Forordning (EU) 2024/2847 – cybersikkerhedsresiliensforordningen (CRA)

Forordning (EU) 2024/2847 – Cyber Resilience Act (CRA) – er en ny EU-forordning, der indfører horisontale cybersikkerhedskrav til “produkter med digitale elementer”. Den blev vedtaget i oktober 2024 og vil efter overgangsperioder få direkte virkning i alle EU-lande fra slutningen af 2027. Som leder i industrien – uanset om du har ansvar for vedligehold, indkøb eller compliance – er det en god idé allerede nu at forstå, hvilke produkter forordningen omfatter, hvilke nye forpligtelser den pålægger producenter, importører og distributører, og hvordan virksomheden kan forberede sig på de kommende ændringer. Nedenfor præsenterer vi de vigtigste oplysninger i en praktisk vinkel, uden juridisk fagsprog, men med teknisk præcision – så det bliver lettere at iværksætte de rette forberedende tiltag.

Anvendelsesområde: hvilke produkter omfatter Cyber Resilience Act?

Forordning (EU) 2024/2847 gælder for alle “produkter med digitale elementer”, der bringes i omsætning på EU-markedet, hvor den tilsigtede anvendelse omfatter forbindelse til en anden enhed eller et netværk (direkte eller indirekte, fysisk eller logisk). Med andre ord vil de fleste enheder eller software, der kan kommunikere med andre systemer, være omfattet af de nye krav. I praksis drejer det sig bl.a. om IoT-enheder og forbrugerelektronik (fx smartwatches, mobiltelefoner, intelligente husholdningsapparater/forbrugerelektronik, babyalarmer), wearables (fx fitnessarmbånd), industrielt udstyr med netværksfunktioner (sensorer og industrimaskiner forbundet til netværk) samt forskellige former for software (operativsystemer, mobil- og pc-applikationer, forretningssoftware osv.). Det er væsentligt, at software, der sælges separat (som et produkt), også er omfattet af CRA, ligesom fjernbaserede databehandlingstjenester, der udgør en integreret del af produktet – fx vil en cloudtjeneste, der styrer en smart home-enhed, blive betragtet som en del af produktet og skal opfylde sikkerhedskravene.

Forordningen har et meget bredt anvendelsesområde, men indeholder også undtagelser for visse produktkategorier, som allerede er reguleret af egne sektorspecifikke regler. CRA omfatter bl.a. ikke: medicinsk udstyr (omfattet af forordningerne MDR 2017/745 og 2017/746), køretøjer og deres udstyr (omfattet bl.a. af forordning 2019/2144 om typegodkendelse af køretøjer), luftfartøjer (forordning 2018/1139 om luftfart) eller maritimt udstyr (direktiv 2014/90/EU). Disse produkter har særskilte regelsæt, som ofte allerede indeholder krav tilpasset den pågældende branche, og derfor er de undtaget fra CRA’s anvendelsesområde. Derudover gælder de nye regler ikke for udstyr og software, der udelukkende er militært eller beregnet til national sikkerhed (samt behandling af klassificerede oplysninger). Også reservedele, der leveres som erstatning for identiske komponenter, er undtaget – hvis det oprindelige produkt lovligt er bragt i omsætning, behøver den identiske del ikke i sig selv at opfylde CRA.

Det er værd at bemærke, at såkaldt fri og open source-software ikke vil være omfattet af CRA, så længe den ikke stilles til rådighed som led i kommerciel aktivitet. Hvis en given software således udvikles og offentliggøres gratis uden for markedstransaktioner, betragtes dens ophavsmænd (fx et open source-fællesskab) ikke som “producenter” i forordningens forstand, og de forpligtelser, der beskrives nedenfor, påhviler dem ikke. Hvis en virksomhed derimod anvender en open source-komponent i sit kommercielle produkt, så påhviler ansvaret for at opfylde sikkerhedskravene producenten af det endelige produkt. Samlet set retter CRA sig primært mod professionelt udviklede og solgte digitale produkter, som når ud til slutbrugere på EU’s indre marked.

Hvorfor blev CRA indført? Nye trusler, reguleringshul og forsyningskæden

EU har set et presserende behov for at styrke cyberrobustheden i digitale produkter i lyset af voksende trusler. I de seneste år er antallet og mangfoldigheden af internetforbundne enheder vokset eksplosivt – fra industrielle IoT-systemer i fabrikker til intelligente enheder i hjemmet. Desværre er cybersikkerhedsniveauet for disse produkter ofte lavt, hvilket viser sig i udbredte sårbarheder samt utilstrækkelig og uensartet levering af sikkerhedsopdateringer. Mange producenter har hidtil ikke prioriteret sikkerhed gennem hele produktets livscyklus, og brugerne mangler ofte både bevidsthed og information om, hvilke enheder der er sikre, hvor længe de vil blive understøttet med opdateringer, og hvordan de kan anvendes sikkert. Denne kombination af faktorer fører til en forhøjet risiko for cyberangreb.

