What products does the CRA cover?

The Cyber Resilience Act covers all products with digital elements placed on the EU market — hardware and software that can connect to a device or network, including IoT devices, operating systems, mobile apps, and firmware.

What is an SBOM and is it required by the CRA?

A Software Bill of Materials (SBOM) documents a products software dependencies. The CRA requires manufacturers to provide an SBOM documenting at minimum the top-level dependencies (Article 13.5, Annex I.2).

How long must manufacturers provide security updates under the CRA?

Manufacturers must handle vulnerabilities and provide free security updates throughout the products expected lifetime, with a minimum of 5 years (Article 13.6).

CRA

Lov om cybersikkerhet

CE-merking for programvare – fordi IoT-brødristere ikke bør kunne hackes

Cyber Resilience Act (CRA) innfører obligatoriske krav til cybersikkerhet for produkter med digitale elementer – alt fra smarthjem-enheter til bedriftsprogramvare. For første gang krever EU at digitale produkter utformes på en sikker måte, vedlikeholdes gjennom hele livssyklusen og leveres med en Software Bill of Materials (SBOM). Tenk på det som CE-merking for programvare: hvis det kobles til et nettverk, må det være sikkert.

Omfang

Alle produkter med digitale elementer som markedsføres i EU – maskinvare og programvare som kan kobles til en enhet eller et nettverk, enten direkte eller indirekte. Dette omfatter IoT-enheter, operativsystemer, mobilapper, fastvare og til og med komponenter som biblioteker og SDK-er.

Geografisk rekkevidde

EU-forordning med direkte virkning. Gjelder alle produkter som bringes i omsetning i EU, uavhengig av hvor produsenten er etablert.

Gjeldende fra

10. desember 2024 (rapporteringsplikt fra september 2026, full gjennomføring fra desember 2027)

Formål

For å sikre at produkter med digitale elementer slippes ut på EU-markedet med færre sikkerhetshull, og at produsentene tar sikkerhet på alvor gjennom hele produktets livssyklus. For det bør ikke være en forretningsmodell å levere en tilkoblet enhet med standardpassordet «admin».

Gå til din rolle:

Produsent

Du utvikler eller har utviklet et produkt med digitale elementer og markedsfører det under ditt eget navn eller varemerke. Uansett om du har skrevet hver eneste kodelinje selv eller har satt ut utviklingen til eksterne leverandører, er du produsenten så lenge navnet ditt står på produktet. Dette gjelder både maskinvareprodusenter (IoT-enheter, rutere) og programvareutgivere.

Dine forpliktelser

Utform produkter med innebygd sikkerhet – ingen kjente sårbarheter som kan utnyttes på tidspunktet for lanseringen (art. 13)
Gjennomføre en risikovurdering av cybersikkerheten og dokumentere denne i den tekniske dokumentasjonen (art. 13.2)
Legg frem en programvare-stykkliste (SBOM) som minst dokumenterer avhengighetene på øverste nivå (art. 13.5, vedlegg I.2)
Håndtere sikkerhetsproblemer på en effektiv måte gjennom hele produktets forventede levetid (min. 5 år) (Art. 13.6)
Rapporter aktivt utnyttede sårbarheter til ENISA innen 24 timer (art. 14)
Sørg for at produktet har en samsvarsvurdering og CE-merking før det bringes i omsetning (art. 24–28)
Levere sikkerhetsoppdateringer i produktets støtteperiode – uten kostnad (vedlegg I, del II)
Informere brukerne om sikkerhetsegenskaper og gi instruksjoner for sikker bruk (vedlegg I, del II)

Viktige artikler

§ 13 — Produsentens forpliktelser§ 14 — Rapportering av sikkerhetsproblemerArt. 24 — Vurdering av samsvarVedlegg I – Grunnleggende kravVedlegg III – Kritiske produkter

Proff-tips

Kom i gang med SBOM-arbeidet allerede nå. Selv en enkel oversikt over avhengigheter ved hjelp av standardverktøy (CycloneDX, SPDX) er bedre enn å måtte stresse i 2027. Og mens du er i gang, bør du gå gjennom standardkonfigurasjonene dine – «sikker som standard» betyr at brukeren ikke skal trenge en doktorgrad for å være trygg.

