Vanliga frågor om Cyber Resilience Act (FAQ)

Vad är Cyber Resilience Act (CRA)?

Cyber Resilience Act är en EU-förordning som ställer bindande krav på cybersäkerhet för produkter med digitala element. Fokus ligger på att säkerställa att produkter är säkra redan vid lansering och förblir säkra under hela sin livscykel.

När börjar CRA gälla?

CRA trädde i kraft formellt i december 2024, men tillämpas stegvis. Rapporteringskrav börjar gälla i september 2026 och samtliga krav blir fullt tillämpliga i december 2027.

Vilka företag omfattas av CRA?

CRA omfattar tillverkare, importörer och distributörer av produkter med digitala element som säljs på EU-marknaden. Regelverket gäller även företag utanför EU om deras produkter tillhandahålls inom unionen.

Vilka produkter räknas som produkter med digitala element?

Produkter med digitala element är produkter som innehåller mjukvara och kan kommunicera med andra system, exempelvis IoT-enheter, industriella styrsystem, konsumentelektronik och kommersiell programvara.

Vad innebär rapporteringskravet från 2026?

Från september 2026 måste tillverkare rapportera aktivt utnyttjade sårbarheter och allvarliga säkerhetsincidenter till behöriga myndigheter inom fastställda tidsramar.

Vad innebär secure by design i CRA?

Secure by design innebär att cybersäkerhet ska vara en integrerad del av produktens arkitektur och utvecklingsprocess, inte något som läggs till i efterhand.

Vad innebär secure by default?

Secure by default innebär att produkter ska levereras med säkra standardinställningar som minimerar risker för användaren utan att extra åtgärder krävs.

Hur länge ansvarar tillverkaren för säkerhetsuppdateringar?

Tillverkaren ansvarar för att tillhandahålla säkerhetsuppdateringar under hela den period som produkten förväntas användas, enligt den supportperiod som kommuniceras vid lansering.

Krävs certifiering eller extern granskning?

Alla produkter som omfattas av CRA ska CE-märkas. För vissa produktkategorier med högre risk krävs dessutom granskning av ett notifierat organ innan produkten får släppas på marknaden.

Vad händer om ett företag inte följer CRA?

Bristande efterlevnad kan leda till sanktioner, försäljningsförbud och betydande böter. Utöver detta riskerar organisationen förlorat kundförtroende och affärspåverkan.

Hur skiljer sig CRA från NIS2?

NIS2 fokuserar på organisationers säkerhetsarbete och samhällsviktiga tjänster, medan CRA fokuserar på säkerheten i själva produkterna. Regelverken kompletterar varandra men har olika tillämpningsområden.

När bör organisationer börja förbereda sig?

Organisationer bör påbörja förberedelser omedelbart. Att vänta till 2026 eller 2027 innebär ökad risk, högre kostnader och begränsat handlingsutrymme.

Om Cyber Instincts

Cyber Instincts hjälper organisationer att förstå, strukturera och operationalisera cybersäkerhet i en föränderlig regulatorisk miljö.

Guiden är framtagen för att skapa klarhet – inte rädsla – och fungera som ett beslutsstöd i ett tidigt skede.