Tillverkarens roll i CRA

Tillverkaren bär det fulla ansvaret enligt CRA. Det gäller den som utvecklar eller tillverkar en produkt med digitala element, eller låter konstruera eller tillverka en sådan produkt och marknadsför den under eget namn eller varumärke. Ansvaret går inte att avtala bort till en underleverantör, och det gäller lika fullt om bolaget är litet. För svenska tillverkningsföretag och digitala leverantörer innebär CRA att cybersäkerhet flyttar in i produktutvecklingen som ett krav på samma nivå som funktion och produktsäkerhet.

Det praktiska arbetet kan delas i sex block: riskbedömning, säker utveckling, sårbarhetshantering, dokumentation och försäkran, supportperiod, och rapportering. De följer produktens livscykel från konstruktion till slutet av supportperioden.

Riskbedömning som grund

All efterlevnad i CRA utgår från en dokumenterad cybersäkerhetsriskbedömning för produkten. Den avgör vilka av de väsentliga kraven i bilaga I som är relevanta och hur de ska uppfyllas i just den här produkten. Riskbedömningen ska göras under planerings-, konstruktions- och utvecklingsfasen och uppdateras vid behov.

  • Identifiera produktens funktion och anslutningar och vilka hot som följer av hur den används och kopplas upp.
  • Bedöm konsekvens och sannolikhet för relevanta cybersäkerhetsrisker.
  • Bestäm vilka väsentliga krav som är tillämpliga och hur de ska uppfyllas för att nå en lämplig cybersäkerhetsnivå.
  • Dokumentera bedömningen och inkludera den i den tekniska dokumentationen.

Säker utveckling: säkerhet by design

CRA kräver att produkten konstrueras, utvecklas och tillverkas så att den ger en lämplig cybersäkerhetsnivå utifrån risken. Säkerheten ska vara inbyggd från start, inte påklistrad efteråt. Produkten ska släppas ut utan kända exploaterbara sårbarheter och med en säker grundkonfiguration.

  • Inga kända exploaterbara sårbarheter vid utsläppande på marknaden.
  • Säker standardinställning vid leverans, med möjlighet att återställa till den. Inga hårdkodade standardlösenord.
  • Skydd av data genom åtkomstkontroll och, där det är relevant, kryptering av lagrad och överförd data.
  • Minimering av angreppsytan och skydd mot obehörig åtkomst, inklusive mekanismer för autentisering och behörighet.
  • Loggning av säkerhetsrelevanta händelser så att incidenter kan upptäckas och utredas.

Sårbarhetshantering under hela supportperioden

Sårbarhetshantering är den del av CRA som löper längst i tiden. Tillverkaren ska identifiera, dokumentera och åtgärda sårbarheter under hela supportperioden, inte bara vid lansering. Kraven i bilaga I, del II, gäller löpande.

  • Identifiera och dokumentera sårbarheter i produkten och dess ingående komponenter, vilket förutsätter en aktuell SBOM (programvaruförteckning, en maskinläsbar lista över komponenter och beroenden).
  • Åtgärda utan dröjsmål genom säkerhetsuppdateringar, och tillhandahåll uppdateringar separat från funktionsuppdateringar när det är möjligt.
  • Ha en samordnad process för sårbarhetsrapportering med en kontaktpunkt dit forskare och användare kan rapportera sårbarheter.
  • Informera om åtgärdade sårbarheter så att användare kan agera.
  • Distribuera säkerhetsuppdateringar utan dröjsmål och, där det går, automatiskt med möjlighet för användaren att välja bort.
SBOM är navet i sårbarhetshanteringen. Utan en aktuell förteckning över vilka komponenter och beroenden en produkt innehåller går det inte att snabbt avgöra om en nyupptäckt sårbarhet i ett vanligt bibliotek påverkar den egna produkten. Den som bygger ett strukturerat produkt- och komponentregister i dag har gjort grovjobbet inför CRA.

Teknisk dokumentation och EU-försäkran om överensstämmelse

Tillverkaren ska upprätta teknisk dokumentation innan produkten släpps ut och hålla den uppdaterad under supportperioden. Dokumentationen ska visa att produkten uppfyller de väsentliga kraven och utgör underlaget vid en granskning. När kraven är uppfyllda och bedömningen av överensstämmelse gjord upprättar tillverkaren en EU-försäkran om överensstämmelse och fäster CE-märkning.

