CRA och NIS2: Var cybersäkerhetsreglerna överlappar för produktföretag

Förståelse för hur CRA och NIS2 interagerar. En praktisk guide för organisationer som tillverkar produkter och driver kritiska tjänster.

CRA Evidence Team Publicerad 15 januari 2026 Uppdaterad 11 april 2026
CRA och NIS2: Var cybersäkerhetsreglerna överlappar för produktföretag
I denna artikel

Du tillverkar IoT-enheter för energisektorn. Du omfattas av både NIS2 (som operatör av samhällsviktiga tjänster) och CRA (som produkttillverkare). Två regelverk, överlappande krav, en efterlevnadsbudget.

Den här guiden förklarar hur CRA och NIS2 interagerar och hur du hanterar efterlevnad av båda.

Sammanfattning

  • CRA reglerar produkter; NIS2 reglerar organisationer/tjänster
  • Många företag möter båda: tillverkare som också är väsentliga/viktiga entiteter
  • Nyckelöverlapp: sårbarhethantering, incidentrapportering, leveranskedjesäkerhet
  • Olika tillämpningsområden: CRA = produktlivscykel; NIS2 = organisatorisk cybersäkerhet
  • Samordningsmöjlighet: Enhetliga säkerhetsprocesser som betjänar båda regelverken

CRA vs NIS2 jämförelse av tillämpningsområden

CRA kontra NIS2: Grundläggande skillnad

CRA: Produktreglering

Vad det reglerar: Produkter med digitala element som placeras på EU-marknaden

Vem det gäller: Tillverkare, importörer, distributörer av produkter med digitala element

Fokus: Produktsäkerhet under hela livscykeln

  • Säker design och utveckling
  • Sårbarhethantering för produkter
  • Säkerhetsuppdateringar för produkter
  • Incidentrapportering på produktnivå

NIS2: Organisationsreglering

Vad det reglerar: Cybersäkerhet hos väsentliga och viktiga entiteter

Vem det gäller: Organisationer inom specificerade sektorer som uppfyller storlekströsklarna

Fokus: Organisatorisk cybersäkerhet

  • Styrning och riskhantering
  • Incidenthantering för tjänster
  • Leveranskedjesäkerhet
  • Affärskontinuitet

Överlappszonen

NIS2-OMFÅNG                           CRA-OMFÅNG
+----------------------+          +----------------------+
| - IT-system          |          | - Produkter som ni   |
| - Tjänster           |          |   tillverkar         |
| - Verksamhet         |          | - Produkter som ni   |
| - Leveranskedja      |          |   importerar         |
|   (som köpare)       |          | - Produkter som ni   |
|                      |          |   distribuerar       |
+----------+-----------+          +-----------+----------+
            \                                /
             \                              /
              +----------------------------+
              |         ÖVERLAPP           |
              |                            |
              | - Sårbarhetshantering      |
              | - Incidentrapportering     |
              | - Leveranskedjesäkerhet    |
              | - Säkerhetsstyrning        |
              +----------------------------+

Vem möter båda regelverken?

Scenario 1: Väsentlig entitet som tillverkar produkter

Exempel: Energibolag som tillverkar smarta nätkomponenter

  • NIS2 gäller: Energisektorsaktör över tröskel
  • CRA gäller: Tillverkare av produkter med digitala element

Båda regelverken kräver:

  • Cybersäkerhetsriskhantering
  • Sårbarhethantering
  • Incidentrapportering (till olika organ, olika utlösare)
  • Leveranskedjesäkerhet

Scenario 2: Viktig entitet som tillverkar IoT

Exempel: Tillverkningsföretag som producerar industriella IoT-sensorer

  • NIS2 gäller: Tillverkningssektorsaktör över tröskel
  • CRA gäller: Tillverkare av produkter med digitala element

Scenario 3: Leverantör av digital infrastruktur

Exempel: Molnleverantör som också säljer hårdvaruapparater

  • NIS2 gäller: Leverantör av digital infrastruktur
  • CRA gäller: Tillverkare av hårdvaruprodukter

Scenario 4: Tillverkare av hälso-angränsande produkter

Exempel: Medicinsk-angränsande företag (inte MDR-täckta enheter)

