Akademin hem
Bloggar
Vad är CRA? Introduktion till kraven i Cyber Resilience Act
En del av ISO 27001-samlingen
En del av NIS2-samlingen

Vad är CRA? Introduktion till kraven i Cyber Resilience Act

ISO 27001 insamling
Vad är CRA? Introduktion till kraven i Cyber Resilience Act
NIS2 samling
Vad är CRA? Introduktion till kraven i Cyber Resilience Act
Cyberday blogg
Vad är CRA? Introduktion till kraven i Cyber Resilience Act

Cyber Resilience Act (CRA) är en EU-förordning som fastställer obligatoriska cybersäkerhetskrav för digitala produkter och anslutna enheter som släpps ut på EU-marknaden. Syftet är att täppa till luckan där många produkter levereras med liten eller ingen inbyggd säkerhet, vilket gör att användarna utsätts för exploatering.

CRA gäller för hela produktlivscykeln, från utveckling och design till övervakning, underhåll och uppdateringar efter marknadsintroduktionen. CRA riktar sig direkt till tillverkare, importörer och distributörer och flyttar ansvaret för cybersäkerheten till dem som släpper ut digitala produkter på marknaden. CRA skiljer sig därmed från förordningar som GDPR eller NIS2, som fokuserar på dataskydd och säkerhet på tjänstenivå.

Vad står CRA för?

CRA står för Cyber Resilience Act och är en bindande EU-förordning som ska antas 2024. Syftet är att se till att all hårdvara och mjukvara med digitala element har inbyggd cybersäkerhet och att leverantörerna förblir ansvariga för produktsäkerheten över tid. Genom förordningen inrättas en harmoniserad uppsättning regler i hela EU, som ersätter fragmenterade nationella strategier.

Vad kräver CRA?

CRA inför cybersäkerhetsskyldigheter för hela produktlivscykeln, med en blandning av kontroller före och efter marknadsintroduktion. Viktiga CRA-krav inkluderar:

  • Säker genom design och som standard: Produkter måste minimera sårbarheter och vara säkra redan från början, med starka standardkonfigurationer.
  • Hantering av sårbarheter: Tillverkarna måste inrätta tydliga processer för att ta emot, bedöma och åtgärda sårbarheter, inklusive samordning med säkerhetsforskare.
  • Säkerhetsuppdateringar: Löpande support krävs under produktens förväntade livscykel, inklusive snabb leverans av korrigeringar.
  • Rapportering av incidenter: Utnyttjade sårbarheter och säkerhetsincidenter måste rapporteras till ENISA inom 24 timmar.
  • Teknisk dokumentation: Innehåller en riskbedömning, en bedömning av överensstämmelse och en försäkran om överensstämmelse.
  • Övervakning efter marknadsintroduktion: Leverantörer måste spåra nya hot och produktbeteende efter försäljning och vidta åtgärder vid behov.
  • CE-märkning för cybersäkerhet: Produkterna måste ha en CE-märkning som bekräftar att de uppfyller CRA:s cybersäkerhetsstandarder.
  • Bedömningar av överensstämmelse:
    • Klass I (standardprodukter): Självutvärdering tillåten.
    • Klass II (kritiska produkter): Tredjepartsrevisioner krävs (t.ex. operativsystem, lösenordshanterare, brandväggar).

Exempel på CRA-produktklassificering

CRA introducerar två produktklasser baserade på cybersäkerhetsrisk:

  • Klass I (standardprodukter): Lägre kritikalitet. Självutvärdering tillåten.
  • Klass II (kritiska produkter): Högre risk. Bedömning av överensstämmelse från tredje part krävs.