Cyber Resilience Act skal udfylde et regulatorisk tomrum – hidtil har der manglet ensartede, bindende krav til digital sikkerhed for produkter på EU-plan. Der fandtes ganske vist initiativer som ICT-sikkerhedscertificeringer (i medfør af Cybersecurity Act 2019/881) eller kravene i NIS2-direktivet for kritiske sektorer, men ingen regler pålagde direkte en pligt til “cybersikkerhed by design” for alle enheder og al software, der bringes på markedet. CRA etablerer netop en sådan universel ramme – den kræver, at hardware og software designes, fremstilles og vedligeholdes med robuste beskyttelsesforanstaltninger gennem hele livscyklussen. Målet er, at der bringes produkter på markedet med færre sårbarheder, og at producenterne sikrer hurtig afhjælpning af nye trusler (f.eks. via sikkerhedsrettelser), i stedet for at efterlade brugerne med utætte enheder.

Cyberrobusthed har også en forsyningskæde- og grænseoverskridende dimension. I en tid, hvor alt er forbundet med alt, kan en hændelse i én tilsyneladende ubetydelig enhed blive en angrebsvektor mod hele organisationen eller forretningspartnere. Én inficeret IoT-sensor i produktionshallen kan åbne en bagdør til virksomhedens netværk; en sårbarhed i en udbredt applikation kan udnyttes globalt på få minutter. Som det fremhæves i begrundelsen for forordningen, kan en cyberhændelse i ét produkt sprede sig i forsyningskæden på tværs af landegrænser i løbet af få minutter. Omkostningerne ved sådanne angreb bæres ikke kun af producenter og brugere, men også af samfundet som helhed – forstyrrelser af kritisk infrastruktur, økonomiske tab, brud på den offentlige sikkerhed. Fælles, bindende regler i hele EU skal løfte det generelle beskyttelsesniveau og forebygge situationer, hvor det svageste led (et ikke-robust produkt) bringer alle i fare.

Et yderligere motiv er øget tillid til digitale produkter og mere lige konkurrencevilkår. I dag taber producenter, der investerer i sikkerhed by design, ikke sjældent på pris til dem, der ignorerer disse forhold. CRA skal gøre, at cybersikkerhed bliver en kvalitetsstandard – alle skal opfylde minimumskrav, hvilket udligner vilkårene og reducerer de samfundsmæssige omkostninger ved angreb (som i dag ofte skubbes over på ofrene). Det skal i sidste ende øge robustheden i hele EU-markedet og kundernes tillid til moderne enheder med digitale elementer. Forordningen indgår også i en bredere EU-strategi (sammen med RODO, NIS2, DORA m.fl.) med henblik på at styrke cybersikkerheden for tjenester og produkter som fundament for den digitale økonomi.

Forordning (EU) 2024/2847: Centrale forpligtelser for producenter, importører og distributører

Den nye forordning indfører en række konkrete forpligtelser for økonomiske aktører i forsyningskæden for produkter med digitale elementer. Ansvarsområdet afhænger af rollen – der stilles flest krav til producenterne, men importører og distributører har også væsentlige opgaver. Nedenfor opsummerer vi de vigtigste forpligtelser set fra en leders perspektiv, der har ansvar for virksomhedens produktoverensstemmelse med reglerne.

Producenters forpligtelser

Producenten (samt en aktør, der bringer et produkt på markedet under eget mærke eller ændrer det – denne betragtes også som producent) har hovedansvaret for at opfylde CRA-kravene. Blandt de vigtigste opgaver er:

