Förordning (EU) 2024/2847 – cybersäkerhetsresiliensakten (CRA)

Förordning (EU) 2024/2847 – Cyber Resilience Act (CRA) – är en ny EU-förordning som inför horisontella cybersäkerhetskrav för “produkter med digitala element”. Den antogs i oktober 2024 och kommer att börja gälla direkt i alla EU-länder, efter övergångsperioder, från slutet av 2027. Som chef inom industrin – oavsett om du ansvarar för underhåll, inköp eller compliance – är det klokt att redan nu förstå vilka produkter som omfattas av förordningen, vilka nya skyldigheter den lägger på tillverkare, importörer och distributörer samt hur du förbereder företaget för de kommande förändringarna. Nedan presenterar vi den viktigaste informationen i ett praktiskt perspektiv, utan juridiskt fikonspråk men med teknisk precision – för att göra det enklare att vidta rätt förberedande åtgärder.

Tillämpningsområde: vilka produkter omfattas av cyberresiliensakten?

Förordning (EU) 2024/2847 gäller alla “produkter med digitala element” som tillhandahålls på EU-marknaden och vars avsedda användning omfattar anslutning till en annan enhet eller ett nätverk (direkt eller indirekt, fysiskt eller logiskt). Med andra ord omfattas de nya kraven av de flesta enheter eller programvaror som kan kommunicera med andra system. I praktiken handlar det bland annat om IoT-enheter och konsumentelektronik (t.ex. smartklockor, mobiltelefoner, smarta vitvaror/hembio- och TV-produkter, elektroniska babyvakter), bärbara enheter (t.ex. träningsarmband), industriell utrustning med nätverksfunktioner (sensorer och industrimaskiner som är anslutna till nätverk) samt olika typer av programvara (operativsystem, mobil- och datorapplikationer, affärsprogramvara m.m.). Det är viktigt att programvara som säljs separat (som produkt) också omfattas av CRA, liksom fjärrtjänster för databehandling som utgör en integrerad del av produkten – till exempel kommer en molnbaserad tjänst som styr en smart home-enhet att betraktas som en del av produkten och måste uppfylla säkerhetskraven.

Förordningen har ett mycket brett tillämpningsområde, men innehåller också undantag för vissa produktkategorier som redan regleras av egna sektorsspecifika bestämmelser. CRA omfattar bland annat inte: medicintekniska produkter (som omfattas av förordningarna MDR 2017/745 och 2017/746), fordon och deras utrustning (som bland annat omfattas av förordning 2019/2144 när det gäller typgodkännande av fordon), luftfartyg (förordning 2018/1139 om luftfart) eller marin utrustning (direktiv 2014/90/EU). Dessa produkter har separata regelverk, som ofta redan innehåller krav anpassade till den aktuella branschen, och har därför undantagits från CRA:s tillämpningsområde. Dessutom gäller de nya bestämmelserna inte utrustning och programvara som uteslutande är avsedd för militära ändamål eller för nationell säkerhet (samt behandling av sekretessbelagd information). Undantagna är även reservdelar som levereras som ersättning för identiska komponenter – om den ursprungliga produkten lagligen har släppts ut på marknaden behöver den identiska delen inte uppfylla CRA separat.

Det är värt att notera att s.k. fri och öppen programvara (open source) inte kommer att omfattas av CRA, så länge den inte tillhandahålls inom ramen för kommersiell verksamhet. Om en viss programvara alltså utvecklas och publiceras utan ersättning, utanför marknadsomsättningen, betraktas dess upphovsmän (t.ex. open source-communityn) inte som “tillverkare” i förordningens mening och de omfattas inte av de skyldigheter som beskrivs nedan. Om ett företag däremot skulle använda en open source-komponent i sin kommersiella produkt, så faller ansvaret för att uppfylla säkerhetskraven på tillverkaren av den slutliga produkten. Sammanfattningsvis riktar CRA in sig främst på digitala produkter som tas fram professionellt och säljs, och som når slutanvändare på EU:s inre marknad.

Varför infördes CRA? Nya hot, ett regelmässigt glapp och leveranskedjan

Europeiska unionen har sett ett akut behov av att stärka cyberresiliensen hos digitala produkter i takt med att hotbilden växer. Under de senaste åren har antalet och mångfalden av internetanslutna enheter ökat explosionsartat – från industriella IoT-system i fabriker till smarta hushållsapparater. Tyvärr är cybersäkerhetsnivån för dessa produkter ofta låg, vilket märks genom utbredda sårbarheter samt otillräcklig och inkonsekvent leverans av säkerhetsuppdateringar. Många tillverkare har hittills inte prioriterat säkerhet genom hela produktens livscykel, och användare saknar ofta både medvetenhet och information om vilka enheter som är säkra, hur länge de kommer att få stöd med uppdateringar och hur de kan användas på ett säkert sätt. Denna kombination av faktorer leder till en förhöjd risk för cyberattacker.