Nedan följer exempel på klassificeringar som kan hjälpa organisationer att förstå var deras produkter kan hamna:

Produkttyp Exempel Sannolik CRA-klass Anteckningar
IoT för konsumenter Smart glödlampa Klass I Låg påverkan om de äventyras, såvida de inte ingår i kritiska system
Bärbara produkter Fitnessarmband Klass I Vanligtvis inte kritiskt, men kontrollera om det är hälsorelaterat
Industriell PLC (programmerbar logisk styrenhet) Klass II Direkt kontroll över kritisk infrastruktur
Operativsystem Inbyggd Linux för routrar Klass II Hög exploateringsrisk, del av nätverkskärna
Verktyg för utvecklare Verktyg för CI/CD-pipeline Klass II Om den utnyttjas kan den påverka flera system
Appar för produktivitet Antecknings- eller kalenderappar Klass I Låg kritikalitet, men måste ändå uppfylla alla grundläggande CRA-krav
Säkerhetsprogramvara Lösenordshanterare, brandvägg, antivirus Klass II Särskilt listade som kritiska av CRA
Verktyg för kommunikation App för videokonferenser Klass I eller II Beror på kryptering, datakänslighet och användningsfall
Uppkopplade fordon Programvara för fordon Uteslutna Omfattas av separat EU-förordning för fordonsindustrin
Hälso- och sjukvårdsutrustning Smart insulinpump Uteslutna Omfattas av förordningen om medicintekniska produkter (MDR)

Tips: Även produkter i klass I måste fortfarande uppfylla alla grundläggande CRA-krav, men med en enklare bedömningsprocess. Kritiska klass II-produkter kräver mer rigorösa steg för efterlevnad.

Starta din 14-dagars kostnadsfria testperiod

Starta din kostnadsfria provperiod idag. Inget kreditkort krävs. Full tillgång, noll risk. Avbryt när som helst.

Påbörja gratis provperiod

Hur CRA förbättrar produktsäkerheten och varför det är viktigt

Cyber Resilience Act förbättrar produktsäkerheten genom att göra cybersäkerhet till ett inbyggt ansvar under hela produktens livscykel. Den kräver att tillverkarna tillämpar "secure-by-design" och standardrutiner, hanterar sårbarheter systematiskt och reagerar snabbt på säkerhetsincidenter. Dessa skyldigheter minskar risken för att osäkra produkter når användarna och bidrar till att förhindra att isolerade brister blir till storskaliga exploateringsrisker.

Genom att flytta ansvaret till tillverkare, importörer och distributörer säkerställer CRA att säkerhet inte längre är valfritt eller uppskjutet - det blir en del av produktkvaliteten och efterlevnaden av lagstiftningen.

Organisationer som följer CRA drar nytta av:

  • Färre sårbarheter genom strukturerade utvecklings- och testmetoder
  • Snabbare incidenthantering genom obligatorisk hantering och rapportering av sårbarheter
  • Starkare förtroende för leverantörer och leverantörskedjan, särskilt i reglerade branscher
  • Klarhet i lagstiftningen tack vare en enhetlig EU-standard för efterlevnad
  • Marknadsfördelar, eftersom säkra, CRA-kompatibla produkter blir mer eftertraktade för B2B-köpare och kunder inom den offentliga sektorn

Sammantaget höjer CRA basnivån för cybersäkerhet för digitala produkter och skapar både rättsligt ansvar och konkurrensmöjligheter.

Globala jämförelser

CRA har samma mål som andra globala ramverk men skiljer sig åt i fråga om omfattning och tillämpning:

Region Lag Fokus Jämförelse med kreditvärderingsinstitut
USA Lag om förbättrad cybersäkerhet för IoT Endast upphandling inom den offentliga sektorn CRA är bredare och obligatoriskt för alla digitala produkter
STORBRITANNIEN Lagen om produktsäkerhet och telekommunikationsinfrastruktur (PSTI) Fokus på IoT för konsumenter CRA omfattar industri- och mjukvaruprodukter
Globalt ISO/IEC 27001 / 62443 / 30111 Frivilliga eller branschspecifika CRA kräver livscykelkontroller för alla

CRA:s bästa praxis och vanliga utmaningar

Bästa praxis från tidiga användare:

  • Integrering av säker kodning i SDLC
  • Automatisera scanning och triagering av sårbarheter
  • Uppbyggnad av PSIRT-grupper (Product Security Incident Response Teams)
  • Skapa återanvändbara mallar för teknisk dokumentation
  • Med hjälp av plattformar som Cyberday för att fördela ansvar och samla in bevis

Gemensamma utmaningar:

  • Eftermontering av äldre produkter utan säkerhetsbaslinje
  • Budgetering för långsiktig patchning och support
  • Förstå överlappning med CE-märkning och direktivet om radioutrustning
  • Hantering av flera processer för bedömning av överensstämmelse
CRA i aktion

Vanliga frågor

Är CRA obligatoriskt?

