Cyberresiliensförordningen (Cyber Resilience Act, CRA) | Traficom
Hoppa till huvudinnehåll
Cybersäkerhetscentret
Anmäl kränkningar
Anmäl kränkningar
Anmäl kränkningar

Cyberresiliensförordningen (Cyber Resilience Act, CRA)

Genom cyberresiliensförordningen ställs minimikrav på cybersäkerhet för apparater med digitala element och programvara, vilka direkt eller indirekt kan anslutas till en annan enhet eller ett nät.

På denna sida

Målet med Europeiska unionens cyberresiliensförordningen (EU)2024/2847 är att förbättra informationssäkerheten för produkter som släpps ut på EU:s marknad så att produkterna har färre sårbarheter. 

Cyberresiliensförordningen är en horisontell produktsäkerhetsförordning och dess krav kommer i framtiden att garanteras genom CE-märkning. Uppfyllandet av säkerhetskraven enligt förordningen är inom EU i fortsättningen en förutsättning för marknadstillträde.

Tillverkarna ansvarar för cybersäkerheten under produktens hela livscykel.  Förordningen förbättrar transparensen i säkerheten hos apparater och programvaror. Den förpliktar tillverkaren att också tydligt ange produktens stödperiod.

Vilka produkter omfattas av CRA?

EU:s cyberresiliensförordningen (EU) 2024/2847 gäller ett stort antal produkter. Till följd av förordningen kompletteras i synnerhet regleringen av programvaror.

Cyberresiliensförordningen gäller apparater med digitala element och programvara, vilka direkt eller indirekt kan anslutas till en annan enhet eller ett nät. 

Sådana produkter är till exempel säkerhetskameror, tv-apparater, leksaker, hushållsroutrar, brandväggar samt spel, text- och bildbehandlingsprogram. 

CRA utvidgar också cybersäkerhetskraven att omfatta exempelvis operativsystem, webbläsare, programvara för lösenordshantering samt vissa mikroprocessorer och mikrokontroller. På så sätt förbättras cybersäkerheten i hela leveranskedjan.

I cyberresiliensförordningen beaktas särdragen hos apparater som omfattas av sakernas internet (IoT). Den administrationstjänst, dvs. lösningen för fjärrbehandling av data, som tillverkaren ansvarar för och som vanligtvis hör till IoT-apparater anses vara en del av produkten.

Molntjänstlösningar eller komponenter som används i dem omfattas av förordningens tillämpningsområde, om de uppfyller definitionen av fjärrbehandling av data enligt förordningen och produkttillverkaren ansvarar för deras utveckling. Molntjänstlösningar kan till exempel vara komponenter avsedda för att skapa förbindelser för fjärradministration. 

Molntjänster och molntjänstmodeller, såsom programvarutjänster (SaaS), plattformstjänster (PaaS) eller infrastrukturtjänster (IaaS) omfattas av cybersäkerhetsskyldigheter enligt NIS 2-direktivet (EU) 2022/2555.

Produkter som inte omfattas av CRA

Förordningen tillämpas inte på medicintekniska produkter, medicintekniska produkter för in vitro-diagnostik, vissa fordon, marin utrustning ochcertifierade luftfartsanordningar, såsom luftfartyg. På dessa tillämpas de cybersäkerhetskrav som redan finns i den produktspecifika regleringen.

Cyberresiliensförordningen tillämpas inte heller på produkter avsedda enbart för den nationella säkerheten och försvaret samt på produkter avsedda enbart för behandling av säkerhetsskyddsklassificerade material.

Tidsplan

Rapportering om sårbarheter

Skyldigheterna att rapportera om sårbarheter tillämpas 21 månader efter ikraftträdandet, dvs. den 11 september 2026. Kraven gäller alla produkter på EU:s marknad som omfattas av tillämpningsområdet, inte endast produkter som släpps ut på marknaden.

Väsentliga cybersäkerhetskrav

Kraven på produktens informationssäkerhetsegenskaper tillämpas genom en övergång på 36 månader. Från och med den 11 december 2027 ska produkter som släppts ut på EU:s marknad utformas, utvecklas och produceras i enlighet med de väsentliga cybersäkerhetskraven i EU:s cyberresiliensförordningen. 

Kommunikationsministeriet leder det nationella genomförandet. 

Vilka krav ställer CRA?

Väsentliga cybersäkerhetskrav

Det närmare innehållet i cybersäkerhetskraven finns i artikel 13 och bilaga I till EU:s cyberresiliensförordningen.
Produkttillverkarna ska säkerställa att produkterna har utformats, utvecklats och producerats i enlighet med de väsentliga cybersäkerhetskraven i cyberresiliensförordningen. Produkternas CE-märkning anger cybersäkerhetskraven. 
Dessa krav tillämpas på produkter som släpps ut på marknaden efter den 11 december 2027. Utsläppande på marknaden sker när produkten kommer ut på marknaden för första gången.
De väsentliga cybersäkerhetskraven genomförs baserat på riskerna. Kraven som gäller produkterna är bland annat

  • säker standardkonfiguration och automatiska säkerhetsuppdateringar
  • skydd mot obehörig åtkomst
  • konfidentiell lagring av uppgifter och uppgiftsminimering
  • skydd av centrala funktioner

I de harmoniserade standarderna och de tekniska specifikationerna preciseras vad som kan ingå i kraven. De harmoniserade standarderna publiceras när de färdigställs i EU:s officiella tidning.  

