EU:s Cyber Resilience Act (CRA) är ett nytt och omfattande regelverk som syftar till att höja den grundläggande nivån av cybersäkerhet i digitala produkter på den europeiska marknaden. Bakgrunden är tydlig: allt fler produkter är uppkopplade, samtidigt som sårbarheter och cyberattacker ökar – ofta med stora konsekvenser för både företag och samhälle. CRA är tänkt att skapa tydliga, gemensamma krav inom EU och flyttar ett större ansvar till dem som utvecklar, tillverkar och säljer produkter med digitala komponenter. 

Cyber Resilience Act är ett EU-regelverk som ställer obligatoriska cybersäkerhetskrav på produkter som innehåller mjukvara eller är uppkopplade på något sätt. Det gäller allt från konsumentprodukter och IoT-enheter till industriella system och ren mjukvara. 

Till skillnad från många tidigare initiativ är CRA inte frivilligt – det blir ett lagkrav för att få sälja produkter på EU-marknaden. 

CRA omfattar i princip alla ”produkter med digitala komponenter”, vilket inkluderar: 

• mjukvara (även inbäddad mjukvara) 
• uppkopplad hårdvara 
• IoT-produkter 
• operativsystem, applikationer och firmware 

Vissa undantag finns (t.ex. för redan reglerade områden), men för många företag innebär CRA att produkter som tidigare inte haft tydliga säkerhetskrav nu omfattas. 

Regelverket fokuserar på hela produktens livscykel, inte bara lanseringen. Några centrala krav är: 

• Säkerhet från start (securityby design)
  Produkter ska utvecklas med cybersäkerhet som en integrerad del – inte som ett tillägg i efterhand. Det innebär bland annat att kända risker ska identifieras och hanteras redan i design- och utvecklingsfasen. 
• Hantering av sårbarheter
  Företag måste ha processer för att:
  • upptäcka sårbarheter 
  • åtgärda dem skyndsamt 
  • tillhandahålla säkerhetsuppdateringar
• Incidentrapportering
  Allvarliga sårbarheter och säkerhetsincidenter ska rapporteras till relevanta myndigheter inom angivna tidsramar.
• Tydligare ansvar
  CRA tydliggör ansvaret för tillverkare, importörer och distributörer. Det blir svårare att ”skjuta ifrån sig” säkerhetsansvar i leverantörskedjan.

EU:s övergripande mål är att: 

• höja den lägsta säkerhetsnivån i digitala produkter 

• minska antalet sårbarheter som når marknaden 

• skapa ökad tillit hos användare och kunder 

• förenkla genom gemensamma regler inom hela EU 

För företag innebär det både nya krav – och möjligheter att differentiera sig genom god cybersäkerhet. 

CRA är beslutad på EU-nivå och införs stegvis. Även om full tillämpning ligger några år fram i tiden, är budskapet tydligt: förberedelser bör påbörjas tidigt. För många organisationer handlar det om att se över: 

• utvecklingsprocesser 
• dokumentation 
• ansvarsfördelning 
• samarbete mellan teknik, juridik och ledning 

Även om alla krav inte gäller omedelbart, påverkar CRA redan idag hur företag bör tänka kring: 

• produktutveckling 
• riskhantering 
• långsiktig förvaltning av digitala produkter 

Att vänta till sista stund riskerar att bli både dyrt och komplext. 

Cyber Resilience Act omfattar inte enbart produkter som är uppkopplade i dag, utan även produkter som potentiellt kan kopplas upp eller påverkas digitalt, oavsett avsedd användning. Det innebär att regelverket får konsekvenser långt bortom själva utvecklingsarbetet och även påverkar företagets ledningssystem, ansvarsfördelning och anmälningsplikt vid incidenter. 

För att visa efterlevnad krävs dessutom CE-märkning och en Declaration of Conformity, där tillverkaren intygar att produkten uppfyller tillämpliga CRA-krav. I praktiken innebär detta att även produkter som inte är uppkopplade måste omfattas av riskanalyser och säkerhetsbedömningar.