  • NIS2 gäller: Aktör i hälsosektorn
  • CRA gäller: Produkter som inte täcks av MDR-undantaget

Överlappande krav

Sårbarhethantering

Aspekt CRA-krav NIS2-krav
Omfång Produktsårbarheter Organisatoriska system
Identifiering Övervaka produktsårbarheter Övervaka alla system
Respons Patcha produkter utan dröjsmål Åtgärda sårbarheter
Rapportering ENISA (om exploaterad) Nationell CSIRT (om incident)

Samordningsmöjlighet: Enhetligt sårbarhethanteringsprogram som täcker både produkter och organisatoriska system.

Incidentrapportering

Aspekt CRA-krav NIS2-krav
Utlösare Aktivt exploaterad sårbarhet i produkt Betydande incident som påverkar tjänster
Tidslinje 24h → 72h → 14/30d 24h → 72h → 1 månad
Mottagare ENISA + nationell CSIRT Nationell behörig myndighet/CSIRT
Omfång Produktsäkerhet Tjänstetillgänglighet/integritet

Viktig distinktion: En sårbarhet i din produkt kan utlösa CRA-rapportering även om dina tjänster inte påverkas. Ett tjänsteavbrott kan utlösa NIS2-rapportering även om ingen produktsårbarhet existerar.

Leveranskedjesäkerhet

Aspekt CRA-krav NIS2-krav
Fokus Komponenter i dina produkter Leverantörer till din organisation
Bedömning Teknisk due diligence Leverantörs säkerhetsbedömning
Övervakning SBOM, sårbarhetsspårning Löpande leverantörsriskhantering

Samordningsmöjlighet: Integrerad leverantörshantering som täcker både produktkomponenter och organisatoriska leverantörer.

Rapporteringsjämförelse

CRA-rapporteringsväg

PRODUKTSÅRBARHET (aktivt exploaterad)
         │
         ▼
    24-TIMMARSVARNING (tidig)
    Till: ENISA Single Reporting Platform
         │
         ▼
    72-TIMMARSNOTIFIERING (detaljerad)
    Till: ENISA + relevanta CSIRT:er
         │
         ▼
    14-DAGARS SLUTRAPPORT (sårbarhet)
    30-DAGARS SLUTRAPPORT (incident)

NIS2-rapporteringsväg

BETYDANDE INCIDENT (påverkar tjänster)
         │
         ▼
    24-TIMMARSVARNING (tidig)
    Till: Nationell behörig myndighet eller CSIRT
         │
         ▼
    72-TIMMARSINCIDENTNOTIFIERING
    Till: Nationell behörig myndighet eller CSIRT
         │
         ▼
    1-MÅNADS SLUTRAPPORT
    Till: Nationell behörig myndighet eller CSIRT

När båda gäller

En enstaka händelse kan utlösa båda:

Exempel: Zero-day i din produkt exploateras aktivt och påverkar kunder som är väsentliga entiteter (t.ex. energibolag som använder din smarta nätsutrustning).

CRA-rapportering: Du rapporterar den aktivt exploaterade sårbarheten (du är tillverkaren)

NIS2-rapportering: Dina drabbade kunder kan rapportera incidenten (de är de väsentliga entiteterna)

Intern rapportering: Om du också är en väsentlig entitet som använder egna produkter kan du behöva rapportera under båda

Hur du hanterar ett säkerhetsprogram för både CRA och NIS2

Enhetlig säkerhetsstyrning

Istället för separata CRA- och NIS2-efterlevnadsprogram:

ENHETLIG CYBERSÄKERHETSSTYRNING

Styrelsenivå:
- Enstaka cybersäkerhetsriskinsyn
- Kombinerad rapportering till ledning

Operativ nivå:
- Ett sårbarhethanteringsprogram
  ├── Produktsårbarheter (CRA-fokus)
  └── Systemsårbarheter (NIS2-fokus)

- En incidentresponsförmåga
  ├── Produktincidenter (CRA-rapportering)
  └── Tjänsteincidenter (NIS2-rapportering)

- Ett leveranskedjesäkerhetsprogram
  ├── Produktkomponenter (SBOM, CRA)
  └── Tjänsteleverantörer (NIS2)

