Vad är CRA?

Cyber Resilience Act är en EU-förordning som ställer cybersäkerhetskrav på produkter med digitala element under hela deras livscykel. Förordningen är direktverkande i alla medlemsstater och behöver inte införlivas i svensk lag för att gälla. CRA fyller en lucka i EU:s produktlagstiftning: tidigare fanns inga genomgående cybersäkerhetskrav på hård- och mjukvara som släpps ut på marknaden, vilket innebar att sårbara produkter kunde säljas lagligt och att köparen sällan visste hur länge produkten skulle få säkerhetsuppdateringar.

CRA bygger på samma logik som EU:s övriga produktregelverk under den nya lagstiftningsramen: tillverkaren bär ansvaret för att produkten uppfyller väsentliga krav, visar det genom en bedömning av överensstämmelse, upprättar teknisk dokumentation och fäster CE-märkning. CRA trädde i kraft 10 december 2024 och fasas in i steg, där rapporteringsskyldigheterna börjar gälla 11 september 2026 och huvuddelen av skyldigheterna 11 december 2027.

Vad är en produkt med digitala element?

CRA gäller produkter med digitala element, vilket innebär en programvaru- eller hårdvaruprodukt och dess fjärrbehandlingslösningar, om produkten har en direkt eller indirekt logisk eller fysisk dataanslutning till en enhet eller ett nät. Definitionen är avsiktligt bred och fångar både fysiska anslutna produkter och fristående programvara som säljs separat.

  • Anslutna fysiska produkter: routrar, brandväggar, smarta kameror, larm, sensorer, industriell styrutrustning, smarta hushållsapparater.
  • Fristående programvara: operativsystem, mobilappar, desktop-program, bibliotek och komponenter som släpps ut på marknaden.
  • Komponenter som släpps ut separat: processorer, mikrokontroller och programvarubibliotek som säljs för att byggas in i andra produkter.
  • Fjärrbehandlingslösningar: molnsidan av en produkt vars funktion krävs för att produkten ska fungera som avsett.
Undantag finns. Produkter som redan regleras av annan EU-rätt med likvärdiga cybersäkerhetskrav faller utanför CRA, exempelvis medicintekniska produkter, fordon och viss luftfartsutrustning. Programvara som tillhandahålls som en ren tjänst utan att släppas ut på marknaden som produkt, samt fri programvara med öppen källkod som utvecklas utanför kommersiell verksamhet, behandlas särskilt och har lättade eller inga skyldigheter.

Vem omfattas av CRA?

CRA lägger huvudansvaret på tillverkaren men fördelar skyldigheter genom hela leveranskedjan. Tre roller är centrala:

  • Tillverkare: den som utvecklar eller tillverkar en produkt med digitala element, eller låter konstruera eller tillverka en sådan produkt och marknadsför den under eget namn eller varumärke. Tillverkaren bär det fulla ansvaret för väsentliga krav, sårbarhetshantering, teknisk dokumentation och rapportering.
  • Importörer: den som släpper ut en produkt från ett land utanför EU på unionsmarknaden. Importören ska kontrollera att tillverkaren har gjort bedömning av överensstämmelse, upprättat dokumentation och fäst CE-märkning, och får inte släppa ut produkter som inte uppfyller kraven.
  • Distributörer: den som tillhandahåller en produkt på marknaden i ett senare led. Distributören ska kontrollera att produkten bär CE-märkning och att tillverkare och importör har uppfyllt sina skyldigheter, samt agera vid kännedom om bristande överensstämmelse.
En importör eller distributör som marknadsför en produkt under eget namn eller varumärke, eller som ändrar en redan utsläppt produkt väsentligt, övertar tillverkarens skyldigheter. Rollen avgörs av vad aktören faktiskt gör, inte av hur företaget kallar sig.

Produktklasser och bedömning av överensstämmelse

CRA delar in produkter efter risk. Klassningen avgör hur sträng bedömningen av överensstämmelse måste vara. Ju högre kritikalitet, desto mer formell granskning.

KlassExempel på produkterBedömning av överensstämmelse
StandardprodukterMerparten av alla produkter med digitala element, exempelvis vanliga appar, smarta hushållsprodukter och de flesta IoT-produkterIntern kontroll av tillverkaren själv mot väsentliga krav
Viktiga produkter klass ILösenordshanterare, nätverkshanteringsverktyg, VPN, antivirus, vissa IoT-produkter och routrar för hem och små kontorTillämpning av harmoniserad standard, eller bedömning av tredje part
Viktiga produkter klass IIBrandväggar, system för intrångsdetektering, mikrokontroller och processorer med säkerhetsfunktioner, viss industriell utrustningBedömning av tredje part (anmält organ) i fler fall
Kritiska produkterProdukter med särskilt hög risk där kommissionen kan kräva europeisk cybersäkerhetscertifiering, exempelvis vissa hårdvarubaserade säkerhetsmoduler och smarta mätareKan kräva europeisk cybersäkerhetscertifiering enligt cybersäkerhetsakten
De flesta produkter hamnar i kategorin standardprodukter och bedöms genom tillverkarens egen interna kontroll. Det innebär inte mindre ansvar, bara en mindre formell väg till CE-märkning. De väsentliga kraven gäller lika fullt.