• Sikring af, at produktet overholder de grundlæggende krav til cybersikkerhed, som er fastsat i bilag I til forordningen. I praksis betyder det, at produktet allerede i design- og konstruktionsfasen skal have egenskaber, der sikrer et passende niveau af digital sikkerhed, afstemt efter den risiko, der er forbundet med det pågældende produkt. Forordningen oplister en række konkrete tekniske krav – bl.a. ingen kendte sårbarheder på tidspunktet for markedsføring, brug af sikre standardkonfigurationer (fx undgå standardadgangskoder), kryptering hvor relevant, beskyttelse mod uautoriseret adgang, beskyttelse af brugerens personoplysninger, robusthed over for angreb der forstyrrer funktioner (fx DoS-angreb) samt mulighed for at gennemføre nulstilling til fabriksindstillinger. Produktet bør designes, så det i videst muligt omfang begrænser sin “angrebsflade” – fx ved ikke at have unødvendige åbne porte eller tjenester, der øger eksponeringen for cybertrusler. Disse grundlæggende krav (del I i bilag I til CRA) udgør en tjekliste over sikkerhedsegenskaber, som ethvert digitalt produkt skal opfylde.
• Etablering af en proces for håndtering af sårbarheder og hændelser – producenten skal aktivt varetage produktets sikkerhed efter salget i hele den erklærede supportperiode. I del II af bilag I er der fastsat krav til processen for sårbarhedshåndtering (vulnerability handling): regelmæssig test og overvågning for nye svagheder, modtagelse af indberetninger om sårbarheder (fx fra forskere eller brugere) samt hurtig udbedring/patching af konstaterede sårbarheder ved at levere sikkerhedsopdateringer. Producenten skal føre en politik for koordineret offentliggørelse af sårbarheder (coordinated disclosure) – dvs. have et udpeget kontaktpunkt, hvor problemer kan indberettes, samt procedurer for, hvordan sådanne indberetninger håndteres. Det er vigtigt, at opdateringer fjerner sårbarheder uden unødig forsinkelse og distribueres på en sikker måde (fx digitalt signerede). Væsentligt er det, at producenten er forpligtet til at sikre support og sikkerhedsopdateringer i en periode, der svarer til produktets forventede livscyklus, mindst 5 år (medmindre produktets karakter begrunder en kortere periode). Med andre ord: Hvis vores udstyr typisk skal bruges af kunder i ~5+ år, kan vi ikke stoppe med at udgive patches efter et år eller to – der vil være krav om flerårig support efter markedsføring, så brugeren ikke står tilbage med en enhed fuld af huller.
• Gennemførelse af en cybersikkerhedsrisikovurdering – før et produkt med digitale elementer bringes på markedet, skal producenten gennemføre en systematisk analyse af risici relateret til cybertrusler for dette produkt. Risikovurderingen bør være en del af designprocessen (security by design) og bl.a. tage højde for produktets tilsigtede anvendelse, potentielle fejlanvendelser samt brugsbetingelser (IT-miljø, netværk, typen af data som enheden behandler). På baggrund af analysen skal passende beskyttelsesforanstaltninger planlægges og indarbejdes i konstruktionen. Dokumentationen fra risikovurderingen i cyberspace bliver en del af produktets tekniske dokumentation og skal opdateres, hvis der opstår nye trusler. Producenten har pligt til at opbevare dokumentationen i mindst 10 år fra det tidspunkt, hvor produktet bringes i omsætning (og hvis den erklærede supportperiode er længere end 10 år – tilsvarende længere). Risikovurderingen er ikke en engangsøvelse – den bør verificeres og opdateres efter behov, især når der opdages nye sårbarheder, eller når konteksten for produktets anvendelse ændrer sig.
• Tilsyn med eksterne komponenter – producenten skal udvise behørig omhu ved brug af tredjepartskomponenter, herunder open source-biblioteker. Det skal sikres, at eksterne komponenter (software og hardware) ikke kompromitterer produktets samlede cybersikkerhed. I praksis betyder det, at man skal styre versioner og opdateringer af de anvendte biblioteker, overvåge kendte sårbarheder (fx offentliggjort i CVE) i disse komponenter samt opdatere/udskifte dem, når der opstår svagheder. Hvis der i produktet anvendes open source-software, og der opdages en sårbarhed i den, har producenten pligt til at informere den enhed, der er ansvarlig for vedligeholdelsen af den pågældende open source (fx et open source-projekt) om problemet, og hvis producenten selv udbedrer sårbarheden internt – at give fællesskabet oplysninger om den implementerede rettelse. Formålet er at inddrage producenter i økosystemet for koordineret patching af sårbarheder også i open source-komponenter.
• Formel overensstemmelsesvurdering og dokumenter – før produktet kommer på markedet, skal producenten gennemføre en procedure for overensstemmelsesvurdering i forhold til CRA-kravene og udarbejde dokumentation, der bekræfter opfyldelsen af kravene. For de fleste “almindelige” produkter (som ikke er klassificeret i kategorien med forhøjet risiko) vil intern kontrol (intern vurdering) og udarbejdelse af teknisk dokumentation være tilstrækkeligt; den skal bl.a. indeholde en produktbeskrivelse, resultaterne af risikoanalysen, en liste over anvendte sikkerhedsforanstaltninger, procedurer for test og opdateringer osv. Herefter udsteder producenten en EU-overensstemmelseserklæring, hvor det erklæres, at produktet opfylder alle relevante CRA-krav, og anbringer CE-mærkning på produktet. Bemærk: Hvis et produkt er klassificeret som “vigtigt” eller “kritisk” i cybersikkerhedsmæssig henseende (Annex III og IV CRA), kan der gælde strengere procedurer for overensstemmelsesvurdering. For væsentlige (vigtige) produkter i klasse II samt kritiske produkter kræves tredjepartscertificering, dvs. afprøvning og certifikat udstedt af en bemyndiget instans (fx et akkrediteret laboratorium). For vigtige produkter i klasse I er selvcertificering kun tilladt, hvis der findes relevante harmoniserede standarder, som producenten anvender – ellers kræves også her inddragelse af en tredjepart. En leder bør derfor afklare, hvilken kategori virksomhedens produkt tilhører, og om det er nødvendigt at planlægge ekstern certificering (hvilket kan påvirke tidsplanen for markedsintroduktion).
• Overvågning af sikkerhed efter markedsføring og rapportering – en nyhed med CRA er pligten til at indberette alvorlige sikkerhedsproblemer til de relevante myndigheder. Producenten skal notificere enhver sårbarhed i produktet, der udnyttes aktivt, samt enhver alvorlig hændelse, der påvirker produktets sikkerhed, til den nationale CSIRT (reaktionsteam) udpeget som koordinator samt til ENISA. Fristen for indberetning er meget kort – 24 timer fra konstatering af sårbarheden/hændelsen (på linje med kravene i GDPR eller NIS2). Indberetningerne vil ske via en fælles europæisk platform, der drives af ENISA. Rapporteringspligten træder i kraft tidligere end de øvrige krav (september 2026 – se tidsfristerne nedenfor) og vil fra det tidspunkt omfatte alle produkter på markedet. Derfor skal producenten have interne procedurer, der kan opdage en hændelse/sårbarhed og inden for et døgn videreformidle de oplysninger, som forordningen kræver. Formålet er at give tilsynsmyndighederne et overblik over nye trusler og at koordinere reaktionen (fx at advare andre brugere, når et produkt har en kritisk sårbarhed).

