Akademin hem
Bloggar
Vad kräver CRA?
En del av ISO 27001-samlingen
En del av NIS2-samlingen

Vad kräver CRA?

ISO 27001 insamling
Vad kräver CRA?
NIS2 samling
Vad kräver CRA?
Cyberday blogg
Vad kräver CRA?
Vad krävs enligt Cyber Resilience Act?

EU:s Cyber Resilience Act (CRA) fastställer obligatoriska cybersäkerhetsstandarder för nästan alla hårdvaru- och mjukvaruprodukter som ansluts till ett nätverk. Tänk på det som "CE-märkning för säkerhet": innan en produkt med digitala element (PDE) får säljas i EU måste tillverkaren visa att den byggdes på ett säkert sätt, levereras utan kända exploaterbara sårbarheter och kan hållas säker under hela sin livstid. 

Översikt över CRA

CRA är en EU-förordning (förordning (EU) 2024/2847) som trädde i kraft den 10 december 2024 och kommer att tillämpas fullt ut från och med den 11 december 2027. Eftersom det är en förordning är den direkt bindande i varje medlemsstat utan nationellt införlivande.

Mål: Minska säkerhetsbristen för uppkopplade produkter genom att flytta ansvaret till de ekonomiska aktörer som drar nytta av dem.

Tillämpningsområde: Alla "produkter med digitala element" (hårdvara, programvara och deras komponenter för fjärrstyrd databehandling) som släpps ut på EU-marknaden, såvida de inte omfattas av ett annat sektorsspecifikt system, t.ex. medicintekniska produkter eller typgodkännande av fordon. Programvara med öppen källkod som tillhandahålls kostnadsfritt och inte kommersialiseras omfattas inte av tillämpningsområdet.

Myndighet: Marknadsövervakningsmyndigheter i varje medlemsstat kommer att kontrollera efterlevnaden; bristande efterlevnad kan leda till återkallelser och böter på upp till 15 miljoner euro eller 2 procent av den globala omsättningen.

Läs mer om Cyber Resilience Act: Vad är Cyber Resilience Act?

Vilka är de viktigaste kraven för CRA?

I Cyber Resilience Act fastställs tydliga säkerhets- och efterlevnadsförväntningar för alla företag som släpper ut digitala produkter på EU-marknaden. Dessa krav omfattar produktdesign, dokumentation, ansvar i leveranskedjan och incidentrapportering.

Att förstå hur dessa skyldigheter är grupperade hjälper dig att planera implementeringsarbetet, fördela ansvarsområden och undvika att missa krav under revisioner. Nedan följer en praktisk uppdelning av CRA:s viktigaste kravkategorier, enligt den struktur som används i den officiella förordningen.

Den fullständiga lagtexten finns på EU:s officiella webbplats.

1. Säker konstruktion, utveckling och produktion (bilaga I, del I)

  • Leverera produkten utan kända exploaterbara sårbarheter.
  • Tillhandahålla en säker standardkonfiguration och tillåta en säker fabriksåterställning.
  • Skydda sekretess och integritet för data under transport och i vila (t.ex. kryptering, integritetskontroller).
  • Implementera robust autentisering och åtkomstkontroll.
  • Begränsa attackytan och inkludera tekniker för att minska exploateringen.
  • Logga säkerhetsrelevanta händelser och låt användarna radera personuppgifter på ett säkert sätt.

2. Sårbarhetshantering och livscykelstöd (bilaga I del II)

  • Upprätthålla en intern process för hantering av sårbarheter som stöds av en riskbedömning.
  • åtgärda rapporterade sårbarheter "utan onödigt dröjsmål" och tillhandahålla säkerhetsuppdateringar under den deklarerade stödperioden.
  • Publicera en kontaktpunkt och en policy för samordnat offentliggörande av sårbarheter (CVD).
  • Inom 24 timmar efter att ha fått kännedom om en aktivt utnyttjad sårbarhet eller incident, meddela ENISA via den europeiska sårbarhetsdatabasen och utfärda information om begränsningsåtgärder till användarna.

3. Teknisk dokumentation och bedömning av överensstämmelse (bilaga II + artiklarna 23-29)

  • Ta fram en riskbaserad teknisk fil som innehåller hotmodell, bevis för säker utveckling och programvaruförteckning (SBOM).
  • Standardriskprodukter kan använda självutvärdering; "viktiga" klass I/II-produkter (t.ex. brandväggar, identitetsleverantörer) kräver tredjepartscertifiering.
  • Fäst CE-märkningen och upprätta en EU-försäkran om överensstämmelse när bedömningen är godkänd.

4. Skyldigheter för ekonomiska aktörer (artiklarna 13-20)

  • Tillverkare: genomföra bedömningen, bevara dokumentationen i 10 år, tillhandahålla uppdateringar under minst den stödperiod som anges i EU-DoC och samarbeta med myndigheterna.
  • Importörer: kontrollera att produkten är CE-märkt och att dokumentation och uppdateringar finns tillgängliga.
  • Distributörer: se till att märkning och CE-märkning är intakta och stoppa försäljningen om de misstänker bristande efterlevnad.

5. Marknadsövervakning och incidentrapportering (artiklarna 30-35)

  • Hålla ett register över incidenter och sårbarheter; tillhandahålla SBOM:er till myndigheter på begäran.
  • Rapportera varje utnyttjande av en opatchad sårbarhet inom 24 timmar och lämna en slutlig incidentrapport inom två veckor.

