tilgængeligt på EU-markedet, hvis det opfylder de væsentlige krav i bilag I, og fabrikanten har opfyldt de tilknyttede forpligtelser. Overholdelse signaleres ved CE-mærkning.
Hvis dit produkt har digitale elementer og når EU-markedet, skal det designes, bygges og vedligeholdes efter en fastlagt cybersikkerhedsstandard; og du skal kunne påvise det.
02Hvem den gælder for
Forordningen omfatter produkter med digitale elementer, hvis tilsigtede eller med rimelighed forudsigelige anvendelse omfatter en direkte eller indirekte dataforbindelse. Forpligtelserne er fordelt på tværs af forsyningskæden: Art. 13–28
- Fabrikanter; bærer de primære forpligtelser: design, dokumentation, overensstemmelsesvurdering og sårbarhedshåndtering.
- Importører; må kun bringe overensstemmende produkter i omsætning og skal kontrollere, at fabrikantens forpligtelser er opfyldt.
- Distributører; skal handle med fornøden omhu og kontrollere, at CE-mærkningen og dokumentationen er til stede.
Produkter, der allerede er omfattet af sektorspecifikke regler; såsom medicinsk udstyr, motorkøretøjer og civil luftfart; er undtaget, ligesom ikkekommercielle open source-komponenter er det.
03Produktklasser
Den påkrævede overensstemmelsesrute afhænger af, hvor kritisk produktet er. De fleste produkter selvvurderes; kategorier med højere risiko opført i bilagene er underlagt strengere procedurer. Art. 6–7 · Annex III–IV
| Klasse | Eksempler | Overensstemmelsesrute |
|---|---|---|
| Standard | Hovedparten af produkter med digitale elementer | Selvvurdering |
| Vigtig; I | Adgangskodeadministratorer, netværksstyring, VPN'er | Standarder eller tredjepart |
| Vigtig; II | Operativsystemer, firewalls, mikroprocessorer | Tredjepartsvurdering |
| Kritisk | Intelligente målere, smartcards, sikre elementer | Obligatorisk certificering |
04Centrale forpligtelser
De væsentlige krav i bilag I falder i to grupper; egenskaber, produktet skal have, og processer, fabrikanten skal drive. Bilag I
- Sikker gennem design og som standard; leveres med en sikker konfiguration og en minimeret angrebsflade.
- Ingen kendte sårbarheder, der kan udnyttes; leveres uden kendte sårbarheder, der kan udnyttes.
- Sårbarhedshåndtering; en proces til at identificere, dokumentere, afhjælpe og oplyse om problemer.
- Sikkerhedsopdateringer; gratis og rettidige opdateringer i hele den fastlagte supportperiode.
- Softwarestykliste; vedligehold en SBOM, der dækker produktets komponenter.
- Rapportering; underret ENISA og det relevante CSIRT om aktivt udnyttede sårbarheder og alvorlige hændelser med en tidlig varsling inden for 24 timer.
05Tidslinje og sanktioner
Forordningen er allerede i kraft; dens forpligtelser indfases i de følgende år. Art. 71
- Okt. 2024Vedtaget og underskrevet som lov.
- Dec. 2024Trådt i kraft.
- Sep. 2026Rapporteringsforpligtelserne finder anvendelse (21 måneder efter ikrafttræden).
- Dec. 2027Fuld anvendelse; de fleste bestemmelser finder anvendelse (36 måneder).
Manglende overholdelse af de væsentlige krav kan medføre bøder på op til 15 mio. € eller 2,5 % af den samlede årlige omsætning på verdensplan, alt efter hvad der er højest.
06Hvad du skal gøre nu
Begynd med at bekræfte, om forordningen gælder for dit produkt, og følg derefter vejledningen, der er skrevet til din rolle.