De ovenstående forpligtelser medfører ofte betydelige organisatoriske ændringer – fra implementering af Secure SDLC i R&D-afdelingen, over nye politikker for vedligeholdelse og produktsupport, til ekstra dokumentation og uddannelse af medarbejdere. Til gengæld opnår virksomheden større sikkerhed for, at dens produkt ikke bliver kilden til en alvorlig cyberhændelse, samt overholdelse af den kommende lovgivning, hvilket muliggør fortsat salg på EU-markedet.

Forordning (EU) 2024/2847: Importørers og distributørers forpligtelser

Aktører, der importerer produkter med digitale elementer fra lande uden for EU (importører) eller videresælger dem på EU-markedet (distributører), skal også sikre, at disse produkter er i overensstemmelse med CRA. Deres rolle består primært i verifikation og håndtering af eventuelle manglende overensstemmelser.

Importøren skal, før produktet bringes i omsætning på EU-markedet, kontrollere, om producenten har opfyldt sine forpligtelser – med andre ord om produktet har den krævede CE og EU-overensstemmelseserklæring, om der er vedlagt instruktioner og sikkerhedsinformation, samt om producenten har udarbejdet den krævede tekniske dokumentation. Importøren behøver ikke selv at teste produktets cybersikkerhed, men hvis der er begrundet tvivl om, hvorvidt produktet opfylder kravene (f.eks. manglende CE-mærkning, manglende information om supportperioden osv.), bør importøren ikke gøre produktet tilgængeligt på markedet, før det er sikret, at manglen er afhjulpet. Hvis det konstateres, at produktet ikke opfylder CRA-kravene, er importøren forpligtet til at underrette tilsynsmyndighederne og iværksætte korrigerende foranstaltninger – sørge for, at produktet bringes i overensstemmelse, og hvis det ikke er muligt, trække det tilbage fra omsætning eller fra markedet. Importører skal, ligesom producenter, opbevare en kopi af overensstemmelseserklæringen og sikre, at den tekniske dokumentation kan stilles til rådighed for myndighederne efter anmodning. De skal også angive deres kontaktoplysninger på produktet (eller emballagen) og sikre, at produktet er korrekt mærket. I praksis fungerer importøren som en sikkerhedssluse – den skal forhindre distribution i EU af produkter, der ikke har “papirer” på, at de opfylder CRA.

Distributører (nationale grossister, detailhandlere m.fl.) er i en tilsvarende situation som importører, med den forskel at de kontrollerer, at kravene er opfyldt både af producenten og – hvis produktet kommer fra et land uden for EU – af den eventuelle importør. Distributøren bør derfor før videresalg kontrollere, at varen er forsynet med CE-mærket, at den nødvendige erklæring eller de instruktioner, som lovgivningen kræver, er vedlagt, og at der ikke offentligt er udsendt meddelelser om, at den pågældende model ikke opfylder sikkerhedskravene. Ved tvivl har distributøren også pligt til at sætte salget i bero, indtil forholdet er afklaret. Hvis distributøren vurderer (eller bliver informeret om), at produktet udgør en alvorlig risiko eller ikke opfylder CRA-kravene, bør distributøren underrette producenten eller importøren samt tilsynsmyndighederne og samarbejde om korrigerende foranstaltninger (f.eks. ved tilbagekaldelser).

Set fra en indkøbschefs perspektiv betyder disse regler et behov for større opmærksomhed ved valg af leverandører af hardware/software. Man skal sikre sig, at leverandører uden for EU leverer produkter, der allerede er i overensstemmelse med CRA, for ellers vil vores virksomhed (som importør) hæfte for manglerne. For en distributør (f.eks. en virksomhed, der handler med automationsudstyr) kommer der desuden en forpligtelse til at overvåge, om produkter fra de forskellige mærker i sortimentet har opdaterede overensstemmelseserklæringer og opfylder kravene – i praksis vil det kræve tæt samarbejde med producenterne og hurtig reaktion på alle sikkerhedsadvarsler vedrørende de solgte enheder.