Testa din status för efterlevnad av CRA

Gör vår kostnadsfria utvärdering och få en snabb överblick över hur din organisation uppfyller kraven i Cyber Resilience Act och vad du bör fokusera på härnäst.

Genomför utvärderingen

Är kraven obligatoriska för alla?

CRA är brett men inte universellt. Det är obligatoriskt för organisationer som omfattas, men för andra är det frivilligt.

  • Fullständig täckning: Alla organisationer som släpper ut en produkt med digitala element på EU-marknaden för kommersiell vinning, oavsett storlek eller plats.
  • Viktiga undantag:
    • Programvara med öppen källkod som tillhandahålls kostnadsfritt och inte ger upphov till intäkter.
    • PDE:er som redan regleras av strängare sektorslagar (medicintekniska produkter, luftfart, fordonsindustrin, kvalificerade eID-plånböcker etc.)
    • Reservdelar för äldre produkter.
  • Lätthanterligt system: "Open-source stewards" som tillhandahåller hållbart stöd för OSS-komponenter avsedda för kommersiell användning får minskade skyldigheter (säkerhetsintyg i stället för fullständig CE-process).

Läs mer på engelska: Vem omfattas av Cyber Resilience Act?

Vanliga utmaningar med att uppfylla CRA-krav

  1. Generera en korrekt SBOM. Många team förlitar sig på flera pakethanterare och privata arkiv, vilket gör det svårt att sammanställa fullständiga beroendelistor.
  2. Samordnat avslöjande av sårbarheter. Att inrätta en offentlig process, en säker mottagningskanal och ett 24-timmars arbetsflöde för svar är nytt för många små och medelstora företag.
  3. Långsiktigt uppdateringsåtagande. Att deklarera en supportperiod innebär att man budgeterar för mer än tre års uppdateringar, inklusive äldre Major-versioner.
  4. Insamling av bevismaterial. Utvecklare måste bevara hotmodeller, testresultat och dokument om säker kodning för den tekniska filen.
  5. Klassbestämning. Beslut om huruvida en produkt faller inom standard, viktig I eller viktig II ändrar rutinen och tidsfristerna för bedömning av överensstämmelse.

Hur Cyberday hjälper till med CRA-krav

Cyberday förvandlar CRA-efterlevnad till hanterbara uppgifter. Alla ramkrav kartläggs till kontroller och policyer som kan tillämpas. Med Cyberday är det enkelt att hantera multi-compliance, med instrumentpaneler som visar aktuell status för CRA-efterlevnad tillsammans med NIS2, ISO 27001 eller något annat ramverk eller regelverk som kan vara viktigt för dig.

Behöver du anpassa din produktfärdplan, säkerhetsteknik och juridiska team? Cyberday tillhandahåller den struktur, de mallar och de automatiserade kontroller som du behöver för effektiv och bevisbaserad CRA-efterlevnad.

Börja din gratis Cyberday idag!

Skrivet av
Tuomas Pitkänen
21.7.2025
@
LinkedIn

Artikelns innehåll

Andra artiklar i samma ämne

Se hela ISO 27001-samlingen
Se hela NIS2-samlingen

Andra relaterade bloggartiklar

Annat liknande innehåll från Akademin

Bloggar

Vem är CRA tillämpligt på? Omfattning och tillämplighet

Ta reda på vem som måste följa Cyber Resilience Act, när den gäller, om den är obligatorisk och hur man uppfyller CRA-kraven i EU.
25.7.2025

Hur följer man lagen om cyberresiliens (CRA)?

Lär dig hur du steg för steg följer CRA, Cyber Resilience Act, och vilka verktyg som hjälper dig att komma dit snabbt.
24.7.2025

Vad kräver CRA?

Steg-för-steg-guide för efterlevnad av Cyber Resilience Act som omfattar viktiga krav, ansvarsområden, verktyg och hur man snabbt uppfyller CRA-skyldigheter.
21.7.2025

Kom igång idag

Börja gratis, i din bekanta Teams-miljö.
Om du har några frågor kan du boka ett möte med oss.

Starta en gratis 14-dagars provperiod
Boka ett möte
Hur fungerar det?
SammanfattningSäkerhetsuppgifter och säkerhetArbetsflöden för dokumentationRiktlinjer för anställdaMallar för rapportering
Användningsområden
Efter ramverkAlla ramverkISO 27001NIS2-direktivNIST CSFCSA CCMISO 27701GDPRISO 27017ISO 27018
Efter metodHantering av cyberriskerMedvetenhet hos anställdaRapportering om efterlevnadKontrollhanteringHantering av tillgångarDynamiska policydokumentHantering av sekretess
Resurser
AkademinWebbinarierBloggHjälpartiklarVideokurserInnehållsbibliotekNyhetsbrevLämna en recensionPartnerprogramTeamAnvändarvillkorIntegritetspolicy
Kontakta oss
+358 10 231 6010
team@cyberday.ai
Appen fungerar i:
I Finland känd som Digiturvamalli
© Cyberday Inc. Kalevantie 2 33100 Tammerfors, Finland
Cyberday.ai - Förbättra och certifiera din cybersäkerhet