Cyberresiliensakten ska täppa till ett regleringsglapp – hittills har det saknats enhetliga, bindande krav på digital säkerhet för produkter på EU-nivå. Visserligen fanns initiativ som certifieringar av ICT-säkerhet (med stöd av Cybersecurity Act 2019/881) eller kraven i NIS2-direktivet för kritiska sektorer, men ingen lagstiftning införde ett direkt krav på “cybersäkerhet by design” för alla enheter och all programvara som släpps ut på marknaden. CRA skapar just ett sådant universellt ramverk – det innebär att hårdvara och mjukvara måste utformas, tillverkas och underhållas med robusta skyddsåtgärder i åtanke under hela livscykeln. Målet är att produkter med färre sårbarheter ska nå marknaden och att tillverkare säkerställer snabb hantering av nya hot (t.ex. genom säkerhetsuppdateringar), i stället för att lämna användare med osäkra, “håliga” enheter.

Frågan om cyberresiliens har också en dimension som rör leveranskedjan och är gränsöverskridande. I en tid när allt är uppkopplat mot allt kan en incident i en till synes obetydlig enhet bli en angreppsvektor mot hela organisationen eller affärspartner. En enda infekterad IoT-sensor i produktionshallen kan öppna en bakdörr in i fabriksnätet; en sårbarhet i en populär applikation kan utnyttjas globalt inom några minuter. Som det framhålls i motiveringen till förordningen kan en cyberincident i en produkt spridas i leveranskedjan över ett lands gränser inom några minuter. Kostnaderna för sådana angrepp bärs inte bara av tillverkare och användare, utan av hela samhället – störningar i kritisk infrastruktur, ekonomiska förluster, intrång i den offentliga säkerheten. Gemensamma, obligatoriska regler i hela EU ska höja den övergripande skyddsnivån och förhindra en situation där den svagaste länken (en icke motståndskraftig produkt) hotar alla.

Ett ytterligare motiv är att öka förtroendet för digitala produkter och skapa mer likvärdiga konkurrensvillkor. I dag förlorar tillverkare som investerar i säkerhet by design inte sällan prismässigt mot dem som bortser från dessa frågor. CRA ska göra att cybersäkerhet blir en kvalitetsstandard – alla kommer att behöva uppfylla minimikrav, vilket jämnar ut spelplanen och minskar de samhälleliga kostnaderna för attacker (som i dag vältras över på offren). Detta ska i sin tur öka motståndskraften på hela EU-marknaden och stärka kundernas förtroende för moderna enheter med digitala komponenter. Akten ingår också i en bredare EU-strategi (tillsammans med RODO, NIS2, DORA m.fl.) som syftar till att stärka cybersäkerheten i tjänster och produkter som en grund för den digitala ekonomin.

Förordning (EU) 2024/2847: Huvudsakliga skyldigheter för tillverkare, importörer och distributörer

Den nya förordningen inför en rad konkreta skyldigheter för ekonomiska aktörer som är involverade i leveranskedjan för produkter med digitala inslag. Ansvarsområdet beror på rollen – störst krav ställs på tillverkare, men importörer och distributörer har också viktiga uppgifter. Nedan sammanfattar vi de centrala skyldigheterna ur perspektivet av en chef som ansvarar för att företagets produkter uppfyller gällande regler.

Tillverkares skyldigheter

Tillverkaren (liksom den aktör som släpper ut produkten på marknaden under eget varumärke eller modifierar den – även denne betraktas som tillverkare) har huvudansvaret för att kraven i CRA uppfylls. Till de viktigaste uppgifterna hör:

