Förordning (EU) 2024/2847 – Cyberresiliensakten (CRA)

Förordning (EU) 2024/2847 – Cyberresiliensakten (Cyber Resilience Act, CRA) är en ny EU-förordning som inför horisontella cybersäkerhetskrav för “produkter med digitala element”. Den antogs i oktober 2024 och kommer att börja gälla direkt i alla EU-länder, efter övergångsperioder, från slutet av 2027. Som chef inom industrin – oavsett om du ansvarar för underhåll, inköp eller regelefterlevnad – är det klokt att redan nu förstå vilka produkter som omfattas av förordningen, vilka nya skyldigheter den lägger på tillverkare, importörer och distributörer samt hur ni förbereder företaget för de kommande förändringarna. Nedan presenterar vi den viktigaste informationen i ett praktiskt perspektiv, utan juridiskt fikonspråk men med teknisk precision – för att underlätta att vidta rätt förberedande åtgärder.

Tillämpningsområde: vilka produkter omfattas av Cyberresiliensakten?

Förordning (EU) 2024/2847 gäller alla “produkter med digitala element” som tillhandahålls på EU-marknaden och vars avsedda användning omfattar anslutning till en annan enhet eller ett nätverk (direkt eller indirekt, fysiskt eller logiskt). Med andra ord omfattas de nya kraven av de flesta enheter eller programvaror som kan kommunicera med andra system. I praktiken handlar det bland annat om IoT-enheter och konsumentelektronik (t.ex. smartklockor, mobiltelefoner, smarta vitvaror/hemelektronik, elektroniska babyvakter), bärbara enheter (t.ex. aktivitetsarmband), industriell utrustning med nätverksfunktioner (sensorer och industrimaskiner som är uppkopplade mot nätverk) samt olika typer av programvara (operativsystem, mobil- och datorapplikationer, affärsprogramvara m.m.). Det är viktigt att programvara som säljs separat (som en produkt) också omfattas av CRA, liksom fjärrtjänster för databehandling som utgör en integrerad del av produkten – till exempel kommer en molntjänst som styr en smart home-enhet att betraktas som en del av produkten och måste uppfylla säkerhetskraven.

Förordningen har ett mycket brett tillämpningsområde, men innehåller också undantag för vissa produktkategorier som redan regleras av egna sektorsspecifika bestämmelser. CRA omfattar inte bland annat: medicintekniska produkter (som omfattas av förordningarna MDR 2017/745 och 2017/746), fordon och deras utrustning (som bland annat omfattas av förordning 2019/2144 vad gäller typgodkännande av fordon), luftfartyg (förordning 2018/1139 om luftfart) eller marin utrustning (direktiv 2014/90/EU). Dessa produkter har separata regelverk, ofta med krav som redan är anpassade till respektive bransch, och har därför undantagits från CRA:s tillämpningsområde. Dessutom gäller de nya reglerna inte utrustning och programvara som uteslutande är militär eller avsedd för nationell säkerhet (samt behandling av sekretessbelagd information). Undantagna är även reservdelar som levereras som ersättning för identiska komponenter – om originalprodukten lagligen har släppts ut på marknaden behöver den identiska delen inte uppfylla CRA separat.

Det är värt att notera att s.k. fri och öppen programvara (open source) inte kommer att omfattas av CRA, så länge den inte tillhandahålls inom ramen för kommersiell verksamhet. Om en viss programvara alltså utvecklas och publiceras utan kostnad, utanför marknadsomsättningen, betraktas dess upphovsmän (t.ex. open source-communityn) inte som “tillverkare” i förordningens mening och omfattas inte av de skyldigheter som beskrivs nedan. Om ett företag däremot använder en open source-komponent i sin kommersiella produkt, så faller ansvaret för att uppfylla säkerhetskraven på tillverkaren av slutprodukten. Sammanfattningsvis riktar sig CRA främst mot professionellt utvecklade och sålda digitala produkter som når slutanvändare på EU:s inre marknad.

Varför infördes CRA? Nya hot, ett regleringsglapp och leveranskedjan

Europeiska unionen har sett ett akut behov av att stärka cyberresiliensen hos digitala produkter mot växande hot. Under de senaste åren har antalet och variationen av internetanslutna enheter ökat explosionsartat – från industriella IoT-system i fabriker till smarta produkter i hemmet. Tyvärr är cybersäkerhetsnivån för dessa produkter ofta låg, vilket visar sig i utbredda sårbarheter samt otillräcklig och inkonsekvent leverans av säkerhetsuppdateringar. Många tillverkare har hittills inte prioriterat säkerhet genom hela produktens livscykel, och användare saknar ofta både medvetenhet och information om vilka enheter som är säkra, hur länge de kommer att få uppdateringsstöd och hur de kan användas på ett säkert sätt. Denna kombination av faktorer leder till en förhöjd risk för cyberattacker.

