Akademin hem
Bloggar
Vem är CRA tillämpligt på? Omfattning och tillämplighet
En del av ISO 27001-samlingen
En del av NIS2-samlingen

Vem är CRA tillämpligt på? Omfattning och tillämplighet

ISO 27001 insamling
Vem är CRA tillämpligt på? Omfattning och tillämplighet
NIS2 samling
Vem är CRA tillämpligt på? Omfattning och tillämplighet
Cyberday blogg
Vem är CRA tillämpligt på? Omfattning och tillämplighet

Cyber Resilience Act fastställer grundläggande cybersäkerhetsregler för alla hårdvaru- eller mjukvaruprodukter med ett digitalt element som erbjuds på EU-marknaden.

Den riktar sig till tillverkare, importörer och distributörer, vilket innebär att vanliga tjänsteföretag inte omfattas om de inte släpper ut sådana produkter på marknaden. Detta är viktigt eftersom CRA inför strikta säkerhetskrav före marknadsintroduktion och långsiktiga skyldigheter för sårbarhetshantering, så "vem måste följa Cyber Resilience Act" är en nyckelfråga för teknikleverantörer idag.

Datum för ikraftträdande10.12.2024 (redan i kraft)
Gäller förTillverkare, importörer, distributörer av produkter med digitala element (alla sektorer)
Geografisk omfattningEU:s marknad (globala leverantörer om de säljer till EU)
Obligatoriskt?Ja
PåföljderBöter på upp till 15 miljoner euro eller 2,5 % av den globala årsomsättningen; eventuell återkallelse/indragning av produkter
Stöd till Cyberday✅ Ja

Läs också: Vad är Cyber Resilience Act?

Tillämplighetskriterier för lagen om cyberresiliens (CRA)

CRA tillämpas baserat på några tydliga faktorer. Organisationer måste bedöma sina produkter, sin roll i leveranskedjan samt var och hur de bedriver sin verksamhet.

  • Bransch/sektor - alla sektorer som placerar hårdvara eller mjukvara med ett digitalt element på EU-marknaden, från IoT för konsumenter till industriella kontrollsystem.
  • Organisationsroll - tillverkare, importör eller distributör (inklusive återförsäljare) omfattas; användare av standardprodukter omfattas inte.
  • Geografi/region - gäller om produkten görs tillgänglig inom EU, oavsett var företaget är etablerat.
  • Produkttyp/klass - kritiska produkter (t.ex. brandväggar och lösenordshanterare) omfattas av strängare krav på överensstämmelse, medan icke-kritiska produkter fortfarande behöver grundläggande kontroller.
  • Undantag - fri programvara och programvara med öppen källkod som tillhandahålls på icke-kommersiell basis och produkter som utvecklats enbart för nationell säkerhet eller försvar omfattas inte.

Är Cyber Resilience Act (CRA) obligatorisk och hur kontrollerar du om den gäller för dig?

Ja, det är obligatoriskt att följa CRA om din organisation släpper ut digitala produkter som omfattas av direktivet på EU-marknaden. Så här gör du för att kontrollera om det gäller dig:

  • Bekräfta att produkten innehåller digitala element och att den släpps ut på EU-marknaden.
  • Identifiera din roll: tillverkare, importör eller distributör.
  • Kontrollera om det finns undantag (icke-kommersiell öppen källkod, användning endast för försvarsändamål).
  • Kartlägg produkten mot CRA:s cybersäkerhetskrav i bilaga I.
  • Fastställ om produkten tillhör en kritisk klass som kräver en bedömning av tredje part.

Testa din status för efterlevnad av CRA

Gör vår kostnadsfria utvärdering och få en snabb överblick över hur din organisation uppfyller kraven i Cyber Resilience Act och vad du bör fokusera på härnäst.

Genomför utvärderingen

Exempel på organisationer som måste uppfylla kraven

Här är några typiska företagsprofiler som omfattas av CRA:s krav:

  • Ett finskt nystartat företag som säljer IoT-enheter för smart belysning i hela Europa (tillverkare).
  • En tysk grossist som importerar nätverksroutrar från Asien till detaljhandlare i EU (importör).
  • En SaaS-leverantör i Irland levererar en lokal säkerhetsappliance till kunder i EU (distributör och tillverkare).