Centrala krav i CRA

CRA:s väsentliga krav finns i bilaga I och delas i två delar: krav på produktens cybersäkerhetsegenskaper och krav på tillverkarens hantering av sårbarheter. Kraven ska uppfyllas utifrån en riskbedömning som dokumenteras.

  • Säkerhet inbyggd från start. Produkten ska konstrueras, utvecklas och tillverkas så att den ger en lämplig cybersäkerhetsnivå utifrån risken, utan kända exploaterbara sårbarheter när den släpps ut.
  • Säker grundkonfiguration. Produkten ska levereras med en säker standardinställning och möjlighet att återställa till den. Inga hårdkodade standardlösenord.
  • Sårbarhetshantering under hela supportperioden. Tillverkaren ska identifiera och åtgärda sårbarheter, ha en samordnad process för rapportering och tillhandahålla säkerhetsuppdateringar.
  • SBOM. Tillverkaren ska upprätta en programvaruförteckning (Software Bill of Materials), en strukturerad lista över de komponenter och beroenden produkten innehåller, i ett vanligt förekommande och maskinläsbart format.
  • Säkerhetsuppdateringar. Uppdateringar som åtgärdar sårbarheter ska tillhandahållas utan dröjsmål och, där det är möjligt, automatiskt med möjlighet för användaren att välja bort.
  • Supportperiod. Tillverkaren ska fastställa och kommunicera en supportperiod som speglar hur länge produkten förväntas användas, som utgångspunkt minst fem år om inte produktens förväntade livslängd är kortare.
  • CE-märkning. När produkten uppfyller kraven och bedömningen av överensstämmelse är gjord fäster tillverkaren CE-märkning och upprättar en EU-försäkran om överensstämmelse.

Rapporteringsplikt: aktivt utnyttjade sårbarheter och allvarliga incidenter

En av CRA:s mest konkreta nyheter är skyldigheten i artikel 14 att rapportera aktivt utnyttjade sårbarheter och allvarliga incidenter som påverkar produktens säkerhet. Rapporteringen sker via en gemensam europeisk plattform till den CSIRT som utsetts som samordnare och till ENISA, EU:s cybersäkerhetsbyrå.

  • Tidig varning ska lämnas utan onödigt dröjsmål och senast 24 timmar efter att tillverkaren fått kännedom om en aktivt utnyttjad sårbarhet eller en allvarlig incident.
  • Sårbarhetsanmälan eller incidentanmälan med mer information ska lämnas senast 72 timmar efter kännedom.
  • Slutrapport med åtgärder och analys ska lämnas inom en månad efter att en sårbarhet åtgärdats eller en incident hanterats.
I Sverige drivs CSIRT-funktionen av CERT-SE vid MCF (Myndigheten för civilt försvar, tidigare MSB, namnbyte 1 januari 2026). Den gemensamma plattformen och ENISA är gemensamma EU-funktioner. Rapporteringskedjan i CRA liknar NIS2:s 24-timmars- och 72-timmarslogik, men gäller produktens sårbarheter och inte organisationens egen drift.

Tidslinje för CRA

CRA fasas in i steg. Tillverkare bör planera bakåt från det datum då deras skyldigheter börjar gälla, inte från ikraftträdandet.

DatumVad som gäller
10 december 2024Förordningen träder i kraft. Infasningen startar. Inga operativa skyldigheter än.
11 september 2026Rapporteringsskyldigheterna i artikel 14 börjar gälla. Tillverkare ska kunna rapportera aktivt utnyttjade sårbarheter och allvarliga incidenter via den gemensamma plattformen.
11 december 2027Huvuddelen av skyldigheterna börjar gälla. Väsentliga krav, sårbarhetshantering, teknisk dokumentation, bedömning av överensstämmelse och CE-märkning krävs för produkter som släpps ut på marknaden.
Se [CRA-tidslinjen](/cra/tidslinje) för en datumvis genomgång av vad varje steg innebär och vad en tillverkare bör ha klart vid respektive datum.