Akten om cyberresiliens ska täppa till ett regleringsglapp – hittills har det saknats enhetliga, obligatoriska krav på digital säkerhet för produkter på EU-nivå. Visserligen fanns initiativ som certifieringar av ICT-säkerhet (med stöd av Akten om cybersäkerhet 2019/881) eller kraven i NIS2-direktivet för kritiska sektorer, men ingen lagstiftning införde ett direkt krav på “cybersäkerhet by design” för alla enheter och all programvara som släpps ut på marknaden. CRA skapar just ett sådant universellt ramverk – det tvingar fram att hårdvara och mjukvara utformas, tillverkas och underhålls med robusta skyddsåtgärder under hela livscykeln. Målet är att produkter med färre sårbarheter ska nå marknaden och att tillverkare snabbt ska åtgärda nya hot (t.ex. med säkerhetsuppdateringar), i stället för att lämna användare med osäkra, “läckande” enheter.

Frågan om cyberresiliens har också en leveranskedje- och gränsöverskridande dimension. I en tid där allt är uppkopplat kan en incident i en till synes obetydlig enhet bli en angreppsvektor mot hela organisationen eller affärspartner. En infekterad IoT-sensor i produktionshallen kan öppna en bakdörr in i företagets nätverk; en sårbarhet i en populär applikation kan utnyttjas globalt inom några minuter. Som det framhålls i motiveringen till förordningen kan en cyberincident i en produkt spridas i leveranskedjan över ett lands gränser inom några minuter. Kostnaderna för sådana attacker bärs inte bara av tillverkare och användare, utan av hela samhället – störningar i kritisk infrastruktur, ekonomiska förluster, hot mot den allmänna säkerheten. Gemensamma, obligatoriska regler i hela EU ska höja den övergripande skyddsnivån och förhindra en situation där den svagaste länken (en icke motståndskraftig produkt) utgör en risk för alla.

Ett ytterligare motiv är att öka förtroendet för digitala produkter och skapa mer jämlika konkurrensvillkor. I dag förlorar tillverkare som investerar i säkerhet by design inte sällan prismässigt mot dem som bortser från dessa frågor. CRA ska göra att cybersäkerhet blir en kvalitetsstandard – alla måste uppfylla minimikrav, vilket jämnar ut spelplanen och minskar de samhällskostnader som attacker medför (och som i dag vältras över på offren). Detta ska i sin tur öka motståndskraften på hela EU-marknaden och stärka kundernas förtroende för moderna enheter med digitala komponenter. Akten ingår också i EU:s bredare strategi (tillsammans med RODO, NIS2, DORA m.m.) som syftar till att stärka cybersäkerheten för tjänster och produkter som en grund för den digitala ekonomin.

Förordning (EU) 2024/2847: Huvudsakliga skyldigheter för tillverkare, importörer och distributörer

Den nya förordningen inför en rad konkreta skyldigheter för ekonomiska aktörer som ingår i leveranskedjan för produkter med digitala komponenter. Ansvarsområdet beror på rollen – störst krav ställs på tillverkarna, men även importörer och distributörer har viktiga uppgifter. Nedan sammanfattar vi de centrala skyldigheterna ur perspektivet hos en chef som ansvarar för att företagets produkter följer regelverket.

Skyldigheter för tillverkare

Tillverkaren (liksom en aktör som släpper ut en produkt under eget varumärke eller modifierar den – även denne betraktas som tillverkare) har huvudansvaret för att CRA-kraven uppfylls. Till de viktigaste uppgifterna hör:

