Digitala produkter har blivit ryggraden i allt från hemmet till industrin – men också en växande säkerhetsrisk. Cyberattacker som Log4j-sårbarheten och Mirai-botnätet har visat hur snabbt en enskild svaghet kan spridas globalt.
Därför har EU antagit Cyber Resilience Act (CRA). En förordning som ställer gemensamma krav på cybersäkerhet i produkter med digitala element, från programvara och hårdvara till tillhörande tjänster. Förordningen antogs år 2024 och är en del av EU:s övergripande cybersäkerhetsstrategi från 2020, som även omfattar NIS2-direktivet och CER-direktivet. Tillsammans ska initiativen skapa en mer robust och motståndskraftig digital inre marknad i EU.
Ett gemensamt ramverk för cybersäkerhet i produkter
Cyber Resilience Act har sitt ursprung i ett tydligt behov av att stärka den kollektiva motståndskraften i det europeiska digitala ekosystemet. I dag hänger cybersäkerheten i produkter nära samman med såväl konsumentförtroende som innovation och försörjningstrygghet. När en enda osäker produkt kan utgöra en risk för tusentals organisationer är gemensamma spelregler inte bara önskvärda, utan nödvändiga.
Med CRA får EU för första gången ett gemensamt ramverk för cybersäkerhet i produkter med digitala element. Det ska säkerställa att alla aktörer – oavsett storlek eller bransch – uppfyller minimikrav för säker utveckling, riskhantering och löpande uppdatering.
För företag innebär detta ett skifte från fragmenterade nationella krav till ett harmoniserat regelverk som skapar tydlighet och förutsägbarhet mellan medlemsländerna. För användarna innebär det produkter där säkerheten inte är beroende av tillverkarens goda vilja.
Vilka omfattas av förordningen?
Cyber Resilience Act gäller för alla produkter med digitala element som kan anslutas direkt eller indirekt till ett nätverk. Det omfattar ett brett spektrum av både hårdvara och programvara – allt från operativsystem och applikationer till smarta hem-enheter, nätverksutrustning och industriella styrsystem.
Kort sagt: Om ett produkt kan uppdateras, kommunicera digitalt eller påverkas via en nätverksanslutning så omfattas det som utgångspunkt av CRA.
Det finns dock vissa undantag. Förordningen gäller inte produkter som redan regleras av sektorspecifik EU-lagstiftning med motsvarande krav – till exempel inom luftfart, fordonsindustrin och medicinteknisk utrustning. Därutöver är open source-programvara, som utvecklas och delas utan kommersiellt syfte, i regel också undantagen.
Security by design och security by default
Kärnan i Cyber Resilience Act utgörs av de två grundprinciperna security by design och security by default.
Security by design innebär att cybersäkerhet ska integreras i produktens arkitektur redan från början – inte som ett extra lager som läggs till i efterhand. Tillverkare ska identifiera och minimera potentiella hot redan i design- och utvecklingsfasen, så att säkerhet blir en inbyggd egenskap.
Security by default handlar om att produkten ska vara säker i sin standardkonfiguration. Användaren ska inte själv behöva aktivera säkerhetsfunktioner för att vara skyddad – de ska vara aktiverade redan från början.
Tillsammans markerar dessa principer ett skifte från reaktiv till proaktiv cybersäkerhet. Det räcker inte längre att reagera på hot när de uppstår – säkerheten ska byggas in i produktens DNA från dag ett.
LÄS OCKSÅ: Cyberresiliens som en del av GRC-strategin
Krav på tillverkare, importörer och distributörer
Förordningen ställer tydliga krav på alla led i leveranskedjan.
Tillverkare ska säkerställa att deras produkter utvecklas och underhålls enligt höga säkerhetsstandarder. Det innebär att de genomför riskbedömningar, dokumenterar säkerhetsåtgärder, övervakar sårbarheter och utfärdar säkerhetsuppdateringar under hela produktens livscykel.
Importörer och distributörer ska i sin tur säkerställa att de enda produkter som marknadsförs inom EU är de som uppfyller CRA:s krav och är korrekt CE-märkta.
Om allvarliga sårbarheter upptäcks ska alla aktörer agera snabbt – bland annat genom att underrätta ENISA (EU:s cybersäkerhetsbyrå) inom 24 timmar efter att en incident har identifierats. Syftet är att skapa ett tydligt och enhetligt ansvar, så att cybersäkerhet inte blir en gråzon mellan tillverkare och leverantörer, utan en integrerad del av hela värdekedjan.
Klassificering av produkter
CRA delar in produkter i två huvudkategorier:
- Icke-kritiska produkter: Tillverkaren kan själv dokumentera överensstämmelse genom en intern kontrollprocedur.
- Kritiska produkter (klass I och II): Kräver en tredjepartsbedömning av ett oberoende organ innan produkten får marknadsföras inom EU.
Kritiska produkter kan till exempel omfatta operativsystem, brandväggar eller nätverksutrustning där en brist kan få omfattande konsekvenser.
Implementering och tillsyn
Även om Cyber Resilience Act formellt trädde i kraft den 10 december 2024 så får företag en implementeringsperiod på tre år innan kraven blir fullt tillämpliga i december 2027. Perioden ska ge tillverkare, importörer och distributörer tid att anpassa sina processer, sin dokumentation och sina tekniska system till de nya kraven.
Det är dock viktigt att förstå att CRA inte är en formell compliance-övning. Förordningen blir rättsligt bindande i hela EU, och bristande efterlevnad kan få betydande konsekvenser.
Överträdelser kan leda till böter på upp till 15 miljoner euro eller 2,5 % av företagets globala årliga omsättning, beroende på vilket belopp som är högst. Därtill kommer risken för marknadsförbud, tillbakadragande av produkter och ett allvarligt förtroendetapp hos kunder och samarbetspartners.
CRA är samtidigt en central del av EU:s övergripande cybersäkerhetsstrategi från 2020, som ska säkerställa ett mer motståndskraftigt digitalt Europa och som består av tre ömsesidigt förstärkande initiativ:
- Cyber Resilience Act – ställer krav på de digitala produkterna i sig
- NIS2-direktivet – ställer krav på cybersäkerhet i kritiska sektorer
- CER-direktivet – stärker den fysiska och operativa motståndskraften i kritisk infrastruktur
Tillsammans utgör de ramen för en ny era av digital säkerhet, där EU ställer enhetliga krav på produkter, organisationer och infrastruktur, och där cybersäkerhet blir ett gemensamt ansvar mellan medlemsländerna.
Ett nytt kapitel för digital säkerhet i EU
Cyber Resilience Act markerar ett paradigmskifte i EU:s syn på cybersäkerhet. För första gången införs gemensamma och bindande krav på säkerheten i de digitala produkter som används överallt i samhället. Det är ett tecken på att tillit blir den nya valutan på den digitala marknaden. När allt från kaffemaskiner till kraftverk är uppkopplade så suddas gränsen mellan produkt och infrastruktur ut – och ansvaret blir därmed ett gemensamt åtagande.
Företag som designar, producerar eller distribuerar digitala produkter bör redan nu börja förbereda sig för CRA. Det säkerställer inte bara compliance, utan stärker också förtroendet för produkterna på en marknad där cybersäkerhet blir en konkurrensfaktor i nivå med kvalitet och funktionalitet.
LÄS OCKSÅ: EU:s ökade fokus på cybersäkerhet