Det er værd at bemærke: Hvis importøren eller distributøren bringer et produkt i omsætning under eget logo/mærke eller ændrer produktet (f.eks. ændrer dets funktionalitet, software eller konfiguration på en måde, der er væsentlig for cybersikkerheden), bliver vedkommende i henhold til forordningen selv producent af produktet. I så fald skal man overtage alle producentens forpligtelser (gennemføre overensstemmelsesvurdering, udstede egen erklæring osv.). Denne situation gælder f.eks. systemintegratorer, der sælger OEM-enheder under eget brand – de skal være meget opmærksomme, fordi de formelt har samme ansvar for overensstemmelse som den oprindelige producent.

Ikrafttrædelsesdatoer og overgangsperioder

Forordning (EU) 2024/2847 blev offentliggjort i Den Europæiske Unions Tidende den 20. november 2024. Den trådte i kraft den 10. december 2024 (20 dage efter offentliggørelsen), men de væsentligste forpligtelser begynder først at gælde efter 36 måneder fra denne dato. Lovgiver har nemlig fastsat en lang overgangsperiode for at give branchen tid til at tilpasse sig. Her er de vigtigste datoer:

• 11. september 2026 – fra denne dato begynder kravene til rapportering af sårbarheder og hændelser at gælde. Producenten af ethvert produkt med digitale elementer, der er på EU-markedet, skal indberette alle aktivt udnyttede sårbarheder samt alvorlige sikkerhedshændelser vedrørende produktet til de kompetente myndigheder. Denne dato ligger 21 måneder efter CRA’s ikrafttræden og betyder, at virksomheder allerede i 2026 skal have procedurer på plads til sikkerhedsovervågning og indberetning af problemer. Det afhænger ikke af, hvornår produktet blev bragt på markedet – det gælder også produkter, der er solgt før 2026, og som stadig er i brug. Med andre ord: selv hvis en enhed blev markedsført f.eks. i 2025 (før forordningen får virkning), og der i september 2026 afsløres en kritisk sårbarhed i den, har producenten pligt til at indberette den og udbedre den.
• 11. juni 2026 – fra denne dato forventes reglerne om bemyndigede organer og overensstemmelsesvurderingsorganer at gælde. Medlemsstaterne vil frem mod midten af 2026 etablere et system til udpegning og notifikation af organer, der får beføjelse til at certificere produkter (vigtige og kritiske) i forhold til opfyldelse af CRA-kravene. For producenter er det væsentligt, at der i anden halvdel af 2026 allerede findes en infrastruktur til at gennemføre de nødvendige prøvninger og certificeringer.
• 11. december 2027 – fuld anvendelse af CRA-forordningen. Fra denne dato må intet produkt med digitale elementer, som ikke opfylder CRA-kravene, lovligt bringes i omsætning i EU. Denne frist (3 år efter ikrafttræden) er den endelige dato for at tilpasse produkter og processer. Efter 11.12.2027 skal alle nye enheder og al software, der sælges i EU, være designet, fremstillet og vedligeholdt i overensstemmelse med CRA – ellers risikerer virksomheden alvorlige sanktioner. Det er værd at understrege, at reglerne giver en vis lempelse for produkter, der allerede er på markedet: hvis et givent produkt (et konkret eksemplar) allerede er gjort tilgængeligt på markedet før 11. december 2027, kan det fortsat være i omsætning uden at opfylde CRA. Det gælder dog kun de enkelte eksemplarer – en produkttype, der er designet før CRA, får ikke automatisk en undtagelse. Hver ny batch, hvert nyt eksemplar, der bringes i salg efter denne dato, skal være i overensstemmelse med CRA, medmindre det fysisk allerede var i omsætning tidligere (hvilket i praksis f.eks. kan betyde et lager hos en distributør, der allerede havde købt varerne før fristen). Man kan derfor ikke omgå reglerne ved at producere “på lager” og sælge efter 2027 – hvert produkt er underlagt de gældende krav på tidspunktet for markedsføringen. En undtagelse er fortsat gyldige certyfikaty UE badania typu, der er udstedt før denne dato på grundlag af andre regler – de forbliver gyldige frem til juni 2028, medmindre der er fastsat en kortere frist.

For virksomheder er den praktiske konklusion, at den reelle deadline er udgangen af 2027. Fra 2028 kan vi ikke sælge enheder i EU, der ikke opfylder CRA-kravene. Allerede i 2026 skal man dog være klar til de nye forpligtelser om indberetning af hændelser. Den resterende tid bør bruges på analyse og tilpasning af produkterne. Selvom 3 år umiddelbart lyder som lang tid, kan ændringerne vise sig at være omfattende – det er bedre at gå i gang i god tid. Nedenfor præsenterer vi en tjekliste over tiltag, som en leder bør overveje, når organisationen skal forberedes på at opfylde kravene i cyberresiliensforordningen.