• Säkerställa att produkten uppfyller de grundläggande kraven på cybersäkerhet som anges i bilaga I till förordningen. I praktiken innebär det att produkten redan i design- och konstruktionsfasen måste ha egenskaper som garanterar en lämplig nivå av digital säkerhet, proportionerlig mot risken som är kopplad till den aktuella produkten. Förordningen listar ett antal konkreta tekniska krav – bland annat inga kända sårbarheter vid tidpunkten för utsläppande på marknaden, användning av säkra standardkonfigurationer (t.ex. att undvika standardlösenord), kryptering där det är relevant, skydd mot obehörig åtkomst, skydd av användarens personuppgifter, motståndskraft mot attacker som stör funktioner (t.ex. DoS-attacker) samt möjlighet att genomföra återställning till fabriksinställningar. Produkten bör utformas så att dess “attackyta” minimeras – t.ex. genom att inte ha onödiga öppna portar eller tjänster som ökar exponeringen mot cyberhot. Dessa grundläggande krav (del I i bilaga I CRA) utgör en checklista över säkerhetsegenskaper som varje digital produkt måste uppfylla.
• Etablera en process för hantering av sårbarheter och incidenter – tillverkaren måste aktivt värna produktens säkerhet efter försäljning, under hela den deklarerade supportperioden. I del II av bilaga I anges krav på processen för sårbarhetshantering (vulnerability handling): regelbunden testning och övervakning för att upptäcka nya brister, mottagning av rapporter om sårbarheter (t.ex. från forskare eller användare) samt snabb åtgärdning/patchning av upptäckta sårbarheter genom att tillhandahålla säkerhetsuppdateringar. Tillverkaren måste ha en policy för koordinerat offentliggörande av sårbarheter (coordinated disclosure) – dvs. en utsedd kontaktpunkt dit problem kan rapporteras och rutiner för hur sådana rapporter hanteras. Det är viktigt att uppdateringar åtgärdar sårbarheter utan dröjsmål och distribueras på ett säkert sätt (t.ex. digitalt signerade). Det som är särskilt viktigt är att tillverkaren är skyldig att säkerställa support och säkerhetsuppdateringar under en period som motsvarar produktens förväntade livscykel, minst 5 år (om inte produktens karaktär motiverar en kortare period). Med andra ord: om vår utrustning typiskt ska användas av kunder i ~5+ år kan vi inte sluta släppa patchar efter ett eller två år – flera års support efter leverans kommer att krävas, så att användaren inte blir kvar med en sårbar enhet.
• Genomföra en cybersäkerhetsriskbedömning – innan en produkt med digitala element släpps ut på marknaden måste tillverkaren genomföra en systematisk riskanalys av cyberhot kopplade till produkten. Riskbedömningen bör vara en del av designprocessen (security by design) och omfatta bl.a. produktens avsedda användning, tänkbara felaktiga användningar samt användningsförhållanden (IT-miljö, nätverk, typ av data som enheten behandlar). Utifrån denna analys ska lämpliga skyddsåtgärder planeras och byggas in i konstruktionen. Dokumentationen från riskbedömningen i cybermiljön blir en del av produktens tekniska dokumentation och måste uppdateras om nya hot uppstår. Tillverkaren är skyldig att bevara dokumentationen i minst 10 år från det att produkten släpps ut på marknaden (och om den deklarerade supportperioden är längre än 10 år – motsvarande längre). Riskbedömningen är inte en engångsinsats – den ska verifieras och uppdateras vid behov, särskilt när nya sårbarheter upptäcks eller när produktens användningskontext förändras.
• Kontroll av externa komponenter – tillverkaren måste iaktta tillbörlig aktsamhet vid användning av tredjepartskomponenter, inklusive open source-bibliotek. Det ska säkerställas att externa komponenter (mjukvara och hårdvara) inte äventyrar produktens samlade cybersäkerhet. I praktiken innebär det att man behöver ha kontroll på versioner och uppdateringar av använda bibliotek, bevaka kända sårbarheter (t.ex. publicerade i CVE) i dessa komponenter samt uppdatera/byta ut dem när brister uppstår. Om öppen källkod har använts i produkten och en sårbarhet upptäcks i den, är tillverkaren skyldig att informera den part som ansvarar för underhållet av den aktuella open source-lösningen (t.ex. open source-projektet) om problemet, och om tillverkaren själv åtgärdar sårbarheten på egen hand – förmedla information till communityn om den genomförda korrigeringen. Syftet är att involvera tillverkare i ekosystemet för koordinerad patchning av brister även i open source-komponenter.
• Formell bedömning av överensstämmelse och dokument – innan produkten släpps ut på marknaden måste tillverkaren genomföra ett förfarande för bedömning av överensstämmelse med CRA-kraven och upprätta dokumentation som bekräftar att kraven uppfylls. För de flesta “vanliga” produkter (som inte klassas som förhöjd risk) räcker det med intern kontroll (intern bedömning) och att ta fram teknisk dokumentation som bl.a. innehåller produktbeskrivning, resultat av riskanalys, en lista över tillämpade säkerhetsåtgärder, rutiner för testning och uppdateringar m.m. Därefter utfärdar tillverkaren en EU-försäkran om överensstämmelse, där det intygas att produkten uppfyller alla tillämpliga CRA-krav, och sätter CE-märkning på produkten. Observera: om en produkt har klassificerats som “viktig” eller “kritisk” ur cybersäkerhetssynpunkt (Annex III och IV CRA) kan strängare förfaranden för bedömning av överensstämmelse gälla. För viktiga produkter klass II samt kritiska produkter krävs tredjepartscertifiering, dvs. provning och certifikat utfärdat av ett anmält organ (t.ex. ett ackrediterat laboratorium). För viktiga produkter klass I tillåts egenförsäkran endast om det finns relevanta harmoniserade standarder som tillverkaren använder – annars krävs även här medverkan av tredje part. En chef bör därför fastställa vilken kategori företagets produkt tillhör och om extern certifiering behöver planeras (vilket kan påverka tidplanen för att släppa produkten på marknaden).
• Övervakning av säkerheten efter utsläppande på marknaden och rapportering – en nyhet som CRA inför är skyldigheten att rapportera allvarliga säkerhetsproblem till relevanta myndigheter. Tillverkaren måste anmäla varje sårbarhet i den egna produkten som aktivt utnyttjas samt varje allvarlig incident som påverkar produktens säkerhet till den nationella CSIRT (insats-/incidenthanteringsteamet) som utsetts som koordinator och till ENISA. Tidsfristen för anmälan är mycket kort – 24 timmar från upptäckt av sårbarheten/händelsen (i linje med kraven i GDPR eller NIS2). Rapporteringen kommer att ske via en gemensam europeisk plattform som drivs av ENISA. Rapporteringsskyldigheten börjar gälla tidigare än övriga krav (september 2026 – se tidsfrister nedan) och kommer från den tidpunkten att omfatta alla produkter på marknaden. Därför måste tillverkaren ha interna rutiner som kan upptäcka en incident/sårbarhet och inom ett dygn lämna den information som förordningen kräver. Syftet är att ge tillsynsmyndigheter en överblick över framväxande hot och samordna responsen (t.ex. varna andra användare när en produkt har en kritisk sårbarhet).

