Cyberresiliensförordningen (Cyber Resilience Act, CRA) | Traficom
Hoppa till huvudinnehåll
Cybersäkerhetscentret
Anmäl kränkningar
Anmäl kränkningar
Anmäl kränkningar

Cyberresiliensförordningen (Cyber Resilience Act, CRA)

EU:s cyberresiliensförordning (Cyber Resilience Act, CRA) inför cybersäkerhetskrav för digitala produkter samt skyldigheter för aktörer som släpper ut dem på EU‑marknaden, såsom tillverkare, importörer, distributörer och ansvariga för programvara med fri och öppen källkod. Målet är att förbättra produkternas cybersäkerhet under hela deras livscykel. På denna sida berättar vi vad skyldigheterna i praktiken betyder.

På denna sida

Cyberresiliensförordningen (EU) 2024/2847 är Europeiska unionens förordning vars syfte är att förbättra cybersäkerheten i digitala produkter som släpps ut på EU-marknaden.

Uppfyllandet av CRA-kraven är i framtiden en förutsättning för att produkten kan släppas ut på EU-marknaden. 

Vilka produkter omfattas av CRA?

Aktörer som omfattas av CRA

Cyberresiliensförordningen gäller ekonomiska aktörer som släpper ut sådana produkter på EU-marknaden som omfattar digitala element. Sådana aktörer är till exempel:

  • tillverkare
  • importörer
  • distributörer
  • förvaltare av programvara med fri och öppen källkod

Om ditt företag utvecklar, tillverkar, importerar eller säljer digitala produkter på EU-marknaden, omfattas verksamheten sannolikt av cyberresiliensförordningen.

Produkter som CRA gäller

Cyberresiliensförordningen tillämpas på produkter med digitala element (products with digital elements). Detta betyder i praktiken enheter och programvara som fungerar i en digital miljö och som direkt eller indirekt kan anslutas till nätet.
Förordningen gäller bland annat följande produkter:

  • smarta enheter avsedda för konsumenter, t.ex. säkerhetskameror, tv-apparater, leksaker och hushållsroutrar
  • program och applikationer, t.ex. spel, text- och bildbehandlingsprogram, operativsystem, webbläsare och lösenordshanterare
  • industriella och tekniska digitala system, t.ex. industriella styrsystem, uppkopplade IoT-enheter samt vissa mikroprocessorer och mikrokontroller

Fjärrbehandling av data som tillverkaren tillhandahåller i samband med IoT-enheter, t.ex. en tjänst för hantering av enheten på distans, anses som en del av produkten. En sådan lösning kan vara till exempel en molnbaserad komponent som gör det möjligt att hantera enheten eller behandla uppgifter på distans.
Akten kan också gälla molntjänster när de utgör en del av produkten eller fjärrbehandlingen. 

Produkter som inte omfattas av CRA

Förordningen tillämpas inte till exempel på:

  • medicintekniska produkter
  • medicintekniska produkter avsedda för in vitro-diagnostik
  • vissa fordon
  • marin utrustning
  • certifierad utrustning inom luftfart, t.ex. luftfartyg

På dessa tillämpas redan sedan tidigare produktspecifika cybersäkerhetskrav.

Förordningen tillämpas inte heller på produkter som uteslutande är avsedda för att användas av nationell säkerhet eller försvar.

Vilka skyldigheter inför CRA för aktörer?

Cyberresiliensförordningen inför skyldigheter för aktörer som släpper ut produkter med digitala element på EU-marknaden. Skyldigheterna varierar beroende på aktörens roll och gäller bland annat att säkerställa att produkterna uppfyller cybersäkerhetskraven samt att rapportera information om sårbarheter hos produkter.

När tillämpas bestämmelserna i CRA?

Centrala datum för cyberresiliensförordningen

10.12.2024 – Förordningen träder i kraft

Cyberresiliensförordningen trädde i kraft i EU. Från detta datum börjar övergångsperioden innan skyldigheterna ska tillämpas.