Forordning (EU) 2024/2847: Sådan forbereder du dig til 2026/2027 – tjekliste for ledere

• Identificér produkter, der er omfattet af CRA – Udarbejd en liste over virksomhedens produkter, som er “produkter med digitale elementer” (hardware eller software, der forbinder til netværk/andre enheder). For hvert produkt skal du vurdere, om det kan klassificeres som vigtigt eller kritisk i forordningens forstand (Annex III/IV) – fx om det varetager væsentlige sikkerhedsfunktioner, eller om en kompromittering kan medføre omfattende skade. Denne klassificering påvirker bl.a. den krævede procedure for overensstemmelsesvurdering (om der bliver behov for tredjepartsinddragelse).
• Sæt dig ind i krav og standarder – Gennemgå de grundlæggende cybersikkerhedskrav i bilag I til CRA, og hold dem op mod dine produkter. Undersøg, om der allerede findes relevante harmoniserede standarder eller branchestandarder, som kan gøre det lettere at opfylde kravene (fx kan standarder i IEC 62443 -familien for sikring af industriel automation være nyttige ved design af maskinsikkerhed). Følg løbende standardiseringsarbejdet – der kan komme vejledninger, som gør det nemmere at implementere CRA-kravene i dit område.
• Gennemfør en gap-analyse – Sammenlign den aktuelle status for dine produkter og processer med de nye krav. Vurdér i hvilken grad det nuværende sikkerhedsniveau lever op til kravene (fx om enhederne har mekanismer til autentificering, kryptering, sikre opdateringer osv.). Gennemgå virksomhedens softwareudviklingsproces – om principper for secure coding anvendes, om der gennemføres penetrationstests, og hvor hurtigt I reagerer på indrapporterede sårbarheder. Identificér mangler og forbedringsområder både i organisationen (procedurer) og i teknologien (sikkerhedsfunktioner).
• Tilpas produktdesign og -udvikling – Hvis gap-analysen viser svagheder, planlæg implementering af manglende mekanismer og praksisser. Det kan omfatte ændringer i produktarkitekturen (fx tilføjelse af et krypteringsmodul, sikring af kommunikationsgrænseflader), forbedring af SDLC (Software Development Life Cycle) med elementer som threat modeling, code review med fokus på sikkerhed, fuzzing-tests osv., samt etablering af nye politikker for produktsikkerhed. Sørg for, at R&D-teamet behandler cybersikkerhed som et designkrav på linje med funktionalitet – forordningen kræver en “security by design/default”-tilgang.
• Planlæg et system til opdateringer og support – Vurdér, om din virksomhed er klar til at understøtte produkterne i tilstrækkelig lang tid. Det kan være nødvendigt at etablere en plan og afsætte ressourcer til at udgive regelmæssige opdateringer af firmware/software i flere år efter salg. Tjek, om produkterne teknisk kan opdateres (fjernopdatering eller lokal opdatering) – hvis ikke, er det et alvorligt problem, fordi CRA kræver mulighed for at afhjælpe sårbarheder efter salg. Fastlæg en realistisk supportperiode (minimum 5 år) og kommuniker den til brugerne. Udarbejd også en plan for teknisk håndtering af sikkerhedshenvendelser fra kunder.
• Udarbejd den krævede dokumentation – Sørg for, at der for hvert produkt udarbejdes en komplet teknisk dokumentation med fokus på cybersikkerhed. Den bør bl.a. indeholde en rapport fra risikovurderingen, en beskrivelse af sikkerhedsarkitekturen, en liste over anvendte foranstaltninger (fx kryptering, autorisation), resultater af sikkerhedstests, procedurer for opdateringer, politik for offentliggørelse af sårbarheder osv. Denne dokumentation bliver grundlaget for at påvise overensstemmelse ved en kontrol (og eventuelt til fremlæggelse for et certificeringsorgan). Etablér også en proces for arkivering i den krævede periode (10 år eller mere). Derudover skal du forberede skabeloner til EU-overensstemmelseserklæringer for dine produkter – og huske, at de skal indeholde en ny formulering, der bekræfter opfyldelse af alle forordningens krav.
• Sørg for forsyningskæden – Kontakt leverandører af komponenter (især software, IoT-moduler osv.) for at drøfte CRA-overensstemmelse. Opdatér leverandøraftaler ved at indføre klausuler om det krævede cybersikkerhedsniveau for komponenter og pligt til at informere om konstaterede sårbarheder. Sørg for, at du har adgang til oplysninger om komponenternes oprindelse og versioner (vedligehold en SBOM – Software Bill of Materials for produkterne, hvilket gør det lettere at spore sårbarheder i afhængige biblioteker). Hvis du bruger eksterne cloudtjenester, der er knyttet til produktet, så kontrollér deres sikkerhed og overensstemmelse med NIS2 (da SaaS kan være omfattet af NIS2 i stedet for CRA). Cybersikkerhed for et produkt er også sikkerheden i alle de byggeklodser, det består af – leverandørerne skal trække i samme retning.
• Uddan medarbejdere og gør kunderne opmærksomme – De nye forpligtelser betyder, at flere afdelinger i virksomheden skal have grundlæggende kendskab til CRA. Gennemfør træning for udvikling, kvalitet, IT og service om forordningens krav og interne procedurer (fx hvordan man reagerer på en sårbarhedsrapport, og hvordan man dokumenterer ændringer i forhold til overensstemmelse). Det er også relevant at informere indkøb og salg, så de er opmærksomme på nye mærkninger og erklæringer (fx behovet for at kontrollere, om en leverandør uden for EU har leveret en overensstemmelseserklæring). Overvej at udarbejde information til kunderne om jeres produkters sikkerhedspolitik – transparens på dette område kan blive et kommercielt plus (brugere vil begynde at lægge mærke til, om et produkt opfylder cyberkravene og har garanterede opdateringer).
• Overvåg vejledninger og tidsfrister – Følg med i meddelelser fra Europa-Kommissionen og nationale myndigheder om CRA. Der kan komme delegerede retsakter eller gennemførelsesretsakter, som præciserer visse forhold (fx sektorundtagelser – Kommissionen kan beslutte at undtage produkter fra CRA, hvis de er omfattet af tilsvarende sektorspecifikke krav). Følg også processen for offentliggørelse af harmoniserede standarder – anvendelse af en standard vil være den enkleste vej til formodning om overensstemmelse. Sørg for at overholde de nævnte frister: september 2026 (parathed til at rapportere hændelser) og december 2027 (fuld overensstemmelse for alle nye produkter). Fastlæg helst interne milepæle langt tidligere – fx afslutning af den indledende risikovurdering inden midten af 2025, tilpasning af udviklingsprocessen inden udgangen af 2025, overensstemmelsestests og præ-certificeringer i 2026 osv., så I går ind i 2027 med næsten fuld opfyldelse af kravene. At blive taget på sengen i sidste øjeblik kan koste et salgsstop, så en proaktiv tilgang er afgørende.