När träder lagen om cyberresiliens (CRA) i kraft

CRA är redan i kraft, men specifika skyldigheter har förskjutna tidsramar. Viktiga datum är bland annat:

  • 10 december 2024 - Förordningen träder i kraft.
  • 10 september 2026 - de första skyldigheterna (tidig incident- och sårbarhetsrapportering) börjar gälla 21 månader efter ikraftträdandet.
  • 10 december 2027 - full överensstämmelse krävs 36 månader efter ikraftträdandet.

Läs om hur du uppfyller kraven från CRA i den här artikeln.

Vad händer om du inte följer reglerna?

Bristande efterlevnad medför allvarliga ekonomiska och operativa konsekvenser. Här är vad som kan hända:

  • Böter på upp till 15 miljoner euro eller 2,5 % av den globala omsättningen, beroende på vilket som är högst
  • Produkten dras tillbaka från EU-marknaden
  • Obligatoriska återkallelser för osäkra produkter
  • Försäljningsförbud i alla EU-länder
  • Utredningar av nationella marknadsövervakningsmyndigheter

Hur Cyberday stöder organisationer inom sitt verksamhetsområde

Om dina produkter omfattas av CRA ger Cyberday dig en tydlig struktur för att bli kompatibel. Vår plattform kartlägger kraven i bilaga I till spårbara uppgifter, hjälper till att bygga teknisk dokumentation och stöder arbetsflöden för incident- och sårbarhetsrapportering. Den är byggd för att hjälpa dig att räkna ut hur du ska följa Cyber Resilience Act på ett praktiskt och löpande sätt.

Börja arbeta med din CRA-efterlevnad idag med den gratis testversion av Cyberday!

Skrivet av
Tuomas Pitkänen
25.7.2025
@
LinkedIn

Artikelns innehåll

Andra artiklar i samma ämne

Se hela ISO 27001-samlingen
Se hela NIS2-samlingen

Andra relaterade bloggartiklar

Annat liknande innehåll från Akademin

Bloggar

Vem är CRA tillämpligt på? Omfattning och tillämplighet

Ta reda på vem som måste följa Cyber Resilience Act, när den gäller, om den är obligatorisk och hur man uppfyller CRA-kraven i EU.
25.7.2025

Hur följer man lagen om cyberresiliens (CRA)?

Lär dig hur du steg för steg följer CRA, Cyber Resilience Act, och vilka verktyg som hjälper dig att komma dit snabbt.
24.7.2025

Vad kräver CRA?

Steg-för-steg-guide för efterlevnad av Cyber Resilience Act som omfattar viktiga krav, ansvarsområden, verktyg och hur man snabbt uppfyller CRA-skyldigheter.
21.7.2025

Kom igång idag

Börja gratis, i din bekanta Teams-miljö.
Om du har några frågor kan du boka ett möte med oss.

Starta en gratis 14-dagars provperiod
Boka ett möte
Hur fungerar det?
SammanfattningSäkerhetsuppgifter och säkerhetArbetsflöden för dokumentationRiktlinjer för anställdaMallar för rapportering
Användningsområden
Efter ramverkAlla ramverkISO 27001NIS2-direktivNIST CSFCSA CCMISO 27701GDPRISO 27017ISO 27018
Efter metodHantering av cyberriskerMedvetenhet hos anställdaRapportering om efterlevnadKontrollhanteringHantering av tillgångarDynamiska policydokumentHantering av sekretess
Resurser
AkademinWebbinarierBloggHjälpartiklarVideokurserInnehållsbibliotekNyhetsbrevLämna en recensionPartnerprogramTeamAnvändarvillkorIntegritetspolicy
Kontakta oss
+358 10 231 6010
team@cyberday.ai
Appen fungerar i:
I Finland känd som Digiturvamalli
© Cyberday Inc. Kalevantie 2 33100 Tammerfors, Finland
Cyberday.ai - Förbättra och certifiera din cybersäkerhet