Tre datum att hålla reda på

CRA är inte en tröskel som passeras på en dag utan en infasning med tre tydliga steg. Att förväxla ikraftträdandet med tillämpningen är ett vanligt misstag. Förordningen är formellt i kraft sedan december 2024, men de operativa skyldigheterna börjar gälla senare. Tabellen visar de tre datumen som styr tillverkarens planering.

DatumStegVad som börjar gälla
10 december 2024IkraftträdandeFörordningen träder i kraft och infasningen startar. Inga operativa skyldigheter för tillverkare ännu, men klockan börjar ticka mot de senare datumen.
11 september 2026RapporteringSkyldigheterna i artikel 14 att rapportera aktivt utnyttjade sårbarheter och allvarliga incidenter via den gemensamma plattformen börjar gälla.
11 december 2027Full tillämpningHuvuddelen av skyldigheterna börjar gälla: väsentliga krav, sårbarhetshantering, teknisk dokumentation, bedömning av överensstämmelse och CE-märkning.

10 december 2024: ikraftträdandet

Ikraftträdandet är den juridiska startpunkten. Förordningen blev gällande EU-rätt, infasningsfristerna började löpa och kommissionen fick mandat att ta fram de genomförandeakter och standarder som CRA hänvisar till. För en tillverkare innebär datumet i sig inga nya skyldigheter, men det markerar att den period då man behöver förbereda sig nu är begränsad.

Under perioden efter ikraftträdandet pågår arbetet med harmoniserade standarder och de tekniska specifikationer som tillverkare senare ska kunna luta sig mot för att visa överensstämmelse. Att bevaka detta arbete är en del av förberedelsen, eftersom de harmoniserade standarderna gör vägen till CE-märkning enklare.

Den som börjar planera redan vid ikraftträdandet har drygt tre år på sig till full tillämpning. Det låter mycket, men för produkter med lång utvecklingscykel och flera produktgenerationer är marginalen mindre än den ser ut.

11 september 2026: rapporteringsskyldigheterna börjar gälla

Detta är det första datum då en tillverkare får konkreta, tidsstyrda skyldigheter. Från och med nu ska aktivt utnyttjade sårbarheter och allvarliga incidenter som påverkar produktens säkerhet rapporteras via den gemensamma europeiska plattformen till den samordnande CSIRT och till ENISA.

  • Tidig varning lämnas utan onödigt dröjsmål och senast 24 timmar efter att tillverkaren fått kännedom.
  • Sårbarhets- eller incidentanmälan med mer information lämnas senast 72 timmar efter kännedom.
  • Slutrapport med åtgärder och analys lämnas inom en månad efter att sårbarheten åtgärdats eller incidenten hanterats.
I Sverige tas anmälningar emot via CERT-SE vid MCF (Myndigheten för civilt försvar) i CSIRT-rollen, vid sidan av den gemensamma plattformen och ENISA. För att klara 24-timmarsfristen behöver tillverkaren ha en intern process på plats i god tid före september 2026: vem som tar emot larm, hur en sårbarhet bedöms som aktivt utnyttjad och vem som har mandat att rapportera.

Vad ska vara klart till 11 september 2026?

Rapportering förutsätter att man kan upptäcka och bedöma sårbarheter och incidenter. En tillverkare som börjar bygga processen samma vecka som den ska tillämpas är försent ute. Det här bör finnas på plats före datumet:

  • En samordnad process för sårbarhetshantering med en känd kanal för att ta emot rapporter om sårbarheter i egna produkter.
  • Förmåga att avgöra om en sårbarhet är aktivt utnyttjad och om en incident är allvarlig enligt CRA:s kriterier.
  • Tydligt utpekat ansvar för vem som rapporterar, inom vilken frist och via vilken kanal.
  • Rutin för registrering och uppföljning av anmälningar, från tidig varning till slutrapport.

11 december 2027: huvuddelen av skyldigheterna

Detta är det datum då CRA blir fullt bindande för produkter som släpps ut på marknaden. Från och med nu får en produkt med digitala element bara släppas ut om den uppfyller de väsentliga kraven, har genomgått bedömning av överensstämmelse, har teknisk dokumentation och bär CE-märkning. En produkt som inte uppfyller kraven får inte längre lagligen släppas ut på EU-marknaden.

  • Väsentliga krav i bilaga I ska vara uppfyllda: säkerhet by design, säker grundkonfiguration, sårbarhetshantering och säkerhetsuppdateringar under supportperioden.
  • Bedömning av överensstämmelse ska vara genomförd enligt rätt väg för produktens klass, från intern kontroll till granskning av anmält organ.
  • Teknisk dokumentation och EU-försäkran om överensstämmelse ska vara upprättade.
  • CE-märkning ska vara fäst.
  • Supportperiod ska vara fastställd och kommunicerad till köparen.
Datumet gäller utsläppande på marknaden. Produkter som redan släppts ut före detta datum hanteras enligt särskilda övergångsregler, men för allt nytt som släpps ut från och med 11 december 2027 gäller de fulla kraven.

Vad ska vara klart till 11 december 2027?

Full tillämpning kräver att hela kedjan från utveckling till CE-märkning fungerar. För produkter med lång ledtid behöver arbetet starta långt innan datumet, eftersom säkerhet by design inte kan läggas på i efterhand utan måste vara med från konstruktionsfasen.

  • Riskbedömning dokumenterad för varje produkt som ska släppas ut efter datumet.
  • Säker utvecklingsprocess som lämnar produkten utan kända exploaterbara sårbarheter vid utsläppande.
  • SBOM upprättad i maskinläsbart format för varje produkt.
  • Rätt väg för bedömning av överensstämmelse identifierad utifrån produktklass, och vid behov avtal med anmält organ.
  • Teknisk dokumentation, EU-försäkran och CE-märkning klara innan första exemplaret släpps ut.
  • Supportperiod beslutad och kommunicerad, med plan för hur uppdateringar levereras under hela perioden.

Planera bakåt, inte framåt

Den vanligaste planeringsmissen är att räkna framåt från i dag och tro att det finns gott om tid. Den som i stället räknar bakåt från 11 december 2027, genom utvecklingscykler, certifieringsledtider och eventuell granskning av anmält organ, ser ofta att arbetet behöver påbörjas tidigt. För en tillverkare med flera produkter, flera marknader och en supportperiod som binder bolaget i minst fem år framåt blir CRA ett strukturarbete, inte en sista-minuten-uppgift. Se [skyldigheter för tillverkare](/cra/tillverkare) för hur kraven ser ut i praktiken och [CRA-hubben](/cra) för helheten.