At få lavet denne “lektie” i god tid gør det muligt at undgå stresset hastværk i 2027 og de risici, der følger med. I stedet for kun at se CRA som en pligt, er det værd at betragte det som en mulighed for at hæve det generelle sikkerhedsniveau for produkter – hvilket beskytter både virksomheden og kunderne mod dyre hændelser.

CRA og Maskinforordningen (EU) 2023/1230 – hvad hører under hvad?

Mange ledere i industrien overvejer, hvordan de nye regler om cyberrobusthed forholder sig til den allerede kendte Maskinforordning (EU) 2023/1230 (som vil erstatte Maskindirektivet). Opstår der dobbeltregulering af krav, eller supplerer forordningerne hinanden? Det afgørende er at forstå, hvilke aspekter af produktet de enkelte retsakter regulerer.

Maskinforordningen 2023/1230 omfatter maskinsikkerhed i traditionel forstand – den fokuserer på at beskytte maskinbrugernes sundhed og sikkerhed. Den fastlægger de såkaldte væsentlige sikkerheds- og sundhedskrav (EHSR), som bl.a. vedrører mekaniske og elektriske forhold, ergonomi, støj, EMC osv. Den nye maskinforordning har ganske vist også indført et krav om at inddrage risici forbundet med internetadgang og cyberangreb som en potentiel trussel mod sikkerheden. Det betyder, at maskinproducenten i risikovurderingen skal overveje scenarier, hvor f.eks. fjernindgreb i maskinens styresystem kan forårsage en ulykke. Producenten skal derfor designe foranstaltninger, der forebygger sådanne situationer (f.eks. netværkssikring, der forhindrer, at en uvedkommende overtager kontrollen over maskinen). Men maskinforordningen regulerer kun cybersikkerhed i det omfang, den påvirker den fysiske sikkerhed for de mennesker, der betjener maskinerne. Det er ét af mange elementer i maskinens overensstemmelsesvurdering, men den går ikke ned i detaljerede IT-krav – man finder hverken en liste over kryptografiske mekanismer eller et krav om at opdatere maskinens software efter salg. Man kan udtrykke det sådan, at Maskinforordningen sikrer, at maskinen ikke udgør en risiko for liv/sundhed (også som følge af en cyberhændelse), mens CRA sikrer produktets overordnede cybersikkerhed (herunder datakonfidentialitet, tjenesters robusthed og hele livscyklussen).

Cyberresiliensforordningen omfatter et langt bredere spektrum af IT-forhold end maskinforordningen. Selv for industrimaskiner pålægger CRA f.eks. krav om rapportering af sårbarheder, levering af opdateringer i X år, beskyttelse mod datatab – altså forhold, der ikke er direkte knyttet til maskinbrugerens sikkerhed, men til cybersikkerhed som sådan. I praksis betyder det, at en maskine, der er et produkt med digitale elementer, vil være omfattet samtidigt af begge forordninger. Producenten af en sådan maskine skal opfylde kravene i begge retsakter – både dem, der vedrører en konstruktion, der er sikker med hensyn til f.eks. mekanik (Maskinforordningen), og dem, der vedrører sikring af software, netværk og data (CRA). Opfyldelse af kravene i den ene forordning betyder ikke automatisk overensstemmelse med den anden, fordi vurderingskriterierne er forskellige.