• Säkerställande av att produkten uppfyller de grundläggande kraven på cybersäkerhet som anges i bilaga I till förordningen. I praktiken innebär det att produkten redan i projekt- och konstruktionsfasen måste ha egenskaper som garanterar en lämplig nivå av digital säkerhet, anpassad till risken som är förknippad med den aktuella produkten. Förordningen listar ett antal konkreta tekniska krav – bl.a. inga kända sårbarheter vid tidpunkten för utsläppande på marknaden, användning av säkra standardkonfigurationer (t.ex. att undvika standardlösenord), kryptering där det är relevant, skydd mot obehörig åtkomst, skydd av användarens personuppgifter, motståndskraft mot attacker som stör funktioner (t.ex. DoS-attacker) samt möjlighet att genomföra återställning till fabriksinställningar. Produkten bör utformas så att dess “attackyta” begränsas så långt som möjligt – t.ex. genom att inte ha onödiga öppna portar eller tjänster som ökar exponeringen mot cyberhot. Dessa grundläggande krav (del I i bilaga I CRA) utgör en checklista över säkerhetsegenskaper som varje digital produkt måste uppfylla.
• Införande av en process för hantering av sårbarheter och incidenter – tillverkaren måste aktivt värna produktens säkerhet efter försäljning, under hela den deklarerade supportperioden. I del II i bilaga I anges krav på processen för sårbarhetshantering (vulnerability handling): regelbunden testning och övervakning för att upptäcka nya brister, mottagande av rapporter om sårbarheter (t.ex. från forskare eller användare) samt snabb åtgärdning/patchning av upptäckta sårbarheter genom att tillhandahålla säkerhetsuppdateringar. Tillverkaren måste ha en policy för koordinerat offentliggörande av sårbarheter (coordinated disclosure) – dvs. ha en utsedd kontaktpunkt dit problem kan rapporteras och rutiner för hur sådana rapporter ska hanteras. Det är viktigt att uppdateringar åtgärdar sårbarheter utan dröjsmål och distribueras på ett säkert sätt (t.ex. digitalt signerade). Det som är särskilt viktigt är att tillverkaren är skyldig att säkerställa support och säkerhetsuppdateringar under en period som motsvarar produktens förväntade livscykel, minst 5 år (om inte produktens karaktär motiverar en kortare period). Med andra ord: om vår utrustning typiskt sett ska användas av kunder i ~5+ år kan vi inte sluta släppa patchar efter ett eller två år – det kommer att krävas flerårigt eftermarknadsstöd, så att användaren inte blir kvar med en enhet full av säkerhetshål.
• Genomföra en cybersäkerhetsriskbedömning – innan en produkt med digitala komponenter släpps ut på marknaden måste tillverkaren genomföra en systematisk riskanalys av de cyberhot som är kopplade till produkten. Riskbedömningen bör vara en del av konstruktionsprocessen (security by design) och omfatta bl.a. produktens avsedda användning, potentiell felaktig användning samt användningsförhållanden (IT-miljö, nätverk, vilken typ av data som enheten behandlar). Utifrån denna analys ska lämpliga skyddsåtgärder planeras och byggas in i konstruktionen. Dokumentationen från riskbedömningen i cybermiljön blir en del av produktens tekniska dokumentation och måste uppdateras om nya hot uppstår. Tillverkaren är skyldig att bevara dokumentationen i minst 10 år från det att produkten släpps ut på marknaden (och om den deklarerade supportperioden är längre än 10 år – motsvarande längre). Riskbedömningen är inte en engångsåtgärd – den bör kontrolleras och uppdateras vid behov, särskilt när nya sårbarheter upptäcks eller när produktens användningskontext förändras.
• Tillsyn över externa komponenter – tillverkaren måste iaktta vederbörlig aktsamhet vid användning av komponenter från tredje part, inklusive open source-bibliotek. Det ska säkerställas att externa komponenter (mjukvara och hårdvara) inte äventyrar produktens samlade cybersäkerhet. I praktiken innebär detta att man behöver kontrollera versionshantering och uppdateringar för de bibliotek som används, bevaka kända sårbarheter (t.ex. publicerade i CVE) i dessa komponenter samt uppdatera/ersätta dem när brister upptäcks. Om öppen programvara har använts i produkten och en sårbarhet upptäcks i den, är tillverkaren skyldig att informera den part som ansvarar för underhållet av den aktuella open source-komponenten (t.ex. open source-projektet) om problemet, och om tillverkaren själv åtgärdar sårbarheten på egen hand – delge communityn information om den genomförda korrigeringen. Syftet är att involvera tillverkare i ekosystemet för koordinerad patchning av sårbarheter även i open source-komponenter.
• Formell bedömning av överensstämmelse och dokument – innan produkten släpps ut på marknaden måste tillverkaren genomföra ett förfarande för bedömning av överensstämmelse med CRA-kraven och upprätta dokumentation som bekräftar att kraven uppfylls. För de flesta “vanliga” produkter (som inte räknas till kategorin med förhöjd risk) räcker det med intern kontroll (intern bedömning) och att ta fram teknisk dokumentation som bland annat innehåller produktbeskrivning, resultat av riskanalys, en förteckning över tillämpade säkerhetsåtgärder, rutiner för testning och uppdateringar osv. Därefter utfärdar tillverkaren en EU-försäkran om överensstämmelse, där det intygas att produkten uppfyller alla tillämpliga CRA-krav, och sätter CE-märkning på produkten. Observera: om en viss produkt har klassificerats som “viktig” eller “kritisk” ur cybersäkerhetssynpunkt (Annex III och IV CRA) kan strängare förfaranden för bedömning av överensstämmelse gälla. För väsentliga (viktiga) produkter i klass II samt kritiska produkter krävs tredjepartscertifiering, dvs. provning och certifikat utfärdat av ett anmält organ (t.ex. ett ackrediterat laboratorium). För viktiga produkter i klass I tillåts självcertifiering endast om det finns relevanta harmoniserade standarder som tillverkaren använder – i annat fall krävs även här medverkan av en tredje part. En chef bör därför fastställa vilken kategori företagets produkt tillhör och om det blir nödvändigt att planera för extern certifiering (vilket kan påverka tidsplanen för att lansera produkten på marknaden).
• Övervakning av säkerheten efter att produkten släppts på marknaden och rapportering – en nyhet som införs genom CRA är skyldigheten att rapportera allvarliga säkerhetsproblem till behöriga myndigheter. Tillverkaren måste anmäla varje sårbarhet i sin produkt som utnyttjas aktivt samt varje allvarlig incident som påverkar produktens säkerhet till det nationella CSIRT (incidenthanteringsteamet) som utsetts som koordinator samt till ENISA. Tiden för anmälan är mycket kort – den är 24 timmar från det att sårbarheten/händelsen upptäcks (i linje med kraven i RODO eller NIS2). Anmälningarna kommer att ske via en gemensam europeisk plattform som drivs av ENISA. Rapporteringsskyldigheten träder i kraft tidigare än övriga krav (september 2026 – se tidsfristerna nedan) och kommer från och med då att omfatta alla produkter på marknaden. Därför måste tillverkaren ha interna rutiner som kan upptäcka en incident/sårbarhet och inom ett dygn lämna den information som krävs enligt förordningen. Syftet är att ge tillsynsmyndigheterna en överblick över framväxande hot och att samordna responsen (t.ex. varna andra användare när en viss produkt har en kritisk sårbarhet).

