What products does the CRA cover?

The Cyber Resilience Act covers all products with digital elements placed on the EU market — hardware and software that can connect to a device or network, including IoT devices, operating systems, mobile apps, and firmware.

What is an SBOM and is it required by the CRA?

A Software Bill of Materials (SBOM) documents a products software dependencies. The CRA requires manufacturers to provide an SBOM documenting at minimum the top-level dependencies (Article 13.5, Annex I.2).

How long must manufacturers provide security updates under the CRA?

Manufacturers must handle vulnerabilities and provide free security updates throughout the products expected lifetime, with a minimum of 5 years (Article 13.6).

CRA

Loven om cybermodstandsdygtighed

CE-mærkning af software – for at IoT-brødristere ikke skal kunne hackes

Loven om cybermodstandsdygtighed (CRA) indfører obligatoriske krav til cybersikkerhed for produkter med digitale elementer – lige fra smarte enheder til hjemmet til virksomhedssoftware. For første gang stiller EU krav om, at digitale produkter skal være sikkert designet, vedligeholdes gennem hele deres livscyklus og ledsages af en SBOM (Software Bill of Materials). Man kan betragte det som en slags CE-mærkning for software: Hvis det opretter forbindelse til et netværk, skal det være sikkert.

Omfang

Alle produkter med digitale elementer, der markedsføres i EU – hardware og software, der direkte eller indirekte kan oprette forbindelse til en enhed eller et netværk. Dette omfatter IoT-enheder, operativsystemer, mobilapps, firmware og endda komponenter som biblioteker og SDK'er.

Geografisk dækning

EU-forordning med direkte virkning. Gælder for alle produkter, der markedsføres i EU, uanset hvor producenten er etableret.

Trådt i kraft den

10. december 2024 (rapporteringsforpligtelser fra september 2026, fuldstændig ikrafttræden fra december 2027)

Formål

For at sikre, at produkter med digitale elementer markedsføres i EU med færre sikkerhedsrisici, og at producenterne tager sikkerheden alvorligt gennem hele produktets livscyklus. For det bør ikke være en forretningsmodel at levere en internetforbundet enhed med standardadgangskoden »admin«.

Gå til din rolle:

Producent

Du udvikler eller har udviklet et produkt med digitale elementer og markedsfører det under dit eget navn eller varemærke. Uanset om du selv har skrevet hver eneste kodelinje eller har udliciteret udviklingen, er du producenten, hvis dit navn står på produktet. Dette gælder både hardwareproducenter (IoT-enheder, routere) og softwareudbydere.

Dine forpligtelser

Produkter skal designes med indbygget sikkerhed — der må ikke foreligge kendte sårbarheder, der kan udnyttes, på tidspunktet for udgivelsen (artikel 13)
Gennemføre en risikovurdering af cybersikkerheden og dokumentere den i den tekniske dokumentation (artikel 13.2)
Fremlæg en software-stykliste (SBOM), der som minimum dokumenterer afhængighederne på øverste niveau (artikel 13.5, bilag I.2)
Håndtere sårbarheder effektivt gennem hele produktets forventede levetid (mindst 5 år) (artikel 13.6)
Indberet aktivt udnyttede sårbarheder til ENISA inden for 24 timer (artikel 14)
Sørg for, at produktet er underkastet en overensstemmelsesvurdering og er forsynet med CE-mærkning, inden det markedsføres (artikel 24–28)
Levere sikkerhedsopdateringer i produktets supportperiode — uden beregning (bilag I, del II)
Oplys brugerne om sikkerhedsegenskaberne og giv vejledning i sikker brug (bilag I, del II)

Vigtige artikler

§ 13 — Producentens forpligtelser§ 14 — Indberetning af sårbarhederArt. 24 — OverensstemmelsesvurderingBilag I — Væsentlige kravBilag III — Kritiske produkter

Et godt råd

Kom i gang med din SBOM-praksis allerede nu. Selv en simpel oversigt over afhængigheder ved hjælp af standardværktøjer (CycloneDX, SPDX) er bedre end at stå i en paniksituation i 2027. Og når du er i gang, så gennemgå dine standardkonfigurationer – »sikker som standard« betyder, at brugeren ikke skal have en ph.d. for at være sikker.