Set fra overensstemmelsesvurderingsprocedurens perspektiv skal et produkt, der er omfattet af mere end én EU-forordning, opfylde alle relevante bestemmelser før CE-mærkning. For eksempel: En producent, der bringer en kollaborativ industrirobot med fjernovervågningsfunktion på markedet, skal sikre sig, at robotten opfylder de væsentlige maskinsikkerhedskrav (forordn. 2023/1230) og de væsentlige cybersikkerhedskrav (Forordning (EU) 2024/2847). EU-overensstemmelseserklæringen for en sådan maskine bør nævne begge retsakter. Omvendt skal en drifts- og vedligeholdelseschef, der køber en sådan enhed, kontrollere både overensstemmelse med “maskin-CE” og “cyber-CE”. I praksis er CE-mærket ét – men dokumentationen skal dokumentere overensstemmelse med alle bestemmelser i den nye tilgang, der gælder for det pågældende produkt.

Det er værd at pege på nogle eksempler på, hvad der hører under hvilken forordning:

• Rent elektroniske IT-produkter (uden maskinfunktioner) – fx routere, smartphones, IP-kameraer – er ikke omfattet af Maskinforordningen (fordi de ikke er maskiner), men er omfattet af CRA, hvis de indeholder digitale elementer og kommunikerer via netværk. For dem handler det primært om cybersikkerhed, og spørgsmål om brugerens fysiske sikkerhed er ikke centrale (ud over generelle regler om arbejdsmiljø/EMC).
• Traditionelle maskiner uden digital forbindelse – fx en hydraulisk presse med rent analog styring – er omfattet af Maskinforordningen (krav til konstruktion, afskærmninger, sikkerhedskredsløb osv. skal opfyldes), men er ikke direkte omfattet af CRA, fordi den ikke indeholder digitale elementer, der kommunikerer udadtil. Hvis der er styreelektronik i maskinen, kan den i sig selv betragtes som digitalt udstyr – men så længe der ikke er forbindelse (fx ingen netværksporte, ingen fjernadgang), opfylder den ikke definitionen af et “produkt med digitale elementer” i CRA’s forstand.
• Moderne maskiner med digitale funktioner – fx robotter, produktionslinjer med IoT, AGV-køretøjer der kommunikerer med et styringssystem – er omfattet af begge regelsæt. Her vil Maskinforordningen bl.a. kræve en klassisk risikovurdering (så maskinen ikke skaber mekaniske/elektriske farer) samt et krav om, at fx fjernadgang til en robot ikke må kunne føre til en farlig situation (altså at cybertrusler mod sikkerheden indregnes). CRA pålægger derudover en forpligtelse til, at robotten generelt har sikret software (fx krypteret datatransmission, unikke adgangskoder), opdateres af producenten, og at en konstateret sårbarhed bliver udbedret og indberettet til myndighederne. Producenten af sådant udstyr skal derfor sikre robusthed mod cyberangreb både i forhold til menneskers sikkerhed og i forhold til driftskontinuitet, datakonfidentialitet m.m.

Sammenfattende konkurrerer Maskinforordningen og CRA ikke med hinanden – de supplerer hinanden. Den første tager sig af maskiners funktionssikkerhed (herunder minimumskrav til cyber, så maskinen er sikker), den anden tager sig af produktets bredere cybersikkerhed gennem hele livscyklussen. For ledere betyder det et behov for flerstrenget compliance: Et intelligent produkt skal både være konstruktionsmæssigt sikkert og cybersikkert. Derfor skal man følge kravene i begge reguleringer. Heldigvis ligger deres ikrafttrædelsestidspunkter tæt på hinanden – Maskinforordningen begynder også at blive anvendt i praksis fra januar 2027 (og erstatter direktivet), og CRA fra slutningen af 2027. Man kan derfor samle forberedelserne til begge i et sammenhængende compliance-program. For eksempel kan man ved design af en ny maskine fra starten indarbejde både maskinsikkerhedskrav og IT-sikring; under test af prototypen kan man ikke kun kontrollere overensstemmelse med standarder som ISO 13849 (safety), men også fx gennemføre penetrationstests af styresystemet. Med en sådan tilgang sikrer virksomheden samlet compliance og undgår en situation, hvor man overholder én lov ved at ignorere en anden.

Forordning (EU) 2024/2847 er uden tvivl en udfordring for producenter og leverandører, men samtidig et nødvendigt svar på nutidens realiteter. Maskiner og udstyr bliver stadig mere intelligente og forbundne – reglerne skal følge med. Ledere, der allerede nu iværksætter forberedende tiltag, får en fordel: deres virksomheder vil ikke blot komme smertefrit ind i de nye juridiske rammer, men også øge konkurrenceevnen og troværdigheden af deres produkter i kundernes øjne, hvor digital sikkerhed bliver lige så vigtig som pris og funktionalitet. Med den rette støtte fra eksperter i maskinsikkerhed og IT kan implementeringen af CRA-krav ses som en del af løbende forbedringer og ikke kun som en regulatorisk forpligtelse. I sidste ende gavner det både virksomheden, slutbrugerne og hele det digitale økosystem. Sikrere produkter betyder mindre risiko for nedetid, angreb og tab – og det er et mål, som både lovgiver og ansvarlige markedsaktører arbejder for.