De ovannämnda ansvarsområdena kräver ofta betydande organisatoriska förändringar – från implementering av en säker SDLC (Secure SDLC) på FoU-avdelningen, via nya produktunderhålls- och supportpolicyer, till ytterligare dokumentation och personalutbildning. I gengäld får företaget större förtroende för att deras produkt inte kommer att bli källan till en allvarlig cyberincident, samt efterlevnad av kommande regleringar, vilket möjliggör fortsatt försäljning på EU-marknaden.

Förordning (EU) 2024/2847: Importörers och distributörers skyldigheter

Aktörer som tar in produkter med digitala komponenter från länder utanför EU (importörer) eller säljer dem vidare på EU-marknaden (distributörer) måste också säkerställa att dessa produkter uppfyller kraven i CRA. Deras roll handlar främst om kontroll och att agera vid eventuella brister i överensstämmelsen.

Importören måste innan produkten släpps ut på EU-marknaden kontrollera att tillverkaren har uppfyllt sina skyldigheter – med andra ord att produkten har erforderlig CE-märkning och EU-försäkran om överensstämmelse, att instruktioner och säkerhetsinformation har bifogats samt att tillverkaren har tagit fram den tekniska dokumentation som krävs. Importören behöver inte själv testa produktens cybersäkerhet, men om det finns välgrundade tvivel om att produkten uppfyller kraven (t.ex. avsaknad av CE-märkning, avsaknad av information om supportperioden osv.) bör importören inte tillhandahålla en sådan produkt på marknaden förrän det är säkerställt att bristen har åtgärdats. Om det konstateras att produkten inte uppfyller CRA-kraven är importören skyldig att informera tillsynsmyndigheterna och vidta korrigerande åtgärder – se till att produkten bringas i överensstämmelse och, om det inte är möjligt, dra tillbaka den från distributionen eller från marknaden. Importörer måste, liksom tillverkare, bevara en kopia av försäkran om överensstämmelse och se till att den tekniska dokumentationen kan göras tillgänglig för myndigheterna på begäran. De bör också ange sina kontaktuppgifter på produkten (eller förpackningen) och säkerställa att produkten är korrekt märkt. I praktiken kan importörens roll beskrivas som en säkerhetsgrind – att förhindra att produkter som saknar “papper” som visar att CRA uppfylls distribueras inom EU.

Distributörer (inhemska grossister, detaljhandlare m.m.) befinner sig i en liknande situation som importörer, med den skillnaden att de kontrollerar att kraven uppfylls både av tillverkaren och, i förekommande fall, av importören om produkten kommer från ett land utanför EU. Innan distributören säljer vidare ska den därför kontrollera att varan är CE-märkt, att en deklaration eller instruktioner som krävs enligt lag medföljer, samt att det inte har publicerats några meddelanden om att den aktuella modellen inte uppfyller säkerhetskraven. Vid tveksamheter har distributören också en skyldighet att stoppa försäljningen tills frågan har klarlagts. Om distributören bedömer (eller får information om) att produkten utgör en allvarlig risk eller inte uppfyller kraven i CRA, ska den informera tillverkaren eller importören samt tillsynsmyndigheterna och samarbeta vid korrigerande åtgärder (t.ex. vid återkallelser från marknaden).

Ur ett inköpschefs­perspektiv innebär dessa regler att man måste vara ännu mer vaksam vid valet av leverantörer av utrustning/programvara. Man behöver säkerställa att leverantörer utanför EU levererar produkter som redan är förenliga med CRA, eftersom vårt företag (som importör) annars kommer att bära ansvaret för bristerna. För en distributör (t.ex. ett företag som handlar med automation) tillkommer dessutom skyldigheten att följa upp att produkter från olika varumärken i sortimentet har aktuella försäkringar om överensstämmelse och uppfyller kraven – i praktiken kräver detta ett nära samarbete med tillverkarna och en snabb respons på alla säkerhetsvarningar som rör de sålda enheterna.

