Kontaktperson
Ted Strandberg
Projektledare
Kontakta Ted
Cyber Resilience Act – så påverkas din verksamhet av nya förordningen
Tillverkar eller säljer du produkter som har digitala element? Då berörs du av Cyber Resilience Act (CRA) – EU:s nya regelverk som skärper kraven längs hela produktens livscykel. Ted Strandberg, expert på cybersäkerhet och funktionssäkerhet, förklarar vad som förväntas av din verksamhet.
En babymonitor som kan styras med en app, en industrimaskin som kommunicerar med annan utrustning i produktionslinan och högtalare som kan berätta vilket väder det blir nästa vecka. Det är få elektroniska produkter som inte innehåller digitala element i dag. Det innebär att Cyber Resilience Act (CRA) träffar mycket brett – alla företag som utvecklar, tillverkar, importerar eller säljer produkter med digital teknik eller ren mjukvara på EU-marknaden omfattas.
CRA är en förordning som syftar till att höja cybersäkerheten i produkter med digitala element, alltså hårdvara och mjukvara som kan kopplas till ett nätverk eller en annan digital enhet, på hela den europeiska marknaden.
– Den här förordningen behövs för att öka motståndskraften och skydda europeiska medborgare och system. Vi vill inte att hackare ska kunna ta över produkterna, oavsett om det handlar om en babymonitor, en industrimaskin eller en högtalare, säger Ted Strandberg, projektledare inom cybersäkerhet och funktionssäkerhet på RISE.
CRA blir en del av CE-märkningen
CRA antogs i december 2024 och ska stegvis tillämpas från september 2026. I slutet av 2027 förväntas CRA vara helt utrullad. Till skillnad från många andra förordningar och direktiv som EU klubbar igenom, har CRA ingen direkt föregångare. Förordningen har tagits fram för att komplettera andra regelverk inom cybersäkerhet, som NIS2 som ställer krav på organisationer och inte produkter.
Kraven kommer att bakas in i CE-märkningen, vilket i praktiken innebär att cybersäkerhet går från ”nice to have” till obligatoriskt om man vill fortsätta sälja sin uppkopplade produkt på EU-marknaden.
Hur kan vi hjälpa dig?
Behöver du vägledning i hur EU:s Cyber Resilience Act påverkar din verksamhet och hur ni anpassar er till de nya kraven? Kontakta oss genom att fylla i formuläret:
Inbyggd säkerhet central del av CRA
Security by Design, eller inbyggd säkerhet, är en central del av förordningen. Det är inte längre godtagbart att addera säkerhet i efterhand, utan nu ställs krav längs hela utvecklingsfasen och fram till livscykelns slut.
– Livscykelperspektiv kanske de flesta förknippar med miljö och klimat, men här handlar det om mjukvarors livscykel. Den sträcker sig från idé och riskanalys till kravspecifikation, design, arkitektur, utveckling och testning. Efter att man har släppt mjukvaran på marknaden handlar det om underhåll och uppdateringar. Man pratar om End of Support, när tillverkaren slutar att skicka ut uppdateringar och inte längre tar ansvar för säkerheten, förklarar Ted Strandberg.
Standarder som verktyg för regelefterlevnad
Ted Strandberg leder den nationella arbetsgruppen i Sverige som utvecklar standarder kopplade till cybersäkerhet i produkter. Genom att prova produkter mot etablerade standarder, som IT-säkerhet i industriella automationssystem (EN IEC 62443) går det att bedöma om en produkt med digitala element uppfyller grundläggande cybersäkerhetskrav. Standarder kan användas som stöd för att visa efterlevnad av CRA. För vissa produkter som klassas som högrisk – till exempel operativsystem eller centrala systemkomponenter – inför CRA dessutom ett certifieringskrav.
CRA-efterlevnad extra viktigt för underleverantörer
Ett kvitto på CRA-efterlevnad i form av en ackrediterad rapport blir särskilt viktigt för underleverantörer som vill behålla och stärka sin konkurrenskraft. En underleverantör som inte kan garantera säkerheten för sina komponenter, faller bort som alternativ för kunderna som sätter den färdiga produkten på marknaden. Det är helt enkelt för mycket som står på spel.
– Bryter man mot reglerna kan man straffas med väldigt höga böter. Att ta hjälp av RISE är att dela den risken. Har man inte fått sin produkt granskad av tredjepart står man själv med risken att bli straffad. Skulle vi göra fel i granskningen har vi också ett ansvar, förklarar Ted Strandberg.
CRA-utbildning ger god kunskapsgrund
Före produktprovning, certifieringsprocess eller andra tekniska åtgärder kommer kunskapsbyggande. Med rätt kunskap blir det betydligt enklare att ta sig an CRA.
– Ett sätt att bygga den kunskapen är att gå en kurs hos oss. Vi håller företagsspecifika kurser som ger en stabil grund. För många aktörer kommer det ta tid att göra omställningen till CRA-efterlevnad, så det går inte att vänta alltför länge med att sätta i gång, säger Ted Strandberg.
Tre tips på hur du hanterar CRA:
- Höj kunskapsnivån. Förslagsvis genom en kurs som tydliggör vilka steg som just ni behöver ta för att säkerställa CRA-efterlevnad.
- Testa! Genomför ackrediterade produktprovningar och dra nytta av möjligheten att få rådgivning under produktutvecklingsfasen.
- Börja! Tiden är alltför knapp för att vänta.
Detta är CRA
Cyber Resilience Act (CRA) ställer gemensamma cybersäkerhetskrav på produkter med digitala element. Förordningen omfattar både hårdvara och mjukvara som säljs på EU-marknaden – från uppkopplade konsumentprodukter till industriella system och programvara.
CRA antogs i december 2024 och börjar tillämpas stegvis från september 2026. Full tillämpning väntas från december 2027.
Syftet är att höja den grundläggande säkerhetsnivån, minska sårbarheter i uppkopplade produkter och skapa en mer motståndskraftig digital inre marknad inom EU.
