Cyber Resilience Act (CRA) förändrar hur digitala produkter utvecklas och godkänns inom EU. Förordningen ställer nya krav på säkerhet, dokumentation och spårbarhet. Alla som tillverkar eller säljer uppkopplade produkter behöver förbereda sig redan nu.
CRA kommer att stärka skyddet för både användare och företag genom att införa krav på cybersäkerhet redan i design- och utvecklingsfasen. Förordningen omfattar alla uppkopplade produkter, från konsumentelektronik till industriella system, och väntas börja tillämpas fullt ut 2027.
Eftersom det är en EU-förordning och inte ett direktiv, gäller den direkt i alla medlemsländer utan att behöva införas i nationell lag. Det innebär att kraven är bindande för tillverkare och leverantörer inom EU – och att efterlevnaden därför inte kan skjutas upp eller variera mellan länder.
Krav på spårbarhet och rapportering
Ett av de mest centrala kraven i Cyber Resilience Act är spårbarhet. Företag måste kunna visa vilka komponenter, bibliotek och tredjepartslösningar som används och att de uppfyller motsvarande säkerhetsnivåer.
Förordningen ställer också krav på tydliga rutiner för hur sårbarheter ska upptäckas och rapporteras.
”Utvecklarna har ett stort ansvar i det här. De ska upptäcka och anmäla sårbarheter samt alltid ha en öppen hemsida där kunder och användare kan rapportera in brister,” säger Isaac Caceres, elektronikingenjör samt säkerhetskonsult och specialist inom embedded på Assured.
Cybersäkerhet blir en del av CE-märkningen
CE-märkning innebär att en produkt uppfyller EU:s krav på säkerhet, hälsa och miljö och får säljas fritt på den inre marknaden. Med CRA blir cybersäkerhet en del av den processen.
”Inom elektronikbranschen har säkerheten ibland prioriterats sist. CRA ändrar det. Det blir nu ett obligatoriskt steg”, säger Isaac.
CRA är också en del av EU:s bredare arbete för att stärka den digitala motståndskraften. Förordningen kompletterar inte bara NIS2-direktivet utan har även nära koppling till AI Act och Data Act. Tillsammans bildar de ett gemensamt ramverk för säker och hållbar digitalisering i hela EU.
Fyra säkerhetsklasser – olika krav på testning
CRA delar in produkter i fyra säkerhetsklasser: Default, Important Class I, Important Class II och Critical. Kraven på testning och extern granskning ökar stegvis mellan klasserna.
-
Default: produkter i denna kategori behöver ingen tredjepartsgranskning, men ska uppfylla de grundläggande säkerhetskraven och testas av utvecklaren själv.
-
Important Class I: kräver tredjepartsgranskning endast om produkten inte följer harmoniserade standarder eller gemensamma specifikationer.
-
Important Class II: kräver alltid testning av oberoende tredje part, även när harmoniserade standarder följs.
-
Critical: kräver att harmoniserade standarder följs, testning av tredje part och certifiering av ett auktoriserat Conformity Body (EUCC).
Förordningen omfattar allt från enklare uppkopplade enheter till system som är avgörande för nätverk och informationssäkerhet. Exempel på produkter i de högre klasserna är brandväggar, nätverksroutrar och andra lösningar som hanterar känslig data. För dessa måste tillverkaren lämna in fullständig dokumentation till ansvarig myndighet innan produkten får släppas på EU-marknaden.
Fler än techbolagen berörs
CRA påverkar inte bara renodlade teknikbolag. Även företag som tillverkar produkter med uppkopplade komponenter – som maskiner, fordon eller hushållsapparater, måste införa strukturerade rutiner för cybersäkerhet.
För många innebär det ett nytt sätt att arbeta. Säkerhetstester, dokumentation och riskhantering behöver integreras i produktutvecklingen från start. Det handlar inte bara om efterlevnad utan om att skapa tillförlitliga och långsiktigt hållbara produkter.
”Det finns hjälp att få för att bygga upp de rutiner och processer som måste vara på plats. Det handlar om secure by design – att säkerheten ska finnas genom hela processen. IT-säkerhet, godkänt designsteg, testning och felsökning måste finnas på plats. En produkt får inte innehålla kända sårbarheter när den väl lanseras”, avslutar Isaac.
Cyber Resilience Act i korthet:
- Gäller alla uppkopplade produkter – både hårdvara och mjukvara
- Ställer krav på cybersäkerhet genom hela produktens livscykel
- Kräver spårbarhet i leverantörskedjan och öppna rutiner för sårbarhetsrapportering
- Blir en del av CE-märkningsprocessen
- Fyra säkerhetsklasser med olika nivåer av testning och tredjepartsgranskning
- Kompletterar NIS2-direktivet men riktar sig till tillverkare snarare än organisationer
- Fullt införande av CRA väntas 2027
Hur Assured kan hjälpa er att uppfylla Cyber Resilience Act
Assured stödjer er organisation genom hela resan mot efterlevnad av Cyber Resilience Act – från tidig analys och design till testning, validering och marknadslansering. Vårt arbete utgår från secure by design och anpassas efter både tekniska förutsättningar och regulatoriska krav.
Vi erbjuder strategisk rådgivning kring CRA, där vi hjälper er att tolka regelverket, identifiera vilka krav som gäller för just era produkter och omsätta dem i praktiska, genomförbara åtgärder. Det inkluderar stöd vid klassificering av produkter, spårbarhet i leverantörskedjan samt etablering av processer för sårbarhetshantering och rapportering.
Inom säker arkitektur och design hjälper vi till att bygga robusta lösningar redan från start. Våra konsulter har djup teknisk kompetens inom embedded- och IoT-säkerhet, inklusive säkra uppdateringsmekanismer, identitetshantering och skydd av kommunikation mellan komponenter och molntjänster. För mjukvaruintensiva produkter erbjuder vi även expertis inom säker utveckling och applikationssäkerhet, både för inbyggda system, backend och tillhörande appar och webbgränssnitt.
För att verifiera att kraven verkligen uppfylls genomför vi penetrationstester och säkerhetsgranskningar av både hård- och mjukvara. Det omfattar allt från embedded- och firmwaretester till tester av API:er, molntjänster och mobil- eller webbapplikationer. Vi utför även validerings- och verifieringstester som stöd inför CE-märkning och extern granskning, med tydlig dokumentation anpassad för myndigheter och conformity bodies.
Med Assured får ni en partner som kombinerar regulatorisk förståelse med praktisk, teknisk säkerhetskompetens – från chip till moln. Målet är inte bara att uppfylla Cyber Resilience Act, utan att skapa säkra, tillförlitliga och långsiktigt hållbara produkter för EU-marknaden.
Kontakta oss eller fyll i formuläret nedan för att diskutera hur vi kan hjälpa er att uppfylla kraven på cybersäkerhet och säkra era produkter.