Kapitel 09 Ikrafttrædelse: 11. december 2027 (fuld)

Cyber Resilience Act

Cyber Resilience Act

Oversigt

Cyber Resilience Act (CRA) indfører obligatoriske cybersikkerhedskrav for hardware- og softwareprodukter med digitale elementer. Den dækker hele produktets livscyklus fra design til slut på support og har til formål at tackle udbredelsen af usikre IoT- og softwareprodukter.[1]

CRA gælder for produkter, der bringes på EU-markedet, uanset hvor de er fremstillet.

Anvendelsestidslinje

DatoMilepæl
10. december 2024CRA træder i kraft
11. september 2026Rapporteringsforpligtelser begynder
11. december 2027Fuld anvendelse af alle krav

Produkter inden for anvendelsesområdet

Omfattede produkter

Produkter med digitale elementer, der:

  • Har en direkte eller indirekte logisk eller fysisk datatilslutning til en enhed eller netværk
  • Inkluderer hardware- og softwarekomponenter

Kategorier

KategoriKravEksempler
StandardSelvvurderingDe fleste software, grundlæggende IoT
Vigtig Klasse IStandardbaseret vurderingBrowsere, adgangskodeadministratorer, VPN'er, netværksstyring
Vigtig Klasse IITredjepartsvurderingOperativsystemer, firewalls, routere, hypervisorer
KritiskTredjepartsvurdering + certificeringHardware-sikkerhedsmoduler, smartmålere, smartkort

Undtagelser

  • Open source-software (ikke-kommerciel udvikling)
  • SaaS (omfattet af andre regler)
  • Produkter, der allerede er reguleret (medicinsk udstyr, køretøjer, luftfart)
  • Forsvars- og nationale sikkerhedsprodukter

Væsentlige cybersikkerhedskrav[2]

Sikkerhed ved design

Produkter skal designes og udvikles for at sikre:

  1. Passende sikkerhedsniveau: Baseret på forudsigelige risici
  2. Ingen kendte udnyttelige sårbarheder: På tidspunktet for markedsføring
  3. Sikker standardkonfiguration: Inklusive fabriksnulstilling
  4. Fortrolighedsbeskyttelse: For lagrede, transmitterede og behandlede data
  5. Integritetsbeskyttelse: Mod uautoriseret ændring
  6. Tilgængelighed: Modstandsdygtig over for tjenestenægtelse
  7. Minimal angrebsflade: Reducer potentielle angrebsvektorer
  8. Begrænsning af hændelsespåvirkning: Minimer konsekvenser af brud

Autentificering og adgangskontrol

  • Stærke, unikke standardlegitimationsoplysninger eller brugerindstillede ved første brug
  • Beskyttelse mod brute force-angreb
  • Sikre autentificeringsmekanismer

Databeskyttelse

  • Krypteret lagring af følsomme data
  • Sikker dataoverførsel
  • Slet eller anonymiser data, når de ikke længere er nødvendige

Krav til håndtering af sårbarheder[3]

Producenter skal:

  1. Identificere sårbarheder: Gennem test og overvågning
  2. Dokumentere komponenter: Vedligeholde softwarematerialeliste (SBOM)
  3. Håndtere sårbarheder: Levere sikkerhedsopdateringer uden unødig forsinkelse
  4. Offentliggøre sårbarheder: Koordinere med berørte parter
  5. Sikkerhedsopdateringer: Gratis opdateringer i defineret supportperiode (minimum 5 år)

Rapportering af sårbarheder

Fra september 2026 skal producenter rapportere:

RapporttypeTidslinje
Aktivt udnyttet sårbarhed24 timer til ENISA
Hændelse med sikkerhedspåvirkning24 timer til ENISA/CSIRT
Sårbarhedsmeddelelse72 timer til ENISA

Overensstemmelsesvurdering

KategoriProcedure
StandardSelvdeklaration eller EU-typeundersøgelse
Vigtig Klasse IHarmoniserede standarder ELLER tredjepartsvurdering
Vigtig Klasse IITredjeparts overensstemmelsesvurdering
KritiskEU-typeundersøgelse + produktionskvalitetssikring

Produkter skal bære CE-mærkning, der bekræfter overholdelse.

Straf

  • Manglende overholdelse: Op til 15 millioner € eller 2,5 % af global omsætning
  • Brud på væsentlige krav: Op til 10 millioner € eller 2 % af omsætning
  • Andre overtrædelser: Op til 5 millioner € eller 1 % af omsætning[4]

Udviklerens handlingspunkter

For software- og hardwareproducenter:

  1. Inventar over produkter: Fastlæg hvilke der er omfattet og deres kategori
  2. Sikkerhed ved design: Integrer sikkerhed i udviklingsprocesser
  3. Håndtering af sårbarheder: Etabler procedurer for detektion og håndtering
  4. Oprettelse af SBOM: Dokumenter softwarekomponenter og afhængigheder
  5. Supportplanlægning: Definer og kommuniker supportperioder
  6. Opdateringsmekanismer: Byg sikre systemer til opdateringslevering
  7. Forberedelse til overensstemmelse: Forbered teknisk dokumentation

Kilder & Referencer

[1]
Forordning (EU) 2024/2847 om cybersikkerhedskrav for produkter. EUR-Lex: CRA Officiel Tekst
[2]
CRA Bilag I: Væsentlige cybersikkerhedskrav. CRA Portal: Bilag I
[3]
CRA Bilag I Del II: Krav til håndtering af sårbarheder. CRA Portal: Håndtering af sårbarheder
[4]
CRA Artikel 64: Straffe. CRA Portal: Straffe