Rapportering om sårbarheter

Produkttillverkare i EU:s marknadsområde ska anmäla aktivt utnyttjade sårbarheter i produkterna till CSIRT-enheten och ENISA från och med den 11 september 2026. Detta krav gäller alltså även befintliga produkter, inte bara produkter som släpps ut på marknaden för första gången.

Dessutom är tillverkarna skyldiga att informera produkternas användare om eventuella sårbarheter och åtgärdande av dem.
 

Tillverkarna ska rapportera om 
a) aktivt utnyttjande sårbarheter i produkten och 
b) allvarliga incidenter som påverkar produktens informationssäkerhet. 

När en incident anses vara betydande och tillverkaren omfattas av NIS 2-direktivet (EU) 2022/2555, lämnas också en NIS-anmälan.

I anmälningspraxisen iakttas samma princip som i NIS 2-direktivet. Den första anmälan ska lämnas inom 24 timmar från det att sårbarheten upptäcktes. En andra anmälan ska lämnas inom 72 timmar. 

Tillverkare, sårbarhetsforskare och andra aktörer kan frivilligt meddela CSIRT-enheten eller ENISA om sårbarheter eller cyberhot i produkten som kan påverka produktens riskprofil. Även incidenter som påverkar produktens informationssäkerhet samt tillbud kan rapporteras. 

ENISA utarbetar ett centraliserat system för anmälan av sårbarheter.

 StandardkategoriViktiga produkter
Klass 1		Viktiga produkter
Klass 2		Kritiska produkter
Kriterier 

Ett uppfylls
a) Funktion avseende cybersäkerhet 
b) Funktion som medför betydande risk

(artikel 7)

Båda uppfylls
a) Funktion avseende cybersäkerhet
b) Funktion som medför betydande risk

(artikel 7)

Nedanstående uppfylls
a) En central aktör enligt NIS 2-direktivet är kritiskt beroende av produkten
b) Utnyttjade sårbarheter orsakar omfattande störningar i leveranskedjan

(artikel 8)

ExempelprodukterSmarta högtalare, hårddiskar, bildbehandlingsprogram, spel

Routrar, webbläsare, smarta hemprodukter, smarta kroppsburna produkter, smarta leksaker

(bilaga III)

Virtualiseringslösningar, brandväggar, manipulationssäkra processorer

(bilaga III)

Säkerhetsboxar, smarta mätares nätportar, smartkort

(bilaga IV)

Påvisande av överensstämmelse med kraven

Intern kontroll (modul A)
Tillämpning av standarder 
EU:s typkontroll (modulerna B och C)
Kontroll utförd av anmält organ (modul H)
Europeiskt cybersäkerhetscertifikat

(artikel 32 och bilaga VIII)

Tillämpning av standarder
EU:s typkontroll (B och C)
Kontroll utförd av anmält organ (H)
Europeiskt cybersäkerhetscertifikat på förhöjd eller hög nivå

(artikel 32 och bilaga VIII)

EU:s typkontroll (B och C)
Kontroll utförd av anmält organ (H)
Europeiskt cybersäkerhetscertifikat på förhöjd eller hög nivå

(artikel 32 och bilaga VIII)

Europeiskt cybersäkerhetscertifikat på förhöjd eller hög nivå

(artikel 32)

Kyberkestävyyssäädöksessä on määritelty joukko tuotteita, joita pidetään kyberturvallisuuden kannalta tärkeinä.

Näille tuotteille voidaan soveltaa tiukempaa vaatimustenmukaisuuden arviointia, ja joissakin tapauksissa arviointiin voi osallistua ilmoitettu laitos (notified body).

Miten tämän kategorian tuotteiden vaatimustenmukaisuus voidaan osoittaa

Vaatimustenmukaisuus voidaan osoittaa valitsemalla yksi seuraavista menettelyistä:

  • standardien soveltaminen
  • EU:n tyyppitarkastusmenettely ja sisäinen tuotannon valvonta (moduulit B + C)
  • ilmoitetun laitoksen tekemä tarkastus (moduuli H)
  • korotetun tai korkean tason eurooppalainen kyberturvallisuussertifikaatti

(32 artikla ja VIII liite)

Esimerkkejä tähän kategoriaan kuuluvista tuotteista

Reitittimet, selaimet, älykotituotteet, puettavat älytuotteet, älylelut

(III liite)

Millä perusteella tuote kuuluu tähän kategoriaan

Tuote kuuluu tähän kategoriaan, jos jompikumpi seuraavista täyttyy:

a) tuotteella on kyberturvallisuuteen liittyvä toiminto
b) tuotteeseen liittyy merkittävä kyberturvallisuusriski

Luokan II tuotteita pidetään erityisen merkittävinä kyberturvallisuuden kannalta. Näiden tuotteiden vaatimustenmukaisuuden arviointiin osallistuu yleensä ilmoitettu laitos.

