CRA
CRA

Cyberresiliensförordningen

CE-märkning för mjukvara — för att IoT-brödrostar inte borde vara hackbara

Cyberresiliensförordningen (CRA) inför obligatoriska cybersäkerhetskrav för produkter med digitala element — från smarta hemenheter till företagsmjukvara. För första gången kräver EU att digitala produkter designas säkert, underhålls genom hela livscykeln och levereras med en mjukvaruförteckning (SBOM). Tänk på det som CE-märkning för mjukvara: om det ansluter till ett nätverk måste det vara säkert.

Tillämpningsområde

Alla produkter med digitala element som släpps på EU-marknaden — hårdvara och mjukvara som kan ansluta till en enhet eller ett nätverk, direkt eller indirekt. Detta inkluderar IoT-enheter, operativsystem, mobilappar, firmware och till och med komponenter som bibliotek och SDK:er.

Geografisk räckvidd

EU-omfattande förordning med direkt effekt. Gäller alla produkter som släpps på EU-marknaden, oavsett var tillverkaren är etablerad.

I kraft sedan

10 december 2024 (rapporteringsskyldigheter från sep 2026, full tillämpning från dec 2027)

Syfte

Att säkerställa att produkter med digitala element släpps på EU-marknaden med färre sårbarheter och att tillverkare tar säkerhet på allvar genom hela produktens livscykel. För att leverera en uppkopplad enhet med standardlösenordet 'admin' borde inte vara en affärsmodell.

Hoppa till din roll:

Tillverkare

Du utvecklar eller låter utveckla en produkt med digitala element och marknadsför den under ditt eget namn eller varumärke. Oavsett om du skrev varje kodrad eller outsourcade utvecklingen, om ditt namn står på produkten är du tillverkaren. Detta inkluderar både hårdvarutillverkare (IoT-enheter, routrar) och mjukvaruutgivare.

Dina skyldigheter

  • Designa produkter med säkerhet som standard — inga kända exploaterbara sårbarheter vid lansering (art. 13)
  • Genomför en cybersäkerhetsriskbedömning och dokumentera den i teknisk dokumentation (art. 13.2)
  • Tillhandahåll en mjukvaruförteckning (SBOM) som dokumenterar åtminstone de översta beroendenivåerna (art. 13.5, bilaga I.2)
  • Hantera sårbarheter effektivt genom produktens förväntade livslängd (minst 5 år) (art. 13.6)
  • Rapportera aktivt exploaterade sårbarheter till ENISA inom 24 timmar (art. 14)
  • Säkerställ att produkten har en överensstämmelsebedömning och CE-märkning innan den släpps på marknaden (art. 24–28)
  • Tillhandahåll säkerhetsuppdateringar under produktens supportperiod — utan kostnad (bilaga I, del II)
  • Informera användare om säkerhetsegenskaper och ge instruktioner för säker användning (bilaga I, del II)

Nyckelartiklar

Art. 13 — Tillverkarens skyldigheterArt. 14 — SårbarhetsrapporteringArt. 24 — ÖverensstämmelsebedömningBilaga I — Väsentliga kravBilaga III — Kritiska produkter
Proffstips

Börja med din SBOM-praxis nu. Även en grundläggande beroendeförteckning med standardverktyg (CycloneDX, SPDX) är bättre än att stressa i 2027. Och medan du ändå håller på, granska dina standardkonfigurationer — 'säkert som standard' innebär att användaren inte ska behöva en doktorsexamen för att vara säker.

Importör

Du släpper produkter från icke-EU-tillverkare på EU-marknaden. Du är efterlevnadens grindvakt — om tillverkaren inte har uppfyllt CRA-kraven borde produkten inte passera gränsen med ditt namn på importdokumentationen.

Dina skyldigheter

  • Släpp enbart produkter som uppfyller väsentliga cybersäkerhetskrav på marknaden (art. 15.1)
  • Verifiera att tillverkaren har genomfört överensstämmelsebedömningen (art. 15.2)
  • Säkerställ att produkten bär CE-märkning och åtföljs av nödvändig dokumentation (art. 15.3)
  • Säkerställ att tillverkaren har en process för sårbarhetshantering (art. 15.4)
  • Bevara en kopia av EU-försäkran om överensstämmelse i 10 år (art. 15.7)
  • Informera tillverkaren och marknadsövervakningsmyndigheten om efterlevnadsproblem (art. 15.5)

Nyckelartiklar

Art. 15 — Importörens skyldigheterArt. 24 — ÖverensstämmelsebedömningArt. 28 — CE-märkning
Proffstips

Skapa ett leverantörskvalificeringsformulär som täcker CRA-grunderna: överensstämmelsebedömningsstatus, SBOM-tillgänglighet, sårbarhetshanteringsprocess och planerad supportperiod. Bättre att avvisa en icke-efterlevande produkt tidigt än att återkalla den senare.

Distributör

Du tillgängliggör produkter med digitala element på marknaden utan att vara tillverkare eller importör. Du är i leveranskedjan — en återförsäljare, marknadsplats eller detaljhandelspartner. CRA förväntar sig att du gör grundläggande due diligence innan du sätter en produkt på hyllan (fysisk eller digital).

Dina skyldigheter

  • Verifiera att produkten bär CE-märkning och har nödvändig dokumentation (art. 16.1)
  • Tillgängliggör inte en produkt du vet eller borde veta inte uppfyller kraven (art. 16.2)
  • Säkerställ att lagring och transport inte äventyrar produktens efterlevnad (art. 16.3)
  • Informera tillverkaren och marknadsövervakningsmyndigheten om efterlevnadsproblem (art. 16.4)
  • Samarbeta med marknadsövervakningsmyndigheter vid förfrågan (art. 16.5)

Nyckelartiklar

Art. 16 — Distributörens skyldigheterArt. 28 — CE-märkning
Proffstips

Om du driver en mjukvarumarknadsplats, integrera efterlevnadskontroller i din listningsprocess. Ett enkelt 'Har denna produkt CRA-dokumentation?'-filter sparar tid för alla.

Så kan Euregas hjälpa

Tillgängliga verktyg

  • Produktregister — katalogisera produkter med digitala element, spåra efterlevnadsstatus
  • SBOM-hantering — ladda upp, parsa och spåra mjukvaruförteckningar
  • Sårbarhetsspårning — övervaka och hantera rapporterade sårbarheter per produkt
  • Efterlevnadspoäng — automatisk beredskapspoäng baserad på CRA-krav

AI-assisterade funktioner

  • Semantisk sökning i CRA-artiklar och bilagor
  • AI-förfyllda ärendesteg för CRA-relaterade efterlevnadsärenden
Observera

CRA-modulen är i ett tidigt skede. Grundläggande verktyg finns för produktkatalogisering och SBOM-hantering. AI-integration (t.ex. automatiserad sårbarhetsanalys, SBOM-beroendesriskpoängsättning) planeras för framtida versioner.

Alla exempel är fiktiva och används enbart i illustrativt syfte.