Ovanstående skyldigheter kräver ofta omfattande organisatoriska förändringar – från införande av Secure SDLC i FoU-avdelningen, via nya policyer för produktunderhåll och support, till kompletterande dokumentation och utbildning av personal. I gengäld får företaget större trygghet i att dess produkt inte blir en källa till en allvarlig cyberincident, samt efterlevnad av kommande lagstiftning, vilket möjliggör fortsatt försäljning på EU-marknaden.

Förordning (EU) 2024/2847: Importörers och distributörers skyldigheter

Aktörer som tar in produkter med digitala komponenter från länder utanför EU (importörer) eller säljer dem vidare på unionsmarknaden (distributörer) måste också säkerställa att dessa produkter uppfyller CRA. Deras roll handlar främst om verifiering och att agera vid eventuella brister i efterlevnaden.

Importören måste innan en produkt släpps ut på EU-marknaden kontrollera att tillverkaren har uppfyllt sina skyldigheter – med andra ord att produkten har erforderlig CE-märkning och EU-försäkran om överensstämmelse, att bruksanvisningar och säkerhetsinformation har bifogats samt att tillverkaren har tagit fram den tekniska dokumentation som krävs. Importören behöver inte själv testa produktens cybersäkerhet, men om det finns välgrundade tvivel om att produkten uppfyller kraven (t.ex. avsaknad av CE-märkning, ingen information om supportperioden etc.) bör importören inte tillhandahålla produkten på marknaden förrän det är säkerställt att bristen har åtgärdats. Om det konstateras att produkten inte uppfyller CRA-kraven är importören skyldig att informera tillsynsmyndigheterna och vidta korrigerande åtgärder – se till att produkten bringas i överensstämmelse och, om det inte är möjligt, dra tillbaka den från distribution eller från marknaden. Importörer måste, liksom tillverkare, bevara en kopia av försäkran om överensstämmelse och se till att den tekniska dokumentationen kan göras tillgänglig för myndigheter på begäran. De ska också ange sina kontaktuppgifter på produkten (eller förpackningen) och säkerställa att produkten är korrekt märkt. I praktiken fungerar importörens roll som en säkerhetsgrind – att inte släppa igenom produkter till distribution i EU som saknar “papper” som visar att CRA uppfylls.

Distributörer (nationella grossister, detaljhandlare m.fl.) befinner sig i en liknande situation som importörer, med skillnaden att de kontrollerar att kraven uppfylls både av tillverkaren och av en eventuell importör om produkten kommer från ett land utanför EU. Distributören bör därför före vidareförsäljning kontrollera att varan är CE-märkt, att försäkran eller de instruktioner som krävs enligt lag är bifogade, samt att det inte har publicerats meddelanden om att den aktuella modellen inte uppfyller säkerhetskraven. Vid tveksamheter har distributören också en skyldighet att stoppa försäljningen tills frågan har klarlagts. Om distributören bedömer (eller får information om) att produkten utgör en allvarlig risk eller inte uppfyller CRA-kraven ska distributören informera tillverkaren eller importören samt tillsynsmyndigheterna och samarbeta vid korrigerande åtgärder (t.ex. vid återkallelser från marknaden).

Ur en inköpschefs perspektiv innebär dessa regler att man måste vara mer vaksam vid val av leverantörer av hårdvara/mjukvara. Man behöver säkerställa att motparter utanför EU levererar produkter som redan är CRA-kompatibla, annars kommer vårt företag (som importör) att bära ansvaret för bristerna. För en distributör (t.ex. ett företag som handlar med automation) tillkommer dessutom skyldigheten att följa upp att produkter från olika varumärken i sortimentet har aktuella försäkringar om överensstämmelse och uppfyller kraven – i praktiken kräver detta nära samarbete med tillverkare och snabb respons på alla säkerhetsvarningar som rör de sålda enheterna.