Värt att notera: om importören eller distributören släpper ut en produkt under sin egen logotyp/sitt eget varumärke eller modifierar produkten (t.ex. ändrar dess funktionalitet, programvara eller konfiguration på ett sätt som är väsentligt för cybersäkerheten), så blir denne enligt förordningen själv tillverkare av produkten. Då måste aktören ta över alla tillverkarens skyldigheter (genomföra en bedömning av överensstämmelse, utfärda en egen deklaration osv.). Den här situationen gäller t.ex. systemintegratörer som säljer OEM-enheter under sitt eget varumärke – de måste vara mycket försiktiga, eftersom de formellt ansvarar för överensstämmelsen på samma sätt som den ursprungliga tillverkaren.

Ikraftträdandedatum och övergångsperioder

Förordning (EU) 2024/2847 publicerades i Europeiska unionens officiella tidning den 20 november 2024. Den trädde i kraft den 10 december 2024 (20 dagar efter publiceringen), men de huvudsakliga skyldigheterna börjar gälla först 36 månader efter detta datum. Lagstiftaren har nämligen fastställt en lång övergångsperiod för att ge branschen tid att anpassa sig. Här är de viktigaste datumen:

• 11 september 2026 – från och med denna dag börjar kraven på rapportering av sårbarheter och incidenter att gälla. Tillverkaren av varje produkt med digitala komponenter som finns på EU-marknaden måste rapportera alla aktivt utnyttjade sårbarheter samt allvarliga säkerhetsincidenter som rör produkten till behöriga myndigheter. Detta datum infaller 21 månader efter att CRA trätt i kraft och innebär att företag redan under 2026 måste ha rutiner för säkerhetsövervakning och för att rapportera problem. Detta är inte beroende av när produkten släpptes på marknaden – det gäller även produkter som sålts före 2026 och som fortfarande används. Med andra ord: även om en enhet sattes på marknaden t.ex. 2025 (innan förordningen började gälla) och en kritisk sårbarhet upptäcks i den i september 2026, är tillverkaren skyldig att rapportera den och åtgärda den.
• 11 juni 2026 – från och med denna dag ska bestämmelserna om anmälda organ och organ för bedömning av överensstämmelse börja gälla. Medlemsstaterna ska fram till mitten av 2026 förbereda ett system för att utse och anmäla organ som kommer att vara behöriga att certifiera produkter (viktiga och kritiska) avseende uppfyllandet av CRA-kraven. För tillverkare är det viktigt att det under andra halvåret 2026 redan finns infrastruktur på plats för att genomföra de tester och den certifiering som krävs.
• 11 december 2027 – full tillämpning av CRA-förordningen. Från och med denna dag får ingen produkt med digitala komponenter som inte uppfyller CRA-kraven lagligen släppas ut på marknaden inom EU. Denna tidsfrist (3 år från ikraftträdandet) är sista datum för att anpassa produkter och processer. Efter 11.12.2027 måste alla nya enheter och all programvara som säljs i EU vara konstruerade, tillverkade och underhållna i enlighet med CRA – annars riskerar företaget allvarliga sanktioner. Det är värt att understryka att reglerna ger en viss lättnad för produkter som redan finns på marknaden: om en viss produkt (ett specifikt exemplar) redan har tillhandahållits på marknaden före den 11 december 2027, kan den fortsätta att vara i omlopp utan att uppfylla CRA. Detta gäller dock endast enskilda exemplar – en produkttyp som tagits fram före CRA får inte automatiskt något undantag. Varje ny batch, varje nytt exemplar som släpps ut till försäljning efter detta datum måste vara CRA-överensstämmande, om det inte redan fysiskt fanns i omlopp tidigare (vilket i praktiken till exempel kan innebära ett lager hos en distributör som redan köpt varan före tidsfristen). Det går alltså inte att kringgå reglerna genom att producera “på lager” och sälja efter 2027 – varje produkt omfattas av de aktuella kraven vid tidpunkten då den släpps ut på marknaden. Ett undantag är fortfarande giltiga EU-typintyg som utfärdats före detta datum enligt andra regelverk – de förblir giltiga till juni 2028, om inte en kortare giltighetstid har angivits.

För företag är den praktiska slutsatsen att den verkliga deadlinen är slutet av 2027. Från och med 2028 kommer vi inte att kunna sälja utrustning i EU som inte uppfyller CRA-kraven. Redan 2026 måste man däremot vara redo för nya skyldigheter att rapportera incidenter. Den tid som återstår bör användas till analys och anpassning av produkterna. Även om 3 år kan verka som gott om tid, kan förändringarna visa sig vara omfattande – det är bättre att starta arbetet i god tid. Nedan presenterar vi en checklista över åtgärder som en chef bör överväga när organisationen förbereds för att uppfylla kraven i cyberresiliensakten.

