Genom cyberresiliensförordningen ställs minimikrav på cybersäkerhet för apparater med digitala element och programvara, vilka direkt eller indirekt kan anslutas till en annan enhet eller ett nät.
Målet med Europeiska unionens cyberresiliensförordningen (EU)2024/2847 är att förbättra informationssäkerheten för produkter som släpps ut på EU:s marknad så att produkterna har färre sårbarheter.
Cyberresiliensförordningen är en horisontell produktsäkerhetsförordning och dess krav kommer i framtiden att garanteras genom CE-märkning. Uppfyllandet av säkerhetskraven enligt förordningen är inom EU i fortsättningen en förutsättning för marknadstillträde.
Tillverkarna ansvarar för cybersäkerheten under produktens hela livscykel. Förordningen förbättrar transparensen i säkerheten hos apparater och programvaror. Den förpliktar tillverkaren att också tydligt ange produktens stödperiod.
Vilka produkter omfattas av CRA?
EU:s cyberresiliensförordningen (EU) 2024/2847 gäller ett stort antal produkter. Till följd av förordningen kompletteras i synnerhet regleringen av programvaror.
Cyberresiliensförordningen gäller apparater med digitala element och programvara, vilka direkt eller indirekt kan anslutas till en annan enhet eller ett nät.
Sådana produkter är till exempel säkerhetskameror, tv-apparater, leksaker, hushållsroutrar, brandväggar samt spel, text- och bildbehandlingsprogram.
CRA utvidgar också cybersäkerhetskraven att omfatta exempelvis operativsystem, webbläsare, programvara för lösenordshantering samt vissa mikroprocessorer och mikrokontroller. På så sätt förbättras cybersäkerheten i hela leveranskedjan.
I cyberresiliensförordningen beaktas särdragen hos apparater som omfattas av sakernas internet (IoT). Den administrationstjänst, dvs. lösningen för fjärrbehandling av data, som tillverkaren ansvarar för och som vanligtvis hör till IoT-apparater anses vara en del av produkten.
Molntjänstlösningar eller komponenter som används i dem omfattas av förordningens tillämpningsområde, om de uppfyller definitionen av fjärrbehandling av data enligt förordningen och produkttillverkaren ansvarar för deras utveckling. Molntjänstlösningar kan till exempel vara komponenter avsedda för att skapa förbindelser för fjärradministration.
Molntjänster och molntjänstmodeller, såsom programvarutjänster (SaaS), plattformstjänster (PaaS) eller infrastrukturtjänster (IaaS) omfattas av cybersäkerhetsskyldigheter enligt NIS 2-direktivet (EU) 2022/2555 (Extern länk).
Produkter som inte omfattas av CRA
Förordningen tillämpas inte på medicintekniska produkter, medicintekniska produkter för in vitro-diagnostik, vissa fordon, marin utrustning ochcertifierade luftfartsanordningar, såsom luftfartyg. På dessa tillämpas de cybersäkerhetskrav som redan finns i den produktspecifika regleringen.
Cyberresiliensförordningen tillämpas inte heller på produkter avsedda enbart för den nationella säkerheten och försvaret samt på produkter avsedda enbart för behandling av säkerhetsskyddsklassificerade material.
Tidsplan
Anmälda organ
Skyldigheterna som gäller anmälda organ börjar tillämpas 18 månader efter ikraftträdandet, dvs. den 11 juni 2026.
Rapportering om sårbarheter
Skyldigheterna att rapportera om sårbarheter tillämpas 21 månader efter ikraftträdandet, dvs. den 11 september 2026. Kraven gäller alla produkter på EU:s marknad som omfattas av tillämpningsområdet, inte endast produkter som släpps ut på marknaden.
Väsentliga cybersäkerhetskrav
Kraven på produktens informationssäkerhetsegenskaper tillämpas genom en övergång på 36 månader. Från och med den 11 december 2027 ska produkter som släppts ut på EU:s marknad utformas, utvecklas och produceras i enlighet med de väsentliga cybersäkerhetskraven i EU:s cyberresiliensförordningen.