Importør

Du markedsfører produkter fra produsenter utenfor EU i EU. Du er ansvarlig for å sikre at kravene overholdes – hvis produsenten ikke har oppfylt CRA-kravene, bør ikke produktet føres inn over grensen med ditt navn oppført i importdokumentasjonen.

Dine forpliktelser

Det skal kun markedsføres produkter som oppfyller de grunnleggende kravene til cybersikkerhet (art. 15.1)
Kontroller at produsenten har gjennomført samsvarsvurderingen (art. 15.2)
Sørg for at produktet er CE-merket og at det følger med nødvendig dokumentasjon (art. 15.3)
Sørg for at produsenten har en prosess for håndtering av sårbarheter på plass (art. 15.4)
Oppbevar en kopi av EU-samsvarserklæringen i 10 år (art. 15.7)
Informer produsenten og markedstilsynsmyndigheten om eventuelle mangler ved samsvaret (art. 15.5)

Viktige artikler

§ 15 — Importørens forpliktelserArt. 24 — Vurdering av samsvarArt. 28 — CE-merking

Proff-tips

Lag et spørreskjema for leverandørkvalifisering som dekker de viktigste CRA-kravene: status for samsvarsvurdering, tilgjengelighet av SBOM, prosess for håndtering av sårbarheter og planlagt supportperiode. Det er bedre å avvise et produkt som ikke oppfyller kravene på et tidlig tidspunkt enn å måtte tilbakekalle det senere.

Forhandler

Du tilbyr produkter med digitale elementer på markedet uten å være produsent eller importør. Du er en del av forsyningskjeden – en forhandler, en markedsplass eller en detaljhandelspartner. CRA forventer at du utfører grunnleggende aktsomhetsvurderinger før du legger et produkt ut for salg (fysisk eller digitalt).

Dine forpliktelser

Kontroller at produktet er CE-merket og har den nødvendige dokumentasjonen (art. 16.1)
Du må ikke gjøre et produkt tilgjengelig som du vet eller burde vite ikke oppfyller kravene (art. 16.2)
Sørg for at lagring og transport ikke svekker produktets samsvar (art. 16.3)
Informer produsenten og markedstilsynsmyndigheten om eventuelle mangler ved samsvaret (art. 16.4)
Samarbeide med markedstilsynsmyndighetene når dette blir bedt om (art. 16.5)

Viktige artikler

§ 16 — Forhandlerens forpliktelserArt. 28 — CE-merking

Proff-tips

Hvis du driver en programvaremarkedsplass, bør du integrere samsvarskontroller i oppføringsprosessen. Et enkelt filter med spørsmålet «Har dette produktet CRA-dokumentasjon?» sparer tid for alle.

Hvordan Euregas kan hjelpe

Tilgjengelige verktøy

Produktregister — katalogiser produkter med digitale elementer, følg med på status for samsvar
SBOM-administrasjon – last opp, analysere og spore programvarekomponentlister
Sårbarhetssporing — overvåk og administrer rapporterte sårbarheter per produkt
Overholdelsesscore — automatisk vurdering av beredskap for overholdelse basert på CRA-krav

AI-støttede funksjoner

Semantisk søk i CRA-artikler og vedlegg
AI-forhåndsutfylte trinn for saker knyttet til overholdelse av CRA-regelverket

Merknad

CRA-modulen er i en tidlig fase. Det finnes allerede sentrale verktøy for produktkatalogisering og SBOM-administrasjon. Integrering av kunstig intelligens (f.eks. automatisert sårbarhetsanalyse og risikovurdering av SBOM-avhengigheter) er planlagt i fremtidige versjoner.

Alle eksemplene er fiktive og brukes kun til illustrasjonsformål.