Oberoende vägledning till förordning (EU) 2024/2847 · Status: i kraft
Denna sida är en automatisk (AI-)översättning och har inte granskats av en person.
Väg till efterlevnad · Vägledning

CRA-guide för programvaruutvecklare

Hur cyberresiliensförordningen tillämpas på programvaruprodukter; från säker utveckling till sårbarhetshantering, SBOM och CE-märkning.

Gäller för
Programvara med digitala element
Överensstämmelse
Standarder eller tredje part
Stödperiod
Fastställd, ≥ förväntad användning

Steg för efterlevnad

1

Bekräfta tillämpningsområde och klass

Art. 2 · 6

Den mesta programvara med dataanslutning som släpps ut på EU-marknaden omfattas av tillämpningsområdet, och många utvecklarverktyg faller inom kategorin viktiga produkter i bilaga III.

  • Kör CRA Fast Check för att bekräfta tillämpningsområdet
  • Fastställ om din produkt är en standardprodukt, en viktig produkt eller en kritisk produkt
  • Dokumentera resonemanget i er dokumentation
Verktyg för detta steg
2

Bygg in säkerhet genom inbyggd design

Annex I · I

Konstruera och utveckla produkten så att den uppfyller de väsentliga säkerhetsegenskaperna under hela sin livscykel.

  • Leverera en säker konfiguration som standard
  • Tillämpa autentisering och åtkomstkontroller
  • Skydda data med kryptering under överföring och i vila
  • Minimera attackytan och exponerade gränssnitt
Vanlig fallgrop

Att lämna felsökningsgränssnitt, standardinloggningsuppgifter eller utförlig felutmatning aktiverade i produktionsbyggen.

Verktyg för detta steg
3

Inrätta hantering av sårbarheter

Annex I · II

Driv en dokumenterad process för att upptäcka, åtgärda och offentliggöra sårbarheter under hela stödperioden.

  • Offentliggör en policy för samordnat röjande av sårbarheter
  • Tillhandahåll en kontaktpunkt för rapportering av problem
  • Åtgärda sårbarheter utan onödigt dröjsmål
  • Offentliggör åtgärdade sårbarheter när en uppdatering finns tillgänglig
4

Upprätthåll en programvaruförteckning (SBOM)

Bilaga I · II(1)

Håll en aktuell SBOM som omfattar minst produktens beroenden på toppnivå.

  • Generera en SBOM i ett maskinläsbart format
  • Spåra komponenter och deras kända sårbarheter
  • Håll den uppdaterad vid varje release
Verktyg för detta steg
5

Leverera kostnadsfria säkerhetsuppdateringar i tid

Annex I · I(2)

Tillhandahåll säkerhetsuppdateringar separat från funktionsuppdateringar, gratis, under den angivna stödperioden.

  • Fastställ och offentliggör stödperioden
  • Leverera säkerhetsuppdateringar utan dröjsmål
  • Distribuera korrigeringar via en säker mekanism
6

Sammanställ teknisk dokumentation

Bilaga VII

Sammanställ den dokumentation som visar överensstämmelse och håll den tillgänglig för marknadskontroll.

  • Produktbeskrivning och avsedd användning
  • Riskbedömning av cybersäkerhet
  • Register över tillämpade standarder
7

Bedöm överensstämmelse och anbringa CE-märkning

Art. 32 · 36

Genomför det förfarande för bedömning av överensstämmelse som gäller för er klass och upprätta EU-försäkran om överensstämmelse.

  • Egenbedömning (standard) eller anlita ett anmält organ (viktig/kritisk)
  • Upprätta och underteckna EU-försäkran om överensstämmelse
  • Anbringa CE-märkningen
Verktyg för detta steg
8

Uppfyll rapporteringsskyldigheterna och underhåll produkten

Art. 13(8) · 14

Från september 2026 ska du anmäla aktivt utnyttjade sårbarheter och allvarliga incidenter, och fortsätta underhålla produkten under hela dess stödperiod.

  • Lämna in en tidig varning till ENISA och CSIRT-enheten inom 24 timmar
  • Följ upp med en anmälan och en slutrapport
  • Informera berörda användare när det är lämpligt
Din löpande skyldighet

Stödperioden ska vara minst fem år (eller produktens förväntade livslängd, om den är längre), räknat från det att produkten släpps ut på EU-marknaden. Under hela perioden ska ni hantera sårbarheter och tillhandahålla gratis säkerhetsuppdateringar; varje uppdatering ska därefter förbli tillgänglig i 10 år, och den tekniska dokumentationen och EU-försäkran ska bevaras i 10 år.

Gratis verktyg för denna roll

Varje verktyg nedan är gratis att använda och öppnas här i en sidopanel, så att du inte förlorar din plats.

GratisCRA Fast Check

Bekräfta om förordningen är tillämplig och vilken klass produkten sannolikt tillhör.

Öppna här →GratisEfterlevnadsmatris

Koppla varje skyldighet i bilaga I och VII och följ upp den tills den är slutförd.

Öppna här →GratisKostnadskalkylator

Uppskatta engångskostnaden och den årliga kostnaden för efterlevnad.

Öppna här →GratisSårbarhetsanalysverktyg

Korsreferera din SBOM mot NVD och EUVD, och håll koll på komponenter som når slutet av sin livscykel.

Öppna här →GratisDoC-generator

Generera en EU-försäkran om överensstämmelse (bilaga V) för din produkt.

Öppna här →GratisKlassificeringsverktyg

Fastställ med namn om er produkt är standard, viktig eller kritisk.

Öppna här →GratisPlanerare för stödperiod

Ange er minsta stödperiod och flagga komponenter som når End-of-Life för tidigt.

Öppna här →
Mer vägledning

Andra vägledningar för intressenter

M

Tillverkare

De skyldigheter som cyberresiliensakten ålägger producenter av produkter med digitala element; från riskbedömning till CE-märkning och skyldigheter efter att produkten släppts ut på marknaden.

Läs denna vägledning →
I

Importörer och distributörer

Vad ekonomiska aktörer måste kontrollera innan; och efter; en produkt med digitala element tillhandahålls på EU-marknaden.

Läs denna vägledning →
CE

Så erhåller du en CE-märkning

Stegen för att försäkra om överensstämmelse och anbringa CE-märkning på en produkt med digitala element.

Läs vägledningen →