Miten tämän kategorian tuotteiden vaatimustenmukaisuus voidaan osoittaa

Vaatimustenmukaisuus voidaan osoittaa valitsemalla yksi seuraavista menettelyistä:

  • EU:n tyyppitarkastusmenettely ja sisäinen tuotannon valvonta (moduulit B + C)
  • ilmoitetun laitoksen tekemä tarkastus (moduuli H)
  • korotetun tai korkean tason eurooppalainen kyberturvallisuussertifikaatti

(32 artikla ja VIII liite)

Esimerkkejä tähän kategoriaan kuuluvista tuotteista

Virtualisointiin tarkoitetut ratkaisut, palomuurit, tamper-suojatut prosessorit

(III liite)

Millä perusteella tuote kuuluu tähän kategoriaan

Tuote kuuluu tähän kategoriaan, jos molemmat seuraavista täyttyvät:

a) tuotteella on kyberturvallisuuteen liittyvä toiminto
b) tuotteeseen liittyy merkittävä kyberturvallisuusriski

(7 artikla)

Kyberkestävyyssäädös tunnistaa myös tuotteita, joita pidetään erityisen kriittisinä kyberturvallisuuden kannalta. Näihin tuotteisiin sovelletaan tiukempia arviointimenettelyjä.

Miten tämän kategorian tuotteiden vaatimustenmukaisuus osoitetaan

Tämän kategorian tuotteille vaaditaan:

  • pakollinen korotetun tai korkean tason eurooppalainen kyberturvallisuussertifikaatti

(32 artikla)

Esimerkkejä tähän kategoriaan kuuluvista tuotteista

Turvaboksit, älymittareiden yhdyskäytävät, älykortit

(IV liite)

Millä perusteella tuote kuuluu tähän kategoriaan

Tuote kuuluu tähän kategoriaan, jos seuraava täyttyy:

a) NIS2-direktiivin mukainen keskeinen toimija on kriittisesti riippuvainen tuotteesta

b) hyödynnetyt haavoittuvuudet voivat aiheuttaa laajoja häiriöitä toimitusketjussa

(8 artikla)

Ekonomiska aktörers skyldigheter 

Tillverkare, importörer och försäljare av produkter ansvarar för att konsumenterna erbjuds apparater och programvaror som uppfyller kraven i EU:s cyberresiliensförordningen.
På den här sidan kompletterar vi informationen om vad som ingår i dessa skyldigheter.

Tillverkaren ska se till att produkten överensstämmer med kraven innan den släpps ut på marknaden. Alla produkter som säljs inom EU omfattas av EU:s cyberresiliensförordningen, dvs. CRA (EU)2024/2847.  Den innehåller krav på produktens tekniska egenskaper, dokument och märkningar. Produkter som överensstämmer med kraven i CRA kan röra sig fritt inom hela EU-området.

Med utsläppande på marknaden avses att en produkt görs tillgänglig för första gången på EU:s marknad. I praktiken innebär detta att produkten har importerats från ett tredje land till EU:s marknad eller sänts från ett tillverkningsställe inom EU till en distributionskedja. Utsläppande på marknaden granskas separat för varje enskilt exemplar av apparaten.

Till skillnad från andra förordningar ålägger cyberresiliensförordningen skyldigheter för produktens hela livscykel. 

Så här släpper du ut en produkt på marknaden

  • Steg 1

    Produkten utvecklas

    Tillverkaren bekantar sig med innehållet i cyberresiliensförordningen. 

    Programvaran eller enheten med digitala element som kan anslutas till nätet utvecklas. Produktens informationssäkerhetsegenskaper genomförs enligt riskbedömningen.

  • Steg 2

    Produktens överensstämmelse med kraven bedöms

    Tillverkaren utreder hur produktens överensstämmelse med kraven ska bedömas.

    I vissa situationer förutsätts att det anmälda organet bedömer överensstämmelsen med kraven eller att ett cybersäkerhetscertifikat utfärdas.

    Produkten ska genomgå en bedömning av överensstämmelse med kraven och uppfylla kraven i cyberresiliensförordningen.

  • Steg 3

    Produkten släpps ut på marknaden

    För produkten upprättas en EU-försäkran om överensstämmelse och nödvändig teknisk dokumentation.

    Produkten förses med CE-märkning. En stödperiod anges för produkten.

  • Steg 4

    Övervakning efter utsläppande på marknaden

    I detta skede genomgår produkten marknadskontroll.

    Efter utsläppandet på marknaden åtgärdar tillverkaren produktens sårbarheter enligt riskbedömningen under stödperioden. Tillverkaren ska rapportera sårbarheter till CSIRT och ENISA.

    Riskbedömningen av produkten ska uppdateras vid behov. Produktens överensstämmelse med kraven ska bedömas på nytt om det görs betydande ändringar i produkten.

Anmälda organ

Skyldigheterna som gäller anmälda organ börjar tillämpas 18 månader efter ikraftträdandet, dvs. den 11 juni 2026.

Sidan är senast uppdaterad