Kommunikationsministeriet leder det nationella genomförandet.
Vilka krav ställer CRA?
Väsentliga cybersäkerhetskrav
Det närmare innehållet i cybersäkerhetskraven finns i artikel 13 och bilaga I till EU:s cyberresiliensförordningen.
Produkttillverkarna ska säkerställa att produkterna har utformats, utvecklats och producerats i enlighet med de väsentliga cybersäkerhetskraven i cyberresiliensförordningen. Produkternas CE-märkning anger cybersäkerhetskraven.
Dessa krav tillämpas på produkter som släpps ut på marknaden efter den 11 december 2027. Utsläppande på marknaden sker när produkten kommer ut på marknaden för första gången.
De väsentliga cybersäkerhetskraven genomförs baserat på riskerna. Kraven som gäller produkterna är bland annat
- säker standardkonfiguration och automatiska säkerhetsuppdateringar
- skydd mot obehörig åtkomst
- konfidentiell lagring av uppgifter och uppgiftsminimering
- skydd av centrala funktioner
I de harmoniserade standarderna och de tekniska specifikationerna preciseras vad som kan ingå i kraven. De harmoniserade standarderna publiceras när de färdigställs i EU:s officiella tidning.
Rapportering om sårbarheter
Produkttillverkare i EU:s marknadsområde ska anmäla aktivt utnyttjade sårbarheter i produkterna till CSIRT-enheten och ENISA från och med den 11 september 2026. Detta krav gäller alltså även befintliga produkter, inte bara produkter som släpps ut på marknaden för första gången.
Dessutom är tillverkarna skyldiga att informera produkternas användare om eventuella sårbarheter och åtgärdande av dem.
Tillverkarna ska rapportera om
a) aktivt utnyttjande sårbarheter i produkten och
b) allvarliga incidenter som påverkar produktens informationssäkerhet.
När en incident anses vara betydande och tillverkaren omfattas av NIS 2-direktivet (EU) 2022/2555, lämnas också en NIS-anmälan.
I anmälningspraxisen iakttas samma princip som i NIS 2-direktivet. Den första anmälan ska lämnas inom 24 timmar från det att sårbarheten upptäcktes. En andra anmälan ska lämnas inom 72 timmar.
Tillverkare, sårbarhetsforskare och andra aktörer kan frivilligt meddela CSIRT-enheten eller ENISA om sårbarheter eller cyberhot i produkten som kan påverka produktens riskprofil. Även incidenter som påverkar produktens informationssäkerhet samt tillbud kan rapporteras.
ENISA utarbetar ett centraliserat system för anmälan av sårbarheter.
Utsläppande av produkter på marknaden
Med utsläppande på marknaden avses att en produkt görs tillgänglig för första gången på EU:s marknad. I praktiken innebär detta att produkten har importerats från ett tredje land till EU:s marknad eller sänts från ett tillverkningsställe inom EU till en distributionskedja. Utsläppande på marknaden granskas separat för varje enskilt exemplar av apparaten.
Tillverkaren ska se till att produkten överensstämmer med kraven innan den släpps ut på marknaden. Alla produkter som säljs inom EU omfattas av EU:s cyberresiliensförordningen, dvs. CRA (EU)2024/2847. Den innehåller krav på produktens tekniska egenskaper, dokument och märkningar. Produkter som överensstämmer med kraven i CRA kan röra sig fritt inom hela EU-området.
Till skillnad från andra förordningar ålägger cyberresiliensförordningen skyldigheter för produktens hela livscykel.
Så här släpper du ut en produkt på marknaden
Produkten utvecklas
Tillverkaren bekantar sig med innehållet i cyberresiliensförordningen.