Värt att notera: om importören eller distributören släpper ut en produkt under egen logotyp/eget varumärke eller modifierar produkten (t.ex. ändrar funktionalitet, programvara eller konfiguration på ett sätt som är väsentligt för cybersäkerheten), så blir aktören själv tillverkare av produkten enligt förordningen. Då måste aktören ta över alla tillverkarens skyldigheter (genomföra bedömning av överensstämmelse, utfärda egen försäkran osv.). Detta gäller t.ex. systemintegratörer som säljer OEM-enheter under sitt eget varumärke – de måste vara mycket försiktiga, eftersom de formellt ansvarar för efterlevnaden på samma sätt som den ursprungliga tillverkaren.

Ikraftträdande och övergångsperioder

Förordning (EU) 2024/2847 publicerades i Europeiska unionens officiella tidning den 20 november 2024. Den trädde i kraft den 10 december 2024 (20 dagar efter publicering), men de huvudsakliga skyldigheterna börjar gälla först efter 36 månader från detta datum. Lagstiftaren har alltså föreskrivit en lång övergångsperiod för att ge branschen tid att anpassa sig. Här är de viktigaste datumen:

• 11 september 2026 – från och med denna dag börjar skyldigheterna att rapportera sårbarheter och incidenter gälla. Tillverkaren av varje produkt med digitala element som finns på EU-marknaden måste rapportera alla aktivt utnyttjade sårbarheter samt allvarliga säkerhetsincidenter som rör produkten till behöriga myndigheter. Detta datum infaller 21 månader efter att CRA trätt i kraft och innebär att företag redan under 2026 måste ha rutiner för säkerhetsövervakning och rapportering av problem på plats. Detta är inte beroende av när produkten släpptes på marknaden – det omfattar även produkter som sålts före 2026 och fortfarande används. Med andra ord: även om en enhet sattes på marknaden t.ex. 2025 (innan förordningen började gälla) och en kritisk sårbarhet upptäcks i september 2026, är tillverkaren skyldig att rapportera den och åtgärda den.
• 11 juni 2026 – från och med denna dag ska bestämmelserna om anmälda organ och organ för bedömning av överensstämmelse börja gälla. Medlemsstaterna ska fram till mitten av 2026 förbereda ett system för att utse och anmäla organ som får behörighet att certifiera produkter (viktiga och kritiska) avseende uppfyllandet av CRA-kraven. För tillverkare är det viktigt att det under andra halvåret 2026 redan finns en infrastruktur för att genomföra de tester och den certifiering som krävs.
• 11 december 2027 – full tillämpning av CRA-förordningen. Från och med denna dag får ingen produkt med digitala element som inte uppfyller CRA-kraven lagligen släppas ut på marknaden inom EU. Denna tidsfrist (3 år från ikraftträdandet) är sista datum för att anpassa produkter och processer. Efter 11.12.2027 måste alla nya enheter och all ny programvara som säljs i EU vara utformade, tillverkade och underhållna i enlighet med CRA – annars riskerar företaget kännbara sanktioner. Det är värt att betona att reglerna ger en viss lättnad för produkter som redan finns på marknaden: om en viss produkt (ett specifikt exemplar) redan har tillhandahållits på marknaden före den 11 december 2027, kan den fortsätta att omsättas utan att uppfylla CRA. Detta gäller dock endast enskilda exemplar – en produkttyp som tagits fram före CRA får inte automatiskt ett undantag. Varje ny batch, varje nytt exemplar som släpps till försäljning efter detta datum måste vara CRA-kompatibelt, om det inte redan fysiskt fanns i omlopp tidigare (vilket i praktiken kan innebära t.ex. ett lager hos en distributör som redan köpt varorna före tidsfristen). Det går alltså inte att kringgå reglerna genom att producera “på lager” och sälja efter 2027 – varje produkt omfattas av de aktuella kraven vid tidpunkten då den släpps ut på marknaden. Ett undantag är fortfarande giltiga EU-typintyg som utfärdats före detta datum enligt andra regelverk – de förblir giltiga till juni 2028, om inte en kortare giltighetstid har angetts.

För företag är den praktiska slutsatsen att den verkliga deadlinen är slutet av 2027. Från 2028 kommer vi inte att kunna sälja enheter i EU som inte uppfyller CRA-kraven. Samtidigt måste man redan 2026 vara redo för de nya skyldigheterna att rapportera incidenter. Den återstående tiden bör användas till att analysera och anpassa produkterna. Även om 3 år kan verka som gott om tid, kan förändringarna visa sig vara omfattande – det är bättre att starta arbetet i god tid. Nedan presenterar vi en checklista över åtgärder som en chef bör överväga när organisationen förbereds för att uppfylla kraven i akten om cyberresiliens.