Förordning (EU) 2024/2847: Så förbereder du dig inför 2026/2027 – checklista för chefen

• Identifiera produkter som omfattas av CRA – Upprätta en lista över företagets produkter som är “produkter med digitala element” (hårdvara eller programvara som ansluter till nätet/andra enheter). För var och en, ange om den kan betraktas som viktig eller kritisk enligt förordningen (Annex III/IV) – t.ex. om den utför väsentliga säkerhetsfunktioner, eller om en kompromettering kan orsaka omfattande skada. Denna klassificering påverkar bl.a. vilken procedur för bedömning av överensstämmelse som krävs (om medverkan av en tredje part behövs).
• Bekanta dig med kraven och standarderna – Gå igenom de grundläggande cybersäkerhetskraven i bilaga I till CRA och relatera dem till dina produkter. Kontrollera om det redan finns relevanta harmoniserade standarder eller branschstandarder som kan underlätta att uppfylla kraven (t.ex. kan standarder i IEC 62443 -familjen för skydd av system inom industriell automation vara till hjälp vid utformningen av maskinsäkerhet). Håll dig uppdaterad om standardiseringsarbetet – det kan komma riktlinjer som gör det enklare att implementera CRA-kraven inom ditt område.
• Genomför en gap-analys – Jämför nuläget för dina produkter och processer med de nya kraven. Bedöm i vilken utsträckning den nuvarande säkerhetsnivån uppfyller kraven (t.ex. om enheterna har mekanismer för autentisering, kryptering, säkra uppdateringar osv.). Analysera företagets process för mjukvaruutveckling – om principer för secure coding tillämpas, om penetrationstester genomförs och hur snabbt ni reagerar på rapporterade sårbarheter. Identifiera brister och förbättringsområden inom organisation (rutiner) samt teknik (säkerhetsfunktioner).
• Anpassa produktdesign och produktutveckling – Om gapanalysen visar på brister, planera införandet av saknade mekanismer och arbetssätt. Det kan omfatta ändringar i produktarkitekturen (t.ex. att lägga till en krypteringsmodul, säkra kommunikationsgränssnitt), att förbättra processen SDLC (Software Development Life Cycle) med inslag som threat modeling, code review med säkerhetsfokus, fuzzingtester m.m., samt att etablera nya säkerhetspolicyer för produkten. Säkerställ att R&D-teamet behandlar cybersäkerhet som ett designkrav på samma nivå som funktionalitet – förordningen kräver ett “security by design/default”-angreppssätt.
• Planera ett system för uppdateringar och support – Analysera om ditt företag är redo att ge produkterna support under tillräckligt lång tid. Det kan vara nödvändigt att ta fram en tidsplan och avsätta resurser för att släppa regelbundna uppdateringar av firmwareprogramvara under flera år efter försäljning. Kontrollera om produkterna har tekniska möjligheter för uppdatering (på distans eller lokalt) – om inte är det ett allvarligt problem, eftersom CRA kräver att sårbarheter ska kunna åtgärdas efter försäljning. Fastställ en realistisk supportperiod (minimum 5 år) och kommunicera den till användarna. Ta också fram en plan för teknisk hantering av säkerhetsärenden som kunder rapporterar.
• Förbered den dokumentation som krävs – Säkerställ att det för varje produkt tas fram en komplett teknisk dokumentation med fokus på cybersäkerhet. Den bör bland annat innehålla en rapport från riskbedömningen, en beskrivning av säkerhetsarkitekturen, en förteckning över tillämpade åtgärder (t.ex. kryptering, auktorisering), resultat från säkerhetstester, rutiner för uppdateringar, policy för ansvarsfullt offentliggörande av sårbarheter m.m. Denna dokumentation kommer att vara grunden för att kunna visa överensstämmelse vid en kontroll (och eventuellt även för att lämnas in till ett certifieringsorgan). Organisera också processen för arkivering under den period som krävs (10 år eller längre). Ta dessutom fram mallar för EU-försäkran om överensstämmelse för dina produkter – och kom ihåg att de måste innehålla en ny formulering som bekräftar att alla krav i förordningen är uppfyllda.
• Ta hand om leveranskedjan – Kontakta leverantörer av komponenter (särskilt programvara, IoT-moduler m.m.) för att diskutera frågor om efterlevnad av CRA. Uppdatera leverantörsavtalen genom att införa klausuler om den cyber­säkerhetsnivå som krävs för delkomponenter och skyldighet att informera om upptäckta sårbarheter. Säkerställ att du har tillgång till information om komponenternas ursprung och versioner (håll en SBOM – Software Bill of Materials för produkterna, vilket underlättar spårning av sårbarheter i beroende bibliotek). Om du använder externa molntjänster som är kopplade till produkten, kontrollera deras skydd och efterlevnad av NIS2 (eftersom SaaS kan omfattas av NIS2 i stället för CRA). Produktens cybersäkerhet är också säkerheten i alla byggblock som den består av – leverantörerna måste dra åt samma håll.
• Utbilda personalen och öka kundernas medvetenhet – De nya skyldigheterna gör att olika avdelningar i företaget behöver ha grundläggande kunskap om CRA. Genomför utbildningar för konstruktions-/utvecklingsavdelningen, kvalitet, IT och service om förordningens krav och interna rutiner (t.ex. hur man ska agera vid en rapport om en sårbarhet, hur man dokumenterar ändringar ur ett efterlevnadsperspektiv). Det är också bra att informera inköp och försäljning, så att de känner till de nya märkningarna och deklarationerna (t.ex. kravet att kontrollera om en leverantör utanför EU har tillhandahållit en försäkran om överensstämmelse). Överväg att ta fram information till kunderna om säkerhetspolicyn för era produkter – transparens på detta område kan bli en kommersiell fördel (användare kommer att börja uppmärksamma om en viss produkt uppfyller cyberkraven och har garanterade uppdateringar).
• Följ riktlinjer och tidsfrister – Håll koll på meddelanden från Europeiska kommissionen och nationella myndigheter om CRA. Det kan tillkomma delegerade akter eller genomförandeakter som förtydligar vissa frågor (t.ex. sektorspecifika undantag – kommissionen kan besluta att undanta produkter från CRA som omfattas av likvärdiga sektorskrav). Följ även processen för publicering av harmoniserade standarder – att tillämpa en standard blir den enklaste vägen till presumtion om överensstämmelse. Säkerställ att de nämnda tidsfristerna hålls: september 2026 (beredskap för incidentrapportering) och december 2027 (full överensstämmelse för alla nya produkter). Utse helst interna milstolpar långt tidigare – t.ex. slutföra en inledande riskanalys till mitten av 2025, anpassa utvecklingsprocessen till slutet av 2025, genomföra överensstämmelsetester och förhands-/precertifieringar under 2026, osv., så att ni går in i 2027 med kraven i princip redan uppfyllda. Att bli överraskad i sista stund kan leda till att försäljningen stoppas, så ett proaktivt arbetssätt är avgörande.