11.6.2026 – Tillämpningen av bestämmelser för anmälda organ börjar

11.9.2026 – Skyldigheten att anmäla sårbarheter börjar

Tillverkarna ska aktivt anmäla utnyttjade sårbarheter och allvarliga informationssäkerhetsincidenter till myndigheter. Skyldigheten gäller både nya produkter och produkter som redan finns på EU-marknaden.

11.12.2027 – Tillämpningen av bestämmelserna om cybersäkerhetskrav och bedömning av överensstämmelse börjar

De väsentliga cybersäkerhetskraven tillämpas på produkter som släpps ut på EU-marknaden från och med den 11 december 2027.

Anmälan om informationssäkerhetsincidenter och sårbarheter i produkten

Cyberresiliensförordningen uppställer tillverkare skyldigheter att aktivt rapportera utnyttjade sårbarheter och anmäla alla allvarliga incidenter som påverkar säkerheten för produkten. Skyldigheten gäller både nya produkter och produkter som redan finns på EU-marknaden.

Tillverkaren ska lämna in en tidig varning om incidenterna, en kompletterande anmälan samt en slutrapport. Alla anmälningar ska från och med den 11 september 2026 lämnas via portalen för den centraliserade rapporteringsplattform som förvaltas av ENISA (Single Reporting Platform), vilket innebär att Cybersäkerhetscentret tills vidare inte har någon separat blankett för att göra anmälningar.

Vad är en aktivt utnyttjad sårbarhet?

Aktivt utnyttjade sårbarheter är sådana där en illvillig aktör har utnyttjat en svaghet i en produkt med digitala element som tillverkaren har gjort tillgänglig på marknaden.
Den obligatoriska anmälningsskyldigheten gäller inte fall där en sårbarhet upptäcks utan skadligt uppsåt. Som exempel kan nämnas testning eller undersökning som utförs i god tro (bl.a. Bug Bounty).

Vad är en allvarlig incident som påverkar produktens informationssäkerhet?

Med en allvarlig incident som påverkar produktens informationssäkerhet avses situationer där en händelse påverkar produktens tillgänglighet, autenticitet, integritet eller konfidentialitet. Incidenten kan till exempel förekomma i tillverkarens utvecklings-, produktions- eller underhållsprocesser. Ett exempel på detta är en situation där en angripare har lyckats infiltrera tillverkarens publikationskanal för uppdateringar med skadlig kod.

 

Tillverkare – så här anmäler du en informationssäkerhetsincident eller sårbarhet som upptäckts i din produkt

  • Steg 1

    Lämna in en tidig varning inom 24 timmar efter att du har fått kännedom om händelsen

    Lämna in anmälningen på ENISAs Single Reporting Platform.
     

    Obligatoriska uppgifter i tidig varning

    • Medlemsstater på vars territorium tillverkaren känner till att produkten med digitala element har tillhandahållits
    • Om tillverkaren misstänker att incidenten orsakats av olagliga eller fientliga handlingar 
  • Steg 2

    Lämna in en kompletterande anmälan inom 72 timmar efter att du fått kännedom om händelsen.

    Lämna in anmälningen på ENISAs Single Reporting Platform.
     

    Obligatoriska uppgifter i kompletterande anmälan

    Sårbarheter:

    • Generell information om den berörda produkten, sårbarheten och utnyttjandet
    • Vidtagna korrigerande eller riskreducerande åtgärder
    • Korrigerande eller riskreducerande åtgärder som användaren kan vidta
    • Känslighetsnivån hos den anmälda information som tillverkaren angett

    Incidenter:

    • Allmän information om arten av incident och en första bedömning av incidenten
    • Vidtagna korrigerande eller riskreducerande åtgärder
    • Korrigerande eller riskreducerande åtgärder som användarna kan vidta
    • Känslighetsnivån hos den anmälda information som tillverkaren angett
  • Steg 3

    Lämna in slutrapporten för sårbarheter senast 14 dagar efter det att en korrigerande eller riskreducerande åtgärd blivit tillgänglig och, för incidenter, inom en månad från inlämningen av den kompletterande anmälan.