Förordning (EU) 2024/2847: Så förbereder du dig inför 2026/2027 – checklista för chefer

• Identifiera produkter som omfattas av CRA – Ta fram en lista över företagets produkter som är “produkter med digitala element” (hårdvara eller programvara som ansluter till nätverk/andra enheter). För varje produkt, avgör om den kan klassas som viktig eller kritisk enligt förordningen (Annex III/IV) – t.ex. om den utför väsentliga säkerhetsfunktioner eller om en kompromettering kan orsaka omfattande skada. Denna klassificering påverkar bl.a. vilken procedur för bedömning av överensstämmelse som krävs (om tredjepartsmedverkan behövs).
• Sätt dig in i kraven och standarderna – Gå igenom de grundläggande cybersäkerhetskraven i bilaga I till CRA och koppla dem till dina produkter. Kontrollera om det redan finns relevanta harmoniserade standarder eller branschstandarder som kan underlätta att uppfylla kraven (t.ex. standarder i IEC 62443 -familjen för skydd av system inom industriell automation kan vara till hjälp vid utformning av maskinsäkerhet). Håll dig uppdaterad om standardiseringsarbetet – det kan komma riktlinjer som förenklar implementeringen av CRA-kraven inom ditt område.
• Genomför en gap analysis – Jämför nuläget för dina produkter och processer med de nya kraven. Bedöm i vilken utsträckning den nuvarande skyddsnivån uppfyller kraven (t.ex. om enheterna har mekanismer för autentisering, kryptering, säkra uppdateringar osv.). Analysera företagets process för programvaruutveckling – om principer för secure coding tillämpas, om penetrationstester genomförs, och hur snabbt ni reagerar på rapporterade sårbarheter. Identifiera brister och förbättringsområden inom både organisation (rutiner) och teknik (säkerhetsfunktioner).
• Anpassa produktdesign och utveckling – Om gap-analysen visar brister, planera införandet av saknade mekanismer och arbetssätt. Det kan omfatta ändringar i produktens arkitektur (t.ex. lägga till en krypteringsmodul, säkra kommunikationsgränssnitt), förbättring av SDLC (Software Development Life Cycle) med inslag som threat modeling, säkerhetsinriktad code review, fuzzingtester osv., samt att etablera nya policyer för produktsäkerhet. Säkerställ att R&D-teamet behandlar cybersäkerhet som ett designkrav på samma nivå som funktionalitet – förordningen kräver ett “security by design/default”-angreppssätt.
• Planera ett system för uppdateringar och support – Analysera om ditt företag är redo att stödja produkterna under tillräckligt lång tid. Det kan behövas en plan och resurser för att ge ut regelbundna uppdateringar av programvara och firmware i flera år efter försäljning. Kontrollera om produkterna har tekniska möjligheter till uppdatering (på distans eller lokalt) – om inte är det ett allvarligt problem, eftersom CRA kräver möjlighet att åtgärda sårbarheter efter försäljning. Fastställ en realistisk supportperiod (minimum 5 år) och kommunicera den till användarna. Ta även fram en plan för teknisk hantering av säkerhetsärenden som rapporteras av kunder.
• Ta fram den dokumentation som krävs – Säkerställ att det för varje produkt tas fram komplett teknisk dokumentation ur ett cybersäkerhetsperspektiv. Den bör bl.a. innehålla en rapport från riskbedömningen, en beskrivning av säkerhetsarkitekturen, en lista över tillämpade åtgärder (t.ex. kryptering, behörighetskontroll), resultat från säkerhetstester, rutiner för uppdateringar, policy för sårbarhetsrapportering/ansvarsfullt offentliggörande osv. Denna dokumentation blir grunden för att kunna visa överensstämmelse vid en kontroll (och eventuellt för att lämna in till ett certifieringsorgan). Organisera också processen för arkivering under den period som krävs (10 år eller mer). Ta dessutom fram mallar för EU-försäkran om överensstämmelse för dina produkter – och kom ihåg att de måste innehålla en ny formulering som bekräftar att alla krav i förordningen uppfylls.
• Säkerställ leverantörskedjan – Kontakta leverantörer av komponenter (särskilt programvara, IoT-moduler osv.) för att diskutera frågor om CRA-överensstämmelse. Uppdatera leverantörsavtal genom att införa klausuler om den cybersäkerhetsnivå som krävs för delkomponenter och skyldighet att informera om upptäckta sårbarheter. Säkerställ att du har tillgång till information om komponenternas ursprung och versioner (håll en SBOM – Software Bill of Materials för produkterna, vilket underlättar spårning av sårbarheter i beroende bibliotek). Om du använder externa molntjänster kopplade till produkten, kontrollera deras skydd och överensstämmelse med NIS2 (eftersom SaaS kan omfattas av NIS2 i stället för CRA). Produktens cybersäkerhet är också säkerheten i alla byggblock den består av – leverantörerna måste arbeta mot samma mål.
• Utbilda personalen och informera kunderna – De nya skyldigheterna innebär att olika avdelningar i företaget behöver grundläggande kunskap om CRA. Genomför utbildningar för konstruktions-/utvecklingsavdelningen, kvalitet, IT och service om förordningens krav och interna rutiner (t.ex. hur man hanterar en sårbarhetsrapport, hur man dokumenterar ändringar ur ett överensstämmelseperspektiv). Det är också bra att informera inköp och försäljning så att de är medvetna om nya märkningar och deklarationer (t.ex. behovet av att kontrollera att en leverantör utanför EU har levererat en försäkran om överensstämmelse). Överväg att ta fram information till kunder om era produkters säkerhetspolicy – transparens kan bli en konkurrensfördel (användare kommer att börja titta på om en produkt uppfyller cyberkraven och har garanterade uppdateringar).
• Följ riktlinjer och tidsfrister – Följ meddelanden från Europeiska kommissionen och nationella myndigheter om CRA. Det kan komma delegerade akter eller genomförandeakter som förtydligar vissa frågor (t.ex. sektorsvisa undantag – kommissionen kan besluta att undanta produkter från CRA som omfattas av likvärdiga sektorsspecifika krav). Följ även processen för publicering av harmoniserade standarder – att tillämpa en standard blir den enklaste vägen till presumtion om överensstämmelse. Säkerställ att de nämnda tidsfristerna hålls: september 2026 (beredskap för incidentrapportering) och december 2027 (full överensstämmelse för alla nya produkter). Sätt helst interna milstolpar långt tidigare – t.ex. slutföra en inledande riskanalys till mitten av 2025, anpassa utvecklingsprocessen till slutet av 2025, genomföra överensstämmelsetester och förcertifieringar under 2026 osv., så att ni går in i 2027 med kraven i stort sett uppfyllda. Att bli överraskad i sista stund kan leda till försäljningsstopp, så ett proaktivt arbetssätt är avgörande.