Att göra den här “hemläxan” i god tid gör att ni slipper stressig panik 2027 och de risker som följer med det. I stället för att se CRA enbart som ett krav är det värt att betrakta det som en möjlighet att höja den övergripande produktsäkerhetsnivån – vilket skyddar både företaget och kunderna från kostsamma incidenter.

CRA och Maskinförordningen (EU) 2023/1230 – vad omfattas av vad?

Många chefer inom industrin funderar på hur de nya reglerna om cyberresiliens förhåller sig till den redan välkända Maskinförordningen (EU) 2023/1230 (som kommer att ersätta Maskindirektivet). Innebär det att kraven överlappar, eller kompletterar dessa förordningar varandra? Avgörande är att förstå vilka aspekter av produkten som respektive rättsakt reglerar.

Maskinförordningen 2023/1230 omfattar maskinsäkerhet i traditionell bemärkelse – den fokuserar på att skydda hälsa och säkerhet för dem som använder maskiner. Den anger de s.k. grundläggande hälso- och säkerhetskraven (EHSR), som bl.a. rör mekaniska och elektriska aspekter, ergonomi, buller, EMC m.m. Den nya maskinförordningen har visserligen också infört ett krav på att beakta risker kopplade till internetåtkomst och cyberattacker som en potentiell säkerhetsrisk. Det innebär att maskintillverkaren vid riskbedömningen måste överväga scenarier där t.ex. fjärrpåverkan på maskinens styrsystem skulle kunna orsaka en olycka. Tillverkaren måste därför utforma åtgärder som förebygger sådana situationer (t.ex. nätverksskydd som förhindrar att en obehörig tar kontroll över maskinen). Maskinförordningen reglerar dock cybersäkerhet endast i den mån den påverkar den fysiska säkerheten för personer som använder maskiner. Detta är en av många delar i maskinens bedömning av överensstämmelse, men den går inte in på detaljerade IT-krav – där finns varken en lista över kryptografiska mekanismer eller ett krav på att uppdatera maskinens programvara efter försäljning. Man kan uttrycka det så att Maskinförordningen ser till att maskinen inte utgör en risk för liv/hälsa (även till följd av en cyberincident), medan CRA tar hand om produktens övergripande cybersäkerhet (inklusive datakonfidentialitet, tjänsternas robusthet och hela livscykeln).

Cyberresiliensakten omfattar ett betydligt bredare spektrum av IT-frågor än maskinförordningen. Även för industrimaskiner ställer CRA till exempel krav på rapportering av sårbarheter, att uppdateringar tillhandahålls i X år samt skydd mot dataförlust – alltså frågor som inte är direkt kopplade till maskinens användarsäkerhet, utan till cybersäkerhet i sig. I praktiken innebär det att en maskin som är en produkt med digitala komponenter kommer att omfattas samtidigt av bestämmelserna i båda förordningarna. Tillverkaren av en sådan maskin måste uppfylla kraven i båda regelverken – dels de som rör en säker konstruktion ur exempelvis mekanisk synvinkel (Maskinförordningen), dels de som rör skydd av programvara, nätverk och data (CRA). Att uppfylla kraven i den ena förordningen innebär inte automatiskt att man uppfyller den andra, eftersom bedömningskriterierna skiljer sig åt.

