01Vad CRA är
Cyber Resilience Act är den första EU-omfattande lagen som fastställer obligatoriska cybersäkerhetskrav för produkter med digitala element; hårdvara och programvara; under hela deras livscykel. Den flyttar ansvaret för säkerheten till de organisationer som släpper ut dessa produkter på marknaden, i stället för att överlåta det till användarna. Art. 1
I praktiken får en produkt endast tillhandahållas på EU-marknaden om den uppfyller de väsentliga kraven i bilaga I och tillverkaren har fullgjort de skyldigheter som är kopplade till den. Överensstämmelse signaleras genom CE-märkning.
Om din produkt har digitala element och når EU-marknaden måste den utformas, byggas och underhållas enligt en definierad cybersäkerhetsstandard; och du måste kunna påvisa detta.
02Vem den är tillämplig på
Förordningen omfattar produkter med digitala element vars avsedda eller rimligen förutsebara användning omfattar en direkt eller indirekt dataanslutning. Skyldigheterna fördelas över leveranskedjan: Art. 13–28
- Tillverkare; bär de primära skyldigheterna: konstruktion, dokumentation, bedömning av överensstämmelse och hantering av sårbarheter.
- Importörer; får endast släppa ut produkter som uppfyller kraven på marknaden och måste kontrollera att tillverkarens skyldigheter har uppfyllts.
- Distributörer; måste agera med vederbörlig omsorg och kontrollera att CE-märkning och dokumentation finns.
Produkter som redan omfattas av sektorsspecifika regler; såsom medicintekniska produkter, motorfordon och civil luftfart; är undantagna, liksom icke-kommersiella komponenter med öppen källkod.
03Produktklasser
Den bedömningsväg som krävs beror på hur kritisk produkten är. De flesta produkter egenbedöms; kategorier med högre risk som anges i bilagorna omfattas av strängare förfaranden. Art. 6–7 · Annex III–IV
| Klass | Exempel | Väg för bedömning av överensstämmelse |
|---|---|---|
| Standard | Majoriteten av produkter med digitala element | Egenbedömning |
| Viktig; I | Lösenordshanterare, nätverkshantering, VPN | Standarder eller tredje part |
| Viktig; II | Operativsystem, brandväggar, mikroprocessorer | Bedömning av tredje part |
| Kritisk | Smarta mätare, smarta kort, säkra element | Obligatorisk certifiering |
04Viktiga skyldigheter
De väsentliga kraven i bilaga I delas in i två grupper; egenskaper som produkten ska ha, och processer som tillverkaren ska bedriva. Bilaga I
- Säker genom design och som standard; levereras med en säker konfiguration och en minimerad angreppsyta.
- Inga kända utnyttjbara sårbarheter; levereras utan kända utnyttjbara brister.
- Sårbarhetshantering; en process för att identifiera, dokumentera, åtgärda och offentliggöra problem.
- Säkerhetsuppdateringar; gratis uppdateringar i rätt tid under hela den fastställda stödperioden.
- Programvaruförteckning (SBOM); upprätthåll en SBOM som täcker produktens komponenter.
- Rapportering; anmäl aktivt utnyttjade sårbarheter och allvarliga incidenter till ENISA och berörd CSIRT, med en tidig varning inom 24 timmar.
05Tidslinje och sanktioner
Förordningen är redan i kraft; dess skyldigheter fasas in under de följande åren. Art. 71
- Okt 2024Antagen och undertecknad som lag.
- dec 2024Trädde i kraft.
- Sep 2026Rapporteringsskyldigheterna gäller (21 månader efter ikraftträdandet).
- dec 2027Full tillämpning; de flesta bestämmelser gäller (36 månader).
Bristande efterlevnad av de väsentliga kraven kan medföra böter på upp till 15 miljoner € eller 2,5 % av den totala globala årsomsättningen, beroende på vilket som är högst.
06Vad ni bör göra härnäst
Börja med att bekräfta om förordningen är tillämplig på din produkt, och följ därefter den vägledning som är skriven för din roll.