Att göra den här “läxan” i god tid gör att du slipper stressig panik 2027 och de risker som följer med det. I stället för att se CRA enbart som ett krav är det värt att betrakta det som en möjlighet att höja den övergripande produktsäkerhetsnivån – vilket skyddar både företaget och kunderna från kostsamma incidenter.

CRA och Maskinförordningen (EU) 2023/1230 – vad omfattas av vad?

Många chefer inom industrin funderar på hur de nya reglerna om cyberresiliens förhåller sig till den redan välkända Maskinförordningen (EU) 2023/1230 (som kommer att ersätta Maskindirektivet). Uppstår det dubbla krav, eller kompletterar förordningarna varandra? Avgörande är att förstå vilka aspekter av produkten som regleras av respektive rättsakt.

Maskinförordningen 2023/1230 omfattar maskinsäkerhet i traditionell mening – den fokuserar på att skydda hälsa och säkerhet för dem som använder maskiner. Den anger de s.k. grundläggande hälso- och säkerhetskraven (EHSR), som bl.a. rör mekaniska och elektriska aspekter, ergonomi, buller, EMC osv. Den nya maskinförordningen har visserligen också infört ett krav på att beakta risker kopplade till internetåtkomst och cyberattacker som en potentiell säkerhetsrisk. Det innebär att maskintillverkaren vid riskbedömningen måste överväga scenarier där t.ex. fjärrpåverkan på maskinens styrsystem skulle kunna orsaka en olycka. Tillverkaren måste därför utforma åtgärder som förebygger sådana situationer (t.ex. nätverksskydd som förhindrar att obehöriga tar kontroll över maskinen). Men maskinförordningen reglerar cybersäkerhet endast i den mån den påverkar den fysiska säkerheten för personer som hanterar maskiner. Det är en av många delar i maskinens bedömning av överensstämmelse, men den går inte in på detaljerade IT-krav – där finns varken en lista över kryptografiska mekanismer eller ett krav på att uppdatera maskinens programvara efter försäljning. Man kan uttrycka det så att Maskinförordningen ser till att maskinen inte utgör en risk för liv/hälsa (även till följd av en cyberincident), medan CRA säkerställer produktens övergripande cybersäkerhet (inklusive datakonfidentialitet, tjänsters robusthet och hela livscykeln).

Akten om cyberresiliens omfattar ett betydligt bredare spektrum av IT-frågor än maskinförordningen. Även för industrimaskiner ställer CRA t.ex. krav på rapportering av sårbarheter, att uppdateringar tillhandahålls i X år, skydd mot dataförlust – alltså frågor som inte är direkt kopplade till användarens säkerhet, utan till cybersäkerhet i sig. I praktiken innebär det att en maskin som är en produkt med digitala element kommer att omfattas samtidigt av båda förordningarna. Tillverkaren av en sådan maskin måste uppfylla kraven i båda rättsakterna – både de som gäller en konstruktion som är säker ur t.ex. mekanisk synvinkel (Maskinförordningen) och de som gäller skydd av programvara, nätverk och data (CRA). Att uppfylla kraven i den ena förordningen innebär inte automatiskt att man uppfyller den andra, eftersom bedömningskriterierna skiljer sig åt.