Ur ett förfarande för bedömning av överensstämmelse gäller att en produkt som omfattas av mer än en EU-förordning måste uppfylla alla tillämpliga krav innan den CE-märks. Exempelvis måste en tillverkare som släpper ut en kollaborativ industrirobot med funktion för fjärrövervakning på marknaden säkerställa att roboten uppfyller de grundläggande säkerhetskraven för maskiner (rozporz. 2023/1230) och de grundläggande kraven på cybersäkerhet (Rozporządzenie (UE) 2024/2847). EU-försäkran om överensstämmelse för en sådan maskin bör ange båda rättsakterna. På motsvarande sätt måste en underhållschef som köper en sådan utrustning kontrollera både överensstämmelse med “maskin-CE” och “cyber-CE”. I praktiken finns det bara en CE-märkning – men dokumentationen måste visa överensstämmelse med alla bestämmelser enligt den nya metoden som gäller för den aktuella produkten.

Det är värt att ange några exempel på vad som omfattas av vilken förordning:

• Rent elektroniska IT-enheter (utan maskinfunktioner) – t.ex. routrar, smarttelefoner, IP-kameror – omfattas inte av Maskinförordningen (eftersom de inte är maskiner), men omfattas av CRA om de har digitala element och kommunicerar via nätverk. För dem är det framför allt cybersäkerheten som är avgörande, och frågor om användarens fysiska säkerhet är inte relevanta (utöver allmänna bestämmelser om arbetsmiljö/EMC).
• Traditionella maskiner utan digital uppkoppling – t.ex. en hydraulpress med helt analog styrning – omfattas av Maskinförordningen (kraven på konstruktion, skydd, säkerhetskretsar osv. måste uppfyllas), men omfattas inte direkt av CRA, eftersom den inte innehåller digitala komponenter som kommunicerar utåt. Självklart kan styrande elektronik i maskinen i sig betraktas som digital utrustning – men så länge det inte finns någon uppkoppling (t.ex. inga nätverksportar, ingen fjärråtkomst) uppfyller den inte definitionen av “produkt med digitala element” i CRA:s mening.
• Moderna maskiner med digitala funktioner – t.ex. robotar, produktionslinjer med IoT, AGV-fordon som kommunicerar med ett ledningssystem – omfattas av båda regelverken. Här kommer Maskinförordningen bl.a. att kräva en traditionell riskbedömning (så att maskinen inte medför mekaniska/elektriska risker) samt ett krav på att t.ex. fjärråtkomst till roboten inte ska kunna orsaka en farlig situation (dvs. att cyberhot som påverkar säkerheten beaktas). CRA kommer i sin tur dessutom att ställa krav på att roboten har generellt säkrad programvara (t.ex. krypterad dataöverföring, unika lösenord), att den uppdateras av tillverkaren och att en upptäckt sårbarhet ska åtgärdas med en patch och rapporteras till myndigheterna. Tillverkaren av sådan utrustning måste därför säkerställa motståndskraft mot cyberangrepp både i fråga om människors säkerhet och driftskontinuitet, datakonfidentialitet m.m.

Sammanfattningsvis konkurrerar inte Maskinförordningen och CRA med varandra, utan kompletterar varandra. Den första värnar om funktionssäkerheten hos maskiner (inklusive minimikrav kopplade till cyber för att maskinen ska vara säker), den andra tar sikte på ett bredare cybersäkerhetsskydd för produkten genom hela livscykeln. För chefer innebär det ett behov av flerdimensionell regelefterlevnad: en smart produkt måste vara både konstruktionsmässigt säker och cybersäker. Därför behöver man följa kraven i båda regelverken. Lyckligtvis ligger tidpunkterna för när de börjar gälla nära varandra – Maskinförordningen kommer också att börja tillämpas i praktiken från januari 2027 (och ersätter då direktivet), och CRA från slutet av 2027. Därför kan man samordna förberedelserna för båda i ett sammanhållet compliance-program. Exempelvis kan man vid konstruktion av en ny maskin direkt ta höjd för både maskinsäkerhetskrav och IT-skydd; under prototyptester kontrollera inte bara överensstämmelse med standarder som ISO 13849 (safety), utan också t.ex. penetrationstester av styrsystemet. Med ett sådant angreppssätt säkerställer företaget en heltäckande regelefterlevnad och undviker en situation där man uppfyller ett regelverk på bekostnad av att ignorera det andra.

Förordning (EU) 2024/2847 är utan tvekan en utmaning för tillverkare och leverantörer, men samtidigt ett nödvändigt svar på dagens verklighet. Maskiner och utrustning blir allt mer intelligenta och uppkopplade – regelverket måste hänga med. Chefer som redan nu vidtar förberedande åtgärder får ett försprång: deras företag kommer inte bara att smidigt anpassa sig till den nya rättsliga ramen, utan också stärka konkurrenskraften och trovärdigheten för sina produkter i kundernas ögon, där digital säkerhet blir lika viktig som pris eller funktionalitet. Med rätt stöd från experter inom maskinsäkerhet och IT kan införandet av CRA-kraven ses som en del av ett kontinuerligt förbättringsarbete, och inte enbart som en regulatorisk skyldighet. I slutändan gynnas både företaget, slutanvändarna och hela det digitala ekosystemet. Säkrare produkter innebär mindre risk för driftstopp, attacker och förluster – och det är ett mål som delas av både lagstiftaren och ansvarstagande aktörer på marknaden.