Ja, det stämmer. CRA är en bindande EU-förordning. När verkställigheten inleds är efterlevnaden obligatorisk för alla tillämpliga produkter som släpps ut på EU-marknaden.

Varför är CRA viktigt?

CRA ger produktleverantörer juridiskt ansvar och täpper till den långvariga luckan i cybersäkerhetsregleringen för anslutna enheter och programvara. Det bidrar till att minska den EU-omfattande risken från osäkra produkter och säkerställer att leverantörerna bygger säkerhet från början.

Vem måste följa CRA?

CRA gäller för:

  • Tillverkare, importörer och distributörer av digitala produkter
  • Produkter med digitala element, inklusive:
    • IoT-enheter
    • Appar för mobil och dator
    • Inbyggda system
    • Operativsystem
    • Programvara för industriell styrning

Undantagna: Produkter som redan omfattas av särskilda sektorsspecifika EU-lagar (t.ex. medicintekniska produkter, fordons- och luftfart).

När är CRA i kraft?

CRA trädde i kraft den 10 december 2024. Viktiga tidsfrister:

  • September 2025: ENISA tar emot nationella genomförandeplaner.
  • September 2026: Skyldigheter att rapportera incidenter blir verkställbara.
  • December 2027: Fullständiga skyldigheter gäller. Efter detta måste alla produkter inom tillämpningsområdet vara CRA-kompatibla.

Får CRA stöd i Cyberday?

Ja, det gör vi. CRA är tillgängligt för att arbeta i Cyberday. Plattformen inkluderar:

  • CRA-specifika uppgifter och kontroller
  • Säker utveckling och support för uppdateringar
  • Mallar för teknisk dokumentation
  • Arbetsflöden för sårbarhets- och incidenthantering
  • Kontinuerliga uppdateringar allteftersom vägledningen utvecklas
Skrivet av
Tuomas Pitkänen
2.6.2025
@
LinkedIn

Artikelns innehåll

Andra artiklar i samma ämne

Se hela ISO 27001-samlingen
Se hela NIS2-samlingen

Andra relaterade bloggartiklar

Annat liknande innehåll från Akademin

Bloggar

Vad är en vCISO? Förstå rollen som virtuell CISO

Vad är en vCISO, vad gör de och varför växer den virtuella CISO-modellen snabbt bland företag och cybersäkerhetskonsulter.
12.6.2025

Vad är ett modulärt ramverk för cybersäkerhet och varför är de viktiga för konsulter?

Modulära ramverk för cybersäkerhet gör det enklare att hantera efterlevnad och hjälper konsulter att skala upp snabbare, vinna fler affärer och bygga upp återkommande intäkter.
12.6.2025

Avbrott i Cyberday tisdagen den 10/6/2025: Förklaring och uppföljning

Detta meddelande går igenom detaljerna i den senaste incidenten som orsakade driftstopp under Cyberday 10.6.2025, och relaterade tidiga åtgärder.
11.6.2025

Kom igång idag

Börja gratis, i din bekanta Teams-miljö.
Om du har några frågor kan du boka ett möte med oss.

Starta en gratis 14-dagars provperiod
Boka ett möte
Hur fungerar det?
SammanfattningSäkerhetsuppgifter och säkerhetArbetsflöden för dokumentationRiktlinjer för anställdaMallar för rapportering
Användningsområden
Efter ramverkAlla ramverkISO 27001NIS2-direktivNIST CSFCSA CCMISO 27701GDPRISO 27017ISO 27018
Efter metodHantering av cyberriskerMedvetenhet hos anställdaRapportering om efterlevnadKontrollhanteringHantering av tillgångarDynamiska policydokumentHantering av sekretess
Resurser
AkademinWebbinarierBloggHjälpartiklarVideokurserInnehållsbibliotekNyhetsbrevLämna en recensionPartnerprogramTeamAnvändarvillkorIntegritetspolicy
Kontakta oss
+358 10 231 6010
team@cyberday.ai
Appen fungerar i:
I Finland känd som Digiturvamalli
© Cyberday Inc. Kalevantie 2 33100 Tammerfors, Finland
Cyberday.ai - Förbättra och certifiera din cybersäkerhet