Programvaran eller enheten med digitala element som kan anslutas till nätet utvecklas. Produktens informationssäkerhetsegenskaper genomförs enligt riskbedömningen.
Produktens överensstämmelse med kraven bedöms
Tillverkaren utreder hur produktens överensstämmelse med kraven ska bedömas.
I vissa situationer förutsätts att det anmälda organet bedömer överensstämmelsen med kraven eller att ett cybersäkerhetscertifikat utfärdas.
Produkten ska genomgå en bedömning av överensstämmelse med kraven och uppfylla kraven i cyberresiliensförordningen.
Produkten släpps ut på marknaden
För produkten upprättas en EU-försäkran om överensstämmelse och nödvändig teknisk dokumentation.
Produkten förses med CE-märkning. En stödperiod anges för produkten.
Övervakning efter utsläppande på marknaden
I detta skede genomgår produkten marknadskontroll.
Efter utsläppandet på marknaden åtgärdar tillverkaren produktens sårbarheter enligt riskbedömningen under stödperioden. Tillverkaren ska rapportera sårbarheter till CSIRT och ENISA.
Riskbedömningen av produkten ska uppdateras vid behov. Produktens överensstämmelse med kraven ska bedömas på nytt om det görs betydande ändringar i produkten.
Harmoniserade standarder
Standarderna kommer att ha en betydande roll i genomförandet av produktens överensstämmelse med kraven.
I de preliminära diskussionerna har man dryftat horisontella och vertikala standarder, dvs. branschspecifika standarder. Vertikala standarder kommer att införas särskilt för produkterna i bilaga III.
När förordningen träder i kraft skickar kommissionen en begäran om standardisering till de europeiska standardiseringsorganisationerna.
De harmoniserade standarderna publiceras i EU:s officiella tidning.
Anmälda organ enligt CRA
Bestämmelserna om anmälda organ tillämpas från och med den 11 juni 2026. Anmälda organ ska ha ett godkännande inom tillämpningsområdet för CRA (EU) 2024/2847 för att kunna bedöma produktens överensstämmelse med kraven. De anmälda organen finns i kommissionens NANDO-databas.
Europeiskt cybersäkerhetscertifikat
Vid påvisande av produktens överensstämmelse med kraven kan man också använda en EU-försäkran om överensstämmelse eller ett certifikat enligt det europeiska certifieringssystemet för cybersäkerhet som godkänts med stöd av cybersäkerhetsförordningen (EU) 2019/881.
Transport- och kommunikationsverket Traficom ansvarar för uppgifterna för den myndighet som beviljar nationell cybersäkerhetscertifiering enligt EU:s cybersäkerhetsförordning. Bekanta dig med verksamheten och läs mer om cybersäkerhetsförordningen och den europeiska cybersäkerhetscertifieringen på webbplatsen för myndigheten för nationell cybersäkerhetscertifiering.
Ekonomiska aktörers skyldigheter
Tillverkare, importörer och försäljare av produkter ansvarar för att konsumenterna erbjuds apparater och programvaror som uppfyller kraven i EU:s cyberresiliensförordningen.
På den här sidan kompletterar vi informationen om vad som ingår i dessa skyldigheter.
Till anmälda organ
Finns det vilja inom er organisation att ansöka om att bli ett anmält organ enligt CRA?
Vid det nationella genomförandet fästs särskild uppmärksamhet vid antalet anmälda organ. Om det inte finns tillräckligt med organ finns det en risk för flaskhalsar när det gäller att släppa ut produkter på marknaden.
För de anmälda organen ser man också betydande affärsmöjligheter, eftersom det på europeisk nivå eventuellt finns många produkter som kräver bedömning.
Bestämmelserna om anmälda organ börjar tillämpas 18 månader efter att förordningen har trätt i kraft, dvs. den 11 juni 2026.
Vi kompletterar webbplatsen med information om hur man ansöker om att bli anmält organ enligt CRA.