    Lämna in anmälningen på ENISAs Single Reporting Platform.
     

    Obligatoriska uppgifter i slutrapporten

    Sårbarheter:

    • En beskrivning av sårbarheten och dess allvarlighetsgrad och konsekvenser
    • I förekommande fall information om en fientlig aktör som har utnyttjat eller som utnyttjar sårbarheten
    • Detaljer om säkerhetsuppdateringen eller andra korrigerande åtgärder som har gjorts tillgängliga för att avhjälpa sårbarheten

    Incidenter:

    • En detaljerad beskrivning av incidenten, inbegripet dess allvarlighetsgrad och konsekvenser
    • Den typ av hot eller grundorsak som sannolikt har utlöst incidenten
    • Tillämpade och pågående riskreducerande åtgärder

Anmälningar som lämnas in via Single Reporting Platform vidarebefordras till den ansvariga CSIRT-enheten, som i regel är CSIRT-enheten i det land där anmälan görs. Informationen vidarebefordras även för kännedom till CSIRT-enheterna i de länder där produkten har gjorts tillgänglig. 

Tillverkaren kan i samband med att en anmälan lämnas be att den ansvariga CSIRT-enheten om att fördröja anmälan, om något av följande villkor uppfylls: 

  • En fientlig aktör har aktivt utnyttjat den anmälda sårbarheten och enligt tillgänglig information har den utnyttjats endast i den medlemsstat där den CSIRT-enhet som utsetts till samordnare finns och till vilken tillverkaren har anmält sårbarheten.
  • Ett omedelbart vidarebefordrande av informationen om den anmälda sårbarheten skulle sannolikt leda till tillhandahållande av information vars utlämnande skulle strida mot den berörda medlemsstatens väsentliga intressen
  • Den anmälda sårbarheten utgör en överhängande hög cybersäkerhetsrisk till följd av att informationen vidarebefordras.
     

I dessa fall bedömer CSIRT-enheten situationen och fattar sitt beslut på basis av uppgifterna. CSIRT-enheten kan också på eget initiativ besluta att försena förmedlingen av anmälan utan en separat begäran, om de ovan nämnda villkoren uppfylls.

Vilka krav ställer CRA på produkter?

Tillverkare ska säkerställa att produkten planeras, utvecklas och produceras i enlighet med de väsentliga cybersäkerhetskraven som uppställs i cyberresiliensförordningen (CRA). Kraven gäller både produktens tekniska egenskaper och tillverkarens skyldigheter att kontrollera sårbarheter och tillhandahålla säkerhetsuppdateringar under produktens livscykel.

Det närmare innehållet i kraven finns i artikel 13 i cyberresiliensförordningen och i bilaga I. Överensstämmelse med kraven påvisas med CE-märkningen.

De väsentliga cybersäkerhetskraven tillämpas på produkter som släpps ut på EU-marknaden från och med den 11 december 2027. Utsläppande på marknaden betyder att en produkt kommer ut på EU-marknaden för första gången.

De väsentliga cybersäkerhetskraven genomförs baserat på riskerna. Dessa är till exempel:

  • säker standardkonfiguration och automatiska säkerhetsuppdateringar
  • skydd mot obehörig åtkomst
  • konfidentiell behandling av uppgifter och dataminimering
  • skydd av centrala funktioner

Närmare innehållet för kraven preciseras i harmoniserade standarder och tekniska specifikationer. De harmoniserade standarderna publiceras när de färdigställs i EU:s officiella tidning.

EU‑kommissionen har begärt att de europeiska standardiseringsorganisationerna ska utarbeta cirka 40 standarder för att stödja tolkningen av författningstexten på teknisk nivå. Sådana standarder kallas harmoniserade standarder, och en implementering enligt dem anses i regel uppfylla kraven.