Dokument eller åtgärdVad det ska visa
CybersäkerhetsriskbedömningVilka risker som identifierats och hur de väsentliga kraven uppfylls
Teknisk dokumentationProduktens konstruktion, utveckling och sårbarhetshantering samt hur väsentliga krav uppfylls
SBOMMaskinläsbar förteckning över komponenter och beroenden
Bedömning av överensstämmelseGenomförd enligt rätt väg för produktens klass, från intern kontroll till anmält organ
EU-försäkran om överensstämmelseTillverkarens försäkran om att produkten uppfyller CRA
CE-märkningSynlig märkning som visar överensstämmelse
Information till användarenSupportperiod, säker användning och kanal för sårbarhetsrapportering

Supportperiod och löfte till köparen

CRA tvingar tillverkaren att uttala hur länge produkten får säkerhetsuppdateringar. Supportperioden ska spegla hur länge produkten rimligen förväntas användas och, som utgångspunkt, vara minst fem år om inte den förväntade livslängden är kortare. Perioden ska kommuniceras tydligt till köparen vid inköpstillfället.

För tillverkaren är detta ett bindande åtagande som påverkar produktekonomin. Att lova fem års säkerhetsuppdateringar på en produkt med många ingående komponenter innebär att man måste kunna underhålla och uppdatera den under hela perioden, även när komponenter byter version eller en leverantör slutar stödja ett bibliotek. Supportperioden bör därför sättas medvetet redan i produktplaneringen, inte i efterhand.

Rapportering av aktivt utnyttjade sårbarheter och incidenter

Från 11 september 2026 ska tillverkaren rapportera aktivt utnyttjade sårbarheter och allvarliga incidenter som påverkar produktens säkerhet via den gemensamma europeiska plattformen, till den samordnande CSIRT och till ENISA. I Sverige tas anmälningar emot via CERT-SE vid MCF (Myndigheten för civilt försvar) i CSIRT-rollen.

  • Tidig varning utan onödigt dröjsmål och senast 24 timmar efter kännedom.
  • Sårbarhets- eller incidentanmälan med mer information senast 72 timmar efter kännedom.
  • Slutrapport med åtgärder och analys inom en månad efter att sårbarheten åtgärdats eller incidenten hanterats.
Fristerna kräver en intern process som är klar i förväg: vem som tar emot larm, hur en sårbarhet bedöms som aktivt utnyttjad, vem som beslutar och rapporterar. Det går inte att improvisera fram en 24-timmarsrapportering när larmet redan kommit.

Importörer och distributörer: egna kontrollskyldigheter

Även den som inte tillverkar produkten har skyldigheter. Importörer och distributörer fungerar som kontrollpunkter i leveranskedjan och får inte tillhandahålla produkter som inte uppfyller CRA.

  • Importören (den som släpper ut en produkt från ett land utanför EU) ska kontrollera att tillverkaren gjort bedömning av överensstämmelse, upprättat teknisk dokumentation och fäst CE-märkning, samt agera om produkten inte uppfyller kraven.
  • Distributören (den som tillhandahåller i ett senare led) ska kontrollera att produkten bär CE-märkning och att tillverkare och importör uppfyllt sina skyldigheter.
  • Övertagande av tillverkaransvar: den importör eller distributör som marknadsför produkten under eget namn eller varumärke, eller ändrar en redan utsläppt produkt väsentligt, övertar tillverkarens fulla skyldigheter.

Praktisk väg framåt för svenska tillverkare

Det mesta i CRA är strukturarbete som tar tid att bygga men inte är ogörligt. En tillverkare som börjar nu hinner ha allt på plats till full tillämpning. Den naturliga ordningen följer livscykeln.

  • Kartlägg produktportföljen och avgör vilka produkter som är produkter med digitala element och i vilken klass de hamnar.
  • Bygg ett produkt- och komponentregister med SBOM per produkt, som grund för sårbarhetshantering.
  • Etablera en säker utvecklingsprocess så att nya produktgenerationer är CRA-anpassade från konstruktion.
  • Sätt upp sårbarhets- och rapporteringsprocessen i god tid före 11 september 2026.
  • Förbered dokumentation och bedömning av överensstämmelse inför 11 december 2027, och knyt vid behov ett anmält organ för produkter i högre klass.
  • Besluta supportperioder och planera hur uppdateringar levereras under hela perioden.
CyberKlars modul CRA Produktregister (24 000 kr per år, eller i Komplett-paketet) ger produktregister med klassificering och en kravchecklista per produkt mot Bilaga I: 13 säkerhetskrav och 8 sårbarhetshanteringskrav. Se [plattformen](/plattform) och [CRA-hubben](/cra) för helheten.