Sanktioner under CRA

CRA har sanktionsnivåer som speglar EU:s nyare regelverk och är kopplade till global årsomsättning. Tillsynen utövas av nationell marknadskontrollmyndighet, i Sverige den myndighet som utses för marknadskontroll av produkter under CRA.

ÖverträdelseSanktionstak
Brott mot väsentliga cybersäkerhetskrav (bilaga I) och tillverkarens grundskyldigheterUpp till 15 miljoner euro eller 2,5 procent av global årsomsättning, det högsta av dem
Brott mot övriga skyldigheter i förordningenLägre tak, upp till 10 miljoner euro eller 2 procent av global årsomsättning
Oriktig, ofullständig eller vilseledande information till anmälda organ eller marknadskontrollmyndigheterLägsta taket, upp till 5 miljoner euro eller 1 procent av global årsomsättning

CRA i relation till NIS2 och AI-förordningen

CRA, NIS2 och AI-förordningen reglerar olika saker och kan gälla samtidigt. Att skilja dem åt är avgörande för att inte dubbelarbeta eller missa ett krav.

CRA reglerar produktens cybersäkerhet över hela dess livscykel: hur den utvecklas, vilka sårbarheter som hanteras och hur länge den får uppdateringar. NIS2 reglerar organisationens egen cyberriskhantering: hur det bolag som driver en samhällsviktig verksamhet styr risk, rapporterar incidenter och säkrar sina leverantörer. AI-förordningen reglerar AI-systemets egenskaper: krav på data, transparens, mänsklig översyn och riskhantering i själva AI-funktionen.

En svensk tillverkare av en AI-driven ansluten produkt kan omfattas av alla tre samtidigt. Produkten ska uppfylla CRA, AI-funktionen ska uppfylla AI-förordningen, och om bolaget driver samhällsviktig verksamhet eller är leverantör i en sådan kedja kan NIS2 gälla bolaget som organisation. Se [NIS2](/nis2), [AI-förordningen](/ai-act) och [CER](/cer) för respektive regelverk.

Så täcker CyberKlar CRA

CRA Produktregister är en egen modul i plattformen, 24 000 kr per år exklusive moms som fristående tillägg eller som del av Komplett-paketet. Modulen ger ett register över produkter med digitala element med klassificering (standard, viktig klass I och II, kritisk), SBOM-status, supportperiod och försäkran om överensstämmelse.

Kärnan är en kravchecklista per produkt mot Bilaga I: 13 väsentliga säkerhetskrav och 8 sårbarhetshanteringskrav, med status och anteckning per krav. Plattformen visar dessutom hur långt det är kvar till rapporteringsplikten 11 september 2026 och full tillämpning 11 december 2027, så att prioriteringen kan göras per produkt i stället för i efterhand under deadline-press.

  • Produktregister med klassificering. En rad per produkt med roll (tillverkare, importör, distributör), produktklass och supportperiod.
  • Kravchecklista mot Bilaga I. 21 krav med status per produkt: säker standardkonfiguration, säkerhetsuppdateringar, SBOM, CVD-policy med flera.
  • Rapporteringsberedskap. Beredskapsmått för CVD-policy, uppdateringskanal och SBOM inför Art. 14-plikten.
Se [plattformen](/plattform) för hur produktregistret hänger ihop med sårbarhets- och leverantörshanteringen, och [priser](/priser) för CRA Produktregister och Komplett-paketet.

Vanliga missuppfattningar om CRA

CRA gäller bara stora tillverkare. Det stämmer inte. CRA gäller alla som släpper ut produkter med digitala element på EU-marknaden, oavsett storlek. Det finns vissa lättnader för mikroföretag och småföretag i delar av processen, men de väsentliga kraven gäller.

Vi säljer bara programvara, alltså berörs vi inte. Felaktigt. Fristående programvara som släpps ut på marknaden är en produkt med digitala element och omfattas fullt ut.

Vi köper in produkten från en leverantör utanför EU, så ansvaret är deras. Inte helt. Den som importerar en produkt från ett land utanför EU blir importör enligt CRA och har egna kontrollskyldigheter. Säljer importören dessutom under eget varumärke övertas tillverkarens skyldigheter.

CRA gäller redan i full kraft. Den slutsatsen håller inte. Förordningen trädde i kraft 10 december 2024 men fasas in. Rapporteringsskyldigheterna gäller från 11 september 2026 och huvuddelen av kraven från 11 december 2027.

Om vi är NIS2-omfattade har vi redan allt. Delvis fel. NIS2 reglerar organisationens cyberriskhantering, CRA reglerar produktens cybersäkerhet. De överlappar i sårbarhets- och leverantörshantering men har olika föremål och måste hanteras var för sig.