Överensstämmelse kan också påvisas på annat sätt än genom att följa standarderna, men då ansvarar tillverkaren själv för tolkningen.

CRA:s standarder bereds i följande europeiska standardiseringsorganisationer:

  • CEN (allmän standardisering)
  • CENELEC (standardisering inom elområdet)
  • ETSI (standardisering inom telekommunikationsområdet)

I Finland följs standardiseringsarbetet via de nationella medlemsorganisationerna:

  • SFS Finska Standarder (CEN)
  • SESKO (CENELEC)
  • Traficom (ETSI)

SFS:s och SESKOs uppföljningstjänster är avgiftsbelagda. På Cybersäkerhetscentret vid Traficom följs CRA-arbetet i nätverket för standardisering av informationssäkerhet, där en separat CRA-underarbetsgrupp har inrättats. Medlemskap i nätverket är öppet och avgiftsfritt.

Dessutom svarar Traficom för remissförfaranden kring standarderna. 

Läs mer

Hur bedöms kraven på överensstämmelse?

Innan en produkt kan släppas ut på EU-marknaden ska tillverkaren visa att produkten uppfyller de väsentliga cybersäkerhetskraven i cyberresiliensförordningen. Detta kallas för bedömning av överensstämmelse.

Bedömningsförfarandet beror på produktens kategori. I de flesta fall kan tillverkaren själv bedöma överensstämmelsen, men i vissa fall medverkar ett anmält organ (notified body) i bedömningen.

Hitta den produktkategori som motsvarar din egen produkt i listan nedan för att se vilket bedömningsförfarande som ska tillämpas.

CRA:s produktkategorier

Majoriteten av produkterna hör till denna grupp. För dessa produkter kan tillverkaren, om så önskas, själv bedöma överensstämmelsen.

Hur kan överensstämmelsen med kraven för produkter i denna kategori påvisas

Överensstämmelsen kan påvisas genom att välja ett av följande förfaranden:

  • Intern kontroll (modul A)
  • Tillämpning av standarder
  • EU:s typkontroll och intern produktionskontroll (modulerna B och C)
  • Kontroll utförd av anmält organ (modul H)
  • Europeiskt cybersäkerhetscertifikat

(artikel 32 och bilaga VIII)

Exempel på produkter i denna kategori

Smarta högtalare, hårddiskar, bildbehandlingsprogram, spel

På vilken grund hör produkten till denna kategori

Inga särskilda kriterier har angetts i denna kategori.

I cyberresiliensförordningen definieras en uppsättning produkter som anses vara viktiga ur ett cybersäkerhetsperspektiv.

För dessa produkter kan en strängare bedömning av överensstämmelse tillämpas, och i vissa fall kan ett anmält organ (notified body) delta i bedömningen.

Hur kan överensstämmelsen med kraven för produkter i denna kategori påvisas

Överensstämmelsen kan påvisas genom att välja ett av följande förfaranden:

  • tillämpning av standarder
  • EU:s typkontroll och intern tillverkningskontroll (modulerna B och C)
  • kontroll utförd av anmält organ (modul H)
  • europeiskt cybersäkerhetscertifikat på förhöjd eller hög nivå

(artikel 32 och bilaga VIII)

Exempel på produkter i denna kategori

Routrar, webbläsare, smarta hemprodukter, smarta kroppsburna produkter, smarta leksaker

(bilaga III)

På vilken grund hör produkten till denna kategori

Produkten tillhör denna kategori om någondera av följande uppfylls:

a) produkten har en cybersäkerhetsrelaterad funktion
b) produkten är förknippad med betydande cybersäkerhetsrisk

Produkter i kategori II anses vara särskilt betydelsefulla med tanke på cybersäkerheten. Vid bedömningen av överensstämmelse för dessa produkter deltar vanligtvis ett anmält organ.