Importør

Du markedsfører produkter fra producenter uden for EU på EU-markedet. Du er den, der skal sikre, at reglerne overholdes – hvis producenten ikke har opfyldt CRA-kravene, må produktet ikke føres over grænsen med dit navn på importdokumenterne.

Dine forpligtelser

Der må kun markedsføres produkter, der opfylder de væsentlige krav til cybersikkerhed (artikel 15, stk. 1)
Kontroller, at producenten har foretaget overensstemmelsesvurderingen (artikel 15, stk. 2)
Sørg for, at produktet er forsynet med CE-mærket og ledsages af den krævede dokumentation (artikel 15, stk. 3)
Sørg for, at producenten har en procedure til håndtering af sårbarheder på plads (artikel 15.4)
Opbevar en kopi af EU-overensstemmelseserklæringen i 10 år (artikel 15, stk. 7)
Underret producenten og markedsovervågningsmyndigheden om eventuelle problemer med overholdelsen af kravene (artikel 15, stk. 5)

Vigtige artikler

§ 15 — Importørens forpligtelserArt. 24 — OverensstemmelsesvurderingArtikel 28 — CE-mærkning

Et godt råd

Udarbejd et spørgeskema til leverandørkvalificering, der dækker de vigtigste CRA-krav: status for overensstemmelsesvurdering, tilgængelighed af SBOM, proces for håndtering af sårbarheder og planlagt supportperiode. Det er bedre at afvise et produkt, der ikke overholder kravene, på et tidligt tidspunkt end at skulle tilbagekalde det senere.

Forhandler

Du markedsfører produkter med digitale elementer uden selv at være producent eller importør. Du er en del af forsyningskæden – en forhandler, en markedsplads eller en detailpartner. CRA forventer, at du udviser grundlæggende omhu, inden du sætter et produkt på hylden (fysisk eller digitalt).

Dine forpligtelser

Kontroller, at produktet er forsynet med CE-mærket og er ledsaget af den krævede dokumentation (artikel 16, stk. 1)
Du må ikke markedsføre et produkt, som du ved eller burde vide ikke overholder kravene (artikel 16, stk. 2)
Sørg for, at opbevaring og transport ikke bringer produktets overensstemmelse i fare (artikel 16.3)
Underret producenten og markedsovervågningsmyndigheden om eventuelle problemer med overholdelsen af kravene (artikel 16, stk. 4)
Samarbejde med markedsovervågningsmyndighederne, når de anmoder herom (artikel 16, stk. 5)

Vigtige artikler

§ 16 — Forhandlerens forpligtelserArtikel 28 — CE-mærkning

Et godt råd

Hvis du driver en software-markedsplads, bør du integrere overensstemmelseskontroller i din produktregistreringsproces. Et simpelt filter med spørgsmålet »Har dette produkt CRA-dokumentation?« sparer tid for alle.

Hvordan Euregas kan hjælpe

Tilgængelige værktøjer

Produktregister — katalogiser produkter med digitale elementer, overvåg overholdelsesstatus
SBOM-styring — upload, analyse og sporing af software-styklister
Sporing af sårbarheder — overvågning og styring af rapporterede sårbarheder pr. produkt
Overholdelsesscore — automatisk vurdering af overholdelsesberedskab baseret på CRA-krav

AI-understøttede funktioner

Semantisk søgning i CRA-artikler og bilag
AI-udfyldte sagsfaser til sager vedrørende overholdelse af CRA-regler

Bemærk

CRA-modulet befinder sig i en tidlig fase. Der findes allerede centrale værktøjer til produktkatalogisering og SBOM-styring. Integration af kunstig intelligens (f.eks. automatiseret sårbarhedsanalyse og risikovurdering af SBOM-afhængigheder) er planlagt til kommende versioner.

Alle eksempler er fiktive og tjener udelukkende til illustrative formål.