Ur ett förfarande för bedömning av överensstämmelse gäller att en produkt som omfattas av mer än en EU-förordning måste uppfylla alla tillämpliga bestämmelser innan CE-märkning. Exempelvis måste en tillverkare som släpper ut en kollaborativ industrirobot med funktion för fjärrövervakning på marknaden säkerställa att roboten uppfyller de grundläggande maskinsäkerhetskraven (förordn. 2023/1230) och de grundläggande cybersäkerhetskraven (Förordning (EU) 2024/2847). EU-försäkran om överensstämmelse för en sådan maskin bör ange båda rättsakterna. Samtidigt måste en underhållschef som köper en sådan utrustning kontrollera både överensstämmelse med “maskin-CE” och “cyber-CE”. I praktiken finns det bara en CE-märkning – men dokumentationen måste visa överensstämmelse med alla bestämmelser enligt den nya metoden som gäller för den aktuella produkten.

Det är värt att ange några exempel på vad som omfattas av vilken förordning:

• Rent elektroniska IT-produkter (utan maskinfunktioner) – t.ex. routrar, smartphones, IP-kameror – omfattas inte av Maskinförordningen (eftersom de inte är maskiner), men omfattas av CRA om de har digitala komponenter och kommunicerar via nätverk. I deras fall är det framför allt cybersäkerheten som är avgörande, och frågor om användarens fysiska säkerhet är inte relevanta (utöver allmänna regler om arbetsmiljö/EMC).
• Traditionella maskiner utan digital uppkoppling – t.ex. en hydraulpress med helt analog styrning – omfattas av Maskinförordningen (krav måste uppfyllas avseende konstruktion, skydd, säkerhetskretsar osv.), men omfattas inte direkt av CRA eftersom den inte innehåller digitala komponenter som kommunicerar utåt. Om det finns styrande elektronik i maskinen kan den i sig betraktas som digital utrustning – men så länge det saknas uppkoppling (t.ex. inga nätverksportar, ingen fjärråtkomst) uppfyller den inte definitionen av en “produkt med digitala element” i CRA:s mening.
• Moderna maskiner med digitala funktioner – t.ex. robotar, produktionslinjer med IoT, AGV-fordon som kommunicerar med ett ledningssystem – omfattas av båda regelverken. Här kräver Maskinförordningen bl.a. en traditionell riskbedömning (så att maskinen inte medför mekaniska/elektriska risker) samt att t.ex. fjärråtkomst till roboten inte kan leda till en farlig situation (dvs. att cyberhot som påverkar säkerheten beaktas). CRA ställer dessutom krav på att roboten har generellt säkrad programvara (t.ex. krypterad dataöverföring, unika lösenord), att den uppdateras av tillverkaren och att en upptäckt sårbarhet ska åtgärdas med en patch och rapporteras till myndigheterna. Tillverkaren av sådan utrustning måste därför säkerställa motståndskraft mot cyberangrepp både i fråga om människors säkerhet och driftskontinuitet, datakonfidentialitet m.m.

Sammanfattningsvis konkurrerar Maskinförordningen och CRA inte med varandra, utan kompletterar varandra. Den första värnar om maskiners funktionssäkerhet (inklusive minimikrav kopplade till cyber så att maskinen är säker), den andra om en bredare cybersäkerhet för produkten genom hela livscykeln. För chefer innebär det ett behov av flerdimensionell regelefterlevnad: en intelligent produkt måste vara både konstruktionsmässigt säker och cybersäker. Man behöver därför följa kraven i båda regelverken. Lyckligtvis ligger tidpunkterna för när de börjar tillämpas nära varandra – Maskinförordningen börjar också tillämpas i praktiken från januari 2027 (och ersätter direktivet), och CRA från slutet av 2027. Därför kan man samordna förberedelserna för båda i ett sammanhållet compliance-program. Exempelvis kan man vid konstruktion av en ny maskin direkt ta höjd för både maskinsäkerhetskrav och IT-skydd; vid provning av prototypen kontrollera inte bara överensstämmelse med standarder som ISO 13849 (safety), utan också t.ex. penetrationstester av styrsystemet. Med ett sådant angreppssätt säkerställer företaget en heltäckande efterlevnad och undviker en situation där man uppfyller ett regelverk på bekostnad av att ignorera det andra.

Förordning (EU) 2024/2847 är utan tvekan en utmaning för tillverkare och leverantörer, men samtidigt ett nödvändigt svar på dagens verklighet. Maskiner och utrustning blir allt mer intelligenta och uppkopplade – regelverken måste hänga med. Chefer som redan nu vidtar förberedande åtgärder får ett försprång: deras företag kommer inte bara att smidigt kliva in i den nya rättsliga ramen, utan också stärka konkurrenskraften och trovärdigheten för sina produkter i kundernas ögon, där digital säkerhet blir lika viktig som pris eller funktionalitet. Med rätt stöd från experter inom maskinsäkerhet och IT kan införandet av CRA-kraven ses som en del av kontinuerlig förbättring, och inte bara som en regulatorisk skyldighet. I slutänden gynnas både företaget, slutanvändarna och hela det digitala ekosystemet. Säkrare produkter innebär mindre risk för driftstopp, angrepp och förluster – och det är ett mål som delas av både lagstiftaren och ansvarstagande aktörer på marknaden.