Hur kan överensstämmelsen med kraven för produkter i denna kategori påvisas

Överensstämmelsen kan påvisas genom att välja ett av följande förfaranden:

  • EU:s typkontroll och intern tillverkningskontroll (modulerna B och C)
  • kontroll utförd av anmält organ (modul H)
  • europeiskt cybersäkerhetscertifikat på förhöjd eller hög nivå

(artikel 32 och bilaga VIII)

Exempel på produkter i denna kategori

Virtualiseringslösningar, brandväggar, manipulationssäkra processorer

(bilaga III)

På vilken grund hör produkten till denna kategori

Produkten tillhör denna kategori om båda av följande uppfylls:

a) produkten har en cybersäkerhetsrelaterad funktion
b) produkten är förknippad med betydande cybersäkerhetsrisk

(artikel 7)

Cyberresiliensförordningen identifierar också produkter som anses vara särskilt kritiska med tanke på cybersäkerheten. På dessa produkter tillämpas strängare bedömningsmetoder.

Hur kan överensstämmelsen för produkter i denna kategori påvisas?

För produkter i denna kategori krävs:

  • obligatoriskt europeiskt cybersäkerhetscertifikat på förhöjd eller hög nivå

(artikel 32)

Exempel på produkter i denna kategori

säkerhetsboxar, smarta mätarportar, smartkort

(bilaga IV)

På vilken grund hör produkten till denna kategori

Produkten hör till denna kategori om följande uppfylls:

a) en central aktör enligt NIS2-direktivet är kritiskt beroende av produkten

b) utnyttjade sårbarheter kan orsaka omfattande störningar i leveranskedjan

(artikel 8)

.

Så här släpper du ut en produkt på EU-marknaden

  • Steg 1

    Ta reda på vilka krav som gäller för produkten och beakta dem i utvecklingen

    Bedöm om din produkt omfattas av cyberresiliensförordningens tillämpningsområde och vilka cybersäkerhetskrav som tillämpas på den. 

    Planera och utveckla produkten så att den uppfyller kraven i cyberresiliensförordningen.

    Bedöm också de cybersäkerhetsrisker som är förknippade med produkten, dokumentera dem och beakta förordningens krav redan i produktens planerings- och utvecklingsskede.
     

  • Steg 2

    Säkerställ att produkten uppfyller kraven i förordningen

    Tillverkaren ska upprätta teknisk dokumentation för produkten och vid behov genomföra en bedömning av överensstämmelse med kraven. I vissa fall deltar ett anmält organ i bedömningen.

  • Steg 3

    Upprätta en försäkran om överensstämmelse med EU-kraven och se till att märkningar är korrekta

    När produkten uppfyller kraven i förordningen upprättar tillverkaren en EU-försäkran om överensstämmelse och ser till att produkten är försedd med de märkningar som krävs, såsom CE-märkning, samt behövliga anvisningar och uppgifter för användare.

  • Steg 4

    Säkerställ produktens cybersäkerhet även efter att den släppts ut på marknaden

    Tillverkaren ska följa upp produktrelaterade sårbarheter och tillhandahålla nödvändiga informationssäkerhetsuppdateringar under hela produktens livscykel.

    Tillverkaren ska också samarbeta med myndigheterna i situationer som gäller marknadskontroll och vid behov vidta åtgärder om brister i överensstämmelsen upptäcks i produkten.

    Bedömningen av cybersäkerhetsrisker ska hållas uppdaterad och vid behov revideras under hela produktens supportperiod.

Se även

Vet du vad CRA kräver av dig?

Ta reda på med hjälp av CRA-kompassen (på finska) om din produkt omfattas av regleringen och vad det innebär i praktiken.

Testa CRA-kompassen (på finska)

Anmälda organ enligt CRA

Skulle din organisation vara ett anmält organ som avses i cyberresiliensförordningen, m.a.o. CRA?

Mer information om anmälda organ enligt CRA

Europeiskt cybersäkerhetscertifikat

Produktens överensstämmelse kan också visas genom EU:s cybersäkerhetscertifiering.

Gå till sidan för cybersäkerhetscertifiering
Sidan är senast uppdaterad