Kapitel 09 Gällande från: 11 december 2027 (fullständig)

Cyber Resilience Act

Cyber Resilience Act

Översikt

Cyber Resilience Act (CRA) inför obligatoriska cybersäkerhetskrav för hårdvaru- och mjukvaruprodukter med digitala element. Den täcker hela produktens livscykel från design till slutet av support och syftar till att hantera spridningen av osäkra IoT- och mjukvaruprodukter.[1]

CRA gäller för produkter som släpps ut på EU-marknaden oavsett var de tillverkas.

Tillämpningstidplan

DatumMilstolpe
10 december 2024CRA träder i kraft
11 september 2026Rapporteringsskyldigheter börjar
11 december 2027Full tillämpning av alla krav

Produkter inom tillämpningsområdet

Omfattade produkter

Produkter med digitala element som:

  • Har en direkt eller indirekt logisk eller fysisk datakoppling till en enhet eller nätverk
  • Inkluderar hårdvaru- och mjukvarukomponenter

Kategorier

KategoriKravExempel
StandardEgna bedömningarDe flesta mjukvaror, grundläggande IoT
Viktig Klass IBedömning baserad på standarderWebbläsare, lösenordshanterare, VPN, nätverkshantering
Viktig Klass IITredjepartsbedömningOperativsystem, brandväggar, routrar, hypervisorer
KritiskTredjepartsbedömning + certifieringHårdvarusäkerhetsmoduler, smarta mätare, smarta kort

Undantag

  • Öppen källkod (icke-kommersiell utveckling)
  • SaaS (täcks av andra regleringar)
  • Produkter som redan regleras (medicintekniska produkter, fordon, flyg)
  • Försvars- och nationella säkerhetsprodukter

Väsentliga cybersäkerhetskrav[2]

Säkerhet genom design

Produkter måste designas och utvecklas för att säkerställa:

  1. Lämplig säkerhetsnivå: Baserad på förutsebara risker
  2. Inga kända utnyttjbara sårbarheter: Vid marknadsintroduktion
  3. Säker standardkonfiguration: Inklusive fabriksåterställningsmöjlighet
  4. Konfidentialitetsskydd: För lagrade, överförda och bearbetade data
  5. Integritetsskydd: Mot obehörig ändring
  6. Tillgänglighet: Motståndskraftig mot överbelastningsattacker
  7. Minimal attackyta: Minska potentiella angreppsvektorer
  8. Begränsning av incidentpåverkan: Minimera konsekvenser av intrång

Autentisering och åtkomstkontroll

  • Starka, unika standarduppgifter eller användarinställda vid första användning
  • Skydd mot brute force-attacker
  • Säkra autentiseringsmekanismer

Dataskydd

  • Krypterad lagring för känsliga data
  • Säker dataöverföring
  • Radera eller anonymisera data när de inte längre behövs

Krav på hantering av sårbarheter[3]

Tillverkare måste:

  1. Identifiera sårbarheter: Genom testning och övervakning
  2. Dokumentera komponenter: Upprätthålla mjukvarulista (SBOM)
  3. Åtgärda sårbarheter: Tillhandahålla säkerhetsuppdateringar utan onödigt dröjsmål
  4. Avslöja sårbarheter: Samordna med berörda parter
  5. Säkerhetsuppdateringar: Kostnadsfria uppdateringar under definierad supportperiod (minst 5 år)

Rapportering av sårbarheter

Från september 2026 måste tillverkare rapportera:

RapporttypTidsram
Aktivt utnyttjad sårbarhet24 timmar till ENISA
Incident med säkerhetspåverkan24 timmar till ENISA/CSIRT
Sårbarhetsanmälan72 timmar till ENISA

Överensstämmelsebedömning

KategoriFörfarande
StandardEgenförklaring eller EU-typprövning
Viktig Klass IHarmoniserade standarder ELLER tredjepartsbedömning
Viktig Klass IITredjepartsbedömning av överensstämmelse
KritiskEU-typprövning + produktionskvalitetssäkring

Produkter måste visa CE-märkning som bekräftar överensstämmelse.

Påföljder

  • Underlåtenhet att följa: Upp till 15 miljoner euro eller 2,5 % av global omsättning
  • Brott mot väsentliga krav: Upp till 10 miljoner euro eller 2 % av omsättning
  • Andra överträdelser: Upp till 5 miljoner euro eller 1 % av omsättning[4]

Åtgärder för utvecklare

För mjukvaru- och hårdvarutillverkare:

  1. Inventera produkter: Fastställ vilka som omfattas och deras kategori
  2. Säkerhet genom design: Integrera säkerhet i utvecklingsprocesser
  3. Hantering av sårbarheter: Etablera rutiner för upptäckt och hantering
  4. Skapa SBOM: Dokumentera mjukvarukomponenter och beroenden
  5. Planera support: Definiera och kommunicera supportperioder
  6. Uppdateringsmekanismer: Bygg säkra system för uppdateringsleverans
  7. Förbered överensstämmelse: Förbered teknisk dokumentation

Källor & Referenser

[1]
Förordning (EU) 2024/2847 om cybersäkerhetskrav för produkter. EUR-Lex: CRA Officiell Text
[2]
CRA Bilaga I: Väsentliga cybersäkerhetskrav. CRA Portal: Bilaga I
[3]
CRA Bilaga I Del II: Krav på hantering av sårbarheter. CRA Portal: Hantering av sårbarheter
[4]
CRA Artikel 64: Påföljder. CRA Portal: Påföljder