Cyber Resilience Act (CRA): Vad börjar gälla 2026 – och vad krävs fullt ut 2027?

EU:s Cyber Resilience Act (CRA) markerar ett tydligt skifte i hur cybersäkerhet regleras för digitala produkter på den europeiska marknaden. För första gången ställs bindande krav på cybersäkerhet genom hela produktens livscykel – från design och utveckling till underhåll och sårbarhetshantering.

För organisationer som utvecklar, säljer eller distribuerar produkter med digitala komponenter är CRA inte ett framtida regelverk att notera i förbifarten. De första kraven börjar gälla redan i september 2026, och full efterlevnad krävs från december 2027.

Den här artikeln reder ut:

• vad som faktiskt träder i kraft 2026

• vad som förändras fullt ut 2027

• vilka verksamheter som påverkas

• hur CRA påverkar arbetet med cybersäkerhet, produktutveckling och ansvar

Vad är Cyber Resilience Act?

Cyber Resilience Act är en EU-förordning, vilket innebär att den gäller direkt i alla medlemsländer utan nationell implementering. Syftet är att höja den generella cybersäkerhetsnivån för alla produkter med digitala element (Products with Digital Elements, PDE) som tillhandahålls på EU-marknaden.

Bakgrunden är tydlig:

• ökande antal sårbarheter i kommersiella produkter

• bristande säkerhetsuppdateringar

• otydliga ansvarsförhållanden mellan tillverkare, leverantörer och användare

CRA flyttar därför fokus från reaktiv incidenthantering till förebyggande, strukturerad och verifierbar cybersäkerhet.

Tidslinje: När börjar kraven gälla?

CRA införs stegvis för att ge marknaden möjlighet att anpassa sig.

Viktiga datum:

• 10 december 2024 – CRA träder i kraft formellt

• 11 september 2026 – Rapporteringskrav börjar gälla

• 11 december 2027 – Samtliga krav i CRA blir fullt tillämpliga

Det är alltså 2026 som markerar startpunkten för operativa skyldigheter – och 2027 som innebär full regulatorisk efterlevnad.

Vad börjar gälla i september 2026?

Rapporteringsskyldighet för sårbarheter

Från och med 11 september 2026 måste tillverkare rapportera:

• aktivt utnyttjade sårbarheter

• allvarliga säkerhetsincidenter kopplade till deras produkter

Rapporteringen ska ske till utsedda myndigheter inom EU och följa fastställda tidsramar.

Vad innebär detta i praktiken?

För många organisationer är detta den första verkligt påtagliga förändringen. Kravet innebär att företag måste:

• ha processer för att upptäcka och bedöma sårbarheter

• kunna avgöra om en sårbarhet är aktivt utnyttjad

• ha interna beslutsvägar för rapportering

• dokumentera och spåra säkerhetsincidenter strukturerat

CRA gör det tydligt att bristande insyn eller avsaknad av kontroll inte längre är acceptabelt.

Full tillämpning från december 2027: Vad förändras då?

När CRA träder i full kraft 11 december 2027 omfattas hela produktens livscykel av bindande krav.

Secure by Design och Secure by Default

Produkter måste:

• designas med säkerhet som grundprincip

• levereras med säkra standardinställningar

• minimera exponerade attackytor redan från start

Cybersäkerhet blir därmed en produktkvalitet, inte ett tillägg.

Sårbarhetshantering och livscykelansvar

Tillverkare måste:

• hantera sårbarheter kontinuerligt

• tillhandahålla säkerhetsuppdateringar under produktens livslängd

• tydligt kommunicera supportperioder och uppdateringspolicyer

Detta gäller även mjukvara, inbyggda komponenter och tredjepartsberoenden.

CE-märkning och efterlevnad

Produkter som omfattas av CRA måste:

• uppfylla samtliga tillämpliga säkerhetskrav

• CE-märkas som bevis på efterlevnad

För vissa kritiska eller högre riskprodukter krävs dessutom bedömning av ett externt anmält organ (notified body).

Vilka omfattas av CRA?

CRA gäller brett och påverkar fler aktörer än många först tror.

Direkt berörda aktörer

• tillverkare av hårdvara och mjukvara

• företag som utvecklar kommersiell programvara

• leverantörer av IoT-lösningar

• importörer av digitala produkter till EU

• distributörer och återförsäljare

Regelverket gäller även företag utanför EU om deras produkter säljs på den europeiska marknaden.

Exempel på produkter som omfattas

• IoT-enheter och uppkopplade system

• industriella styrsystem med digitala komponenter

• konsumentelektronik

• nätverksutrustning

• mjukvara och appar med nätverksfunktionalitet

Kort sagt: om produkten innehåller kod och kommunicerar – då omfattas den sannolikt av CRA.

Hur påverkar CRA organisationer strategiskt?

Från teknikfråga till ledningsfråga

CRA innebär att cybersäkerhet:

• blir ett styrelse- och ledningsansvar

• påverkar produktstrategi, roadmap och time-to-market

• kräver samverkan mellan juridik, säkerhet, utveckling och affär

Organisationer som ser CRA enbart som ett compliance-projekt riskerar att missa dess fulla påverkan.

Möjligheter för mogna organisationer

Samtidigt skapar CRA tydliga möjligheter:

• stärkt förtroende hos kunder och partners

• tydligare kravbild i leverantörsled

• bättre kontroll över teknisk skuld

• konkurrensfördel genom strukturerad säkerhet

Cybersäkerhet blir en affärskritisk differentierare, inte en kostnadspost.

Hur bör organisationer förbereda sig redan nu?

Ett strukturerat förarbete är avgörande.

Rekommenderade första steg:

1. Kartlägg vilka produkter som omfattas av CRA

2. Identifiera ansvarsfördelning för säkerhet och rapportering

3. Granska utvecklingsprocesser ur ett secure-by-design-perspektiv

4. Säkerställ kapacitet för sårbarhetshantering och incidentrapportering

5. Påbörja dokumentation och styrning i god tid före 2026

Organisationer som väntar till sista året riskerar både ökade kostnader och operativa risker.

Sammanfattning

Cyber Resilience Act förändrar spelplanen för digitala produkter i EU.

• September 2026: rapporteringskrav träder i kraft

• December 2027: full efterlevnad krävs

• Cybersäkerhet blir ett lagkrav genom hela produktens livscykel

CRA är inte en tillfällig reglering, utan ett strukturellt skifte i hur digital tillit byggs i Europa.