Processkartläggning

Process CRA-tillämpning NIS2-tillämpning
Riskbedömning Produktriskbedömning Organisatorisk riskhantering
Sårbarhetskanning Produkt-/komponentskanning Infrastrukturskanning
Patchhantering Produktuppdateringar Systempatchar
Incidentrespons Produktincidenthantering Tjänsteincidenthantering
Säkerhetstestning Produktsäkerhetstestning Penetrationstestning
Medvetenhetstraining Utbildning i säker utveckling Allmän säkerhetsmedvetenhet

Dokumentationseffektivitet

Viss dokumentation kan betjäna båda:

Dokument CRA-användning NIS2-användning
Säkerhetspolicy Produktsäkerhetsavsnittet Organisatorisk säkerhetspolicy
Riskregister Produktrisker Organisatoriska risker
Incidentresponsplan Produktincidentprocedurer Tjänsteincidentprocedurer
Leverantörsbedömning Due diligence för komponentleverantörer Bedömning av tjänsteleverantörer

Skillnader i tillämpningen av CRA och NIS2

CRA-tillsyn

  • Marknadsövervakningsmyndigheter övervakar produkter
  • Fokus på produktefterlevnad
  • Böter upp till €15M eller 2,5% av global omsättning
  • Produktåterdragning/återkallelse möjlig

NIS2-tillsyn

  • Nationella behöriga myndigheter övervakar entiteter
  • Fokus på organisatorisk efterlevnad
  • Böter upp till €10M eller 2% av global omsättning
  • Personligt ansvar för ledning möjligt

Dubbel risk?

En enstaka brist kan teoretiskt utlösa tillsyn under båda:

Exempel: Dålig sårbarhethantering leder till opatchad produkt OCH opatschade interna system.

  • CRA: Bristande efterlevnad av krav på sårbarhethantering
  • NIS2: Bristande efterlevnad av åtgärder för riskhantering

I praktiken: Myndigheter bör samordna. Att demonstrera enhetlig efterlevnad hjälper.

Interaktion mellan efterlevnadstidslinjer

NIS2-tidslinje

  • Oktober 2024: Transponeringsdeadline för NIS2
  • 2024–2025: Implementering i medlemsstaterna
  • Löpande: Efterlevnad krävs

CRA-tidslinje

  • September 2026: Rapporteringsskyldigheter börjar
  • December 2027: Fullständig efterlevnad krävs
  • Löpande: Produktlivscykelskyldigheter

Samordnat tillvägagångssätt

REKOMMENDATION:
Bygg ett enhetligt cybersäkerhetsprogram nu som betjänar båda regelverken.
Bygg inte separata NIS2- och CRA-efterlevnadsprogram.

Praktisk samordningschecklista

Styrningsintegration

CHECKLISTA FÖR DUBBELREGLERINGSSTYRNING

ORGANISATORISKT:
[ ] Enstaka cybersäkerhetsstyrningsstruktur
[ ] Styrelsövervakning täcker både produkt- och tjänstesäkerhet
[ ] Kombinerad cybersäkerhetsstrategi
[ ] Enhetlig budgetallokering

RISKHANTERING:
[ ] Integrerad riskbedömning (produkter + tjänster)
[ ] Kombinerat riskregister
[ ] Enhetlig riskbehandlingsprocess
[ ] Enstaka ramverk för riskrapportering

SÅRBARHETHANTERING:
[ ] En intag-kanal för sårbarheter
[ ] Kombinerad triajeprocess
[ ] Integrerat åtgärdsarbetsflöde
[ ] Enhetliga mätvärden och rapportering

INCIDENTRESPONS:
[ ] Kombinerad incidentresponsplan
[ ] Tydlig routing för CRA kontra NIS2-rapportering
[ ] Integrerade kommunikationsprocedurer
[ ] Enhetlig granskning efter incident

Rapporteringsintegration

RAPPORTERINGSMATRIS FÖR DUBBELREGLERING

Händelsetyp                              Rapportera under
────────────────────────────────────────────────────────────
Produktsårbarhet (ej exploaterad)        Inget (enbart CVD-process)
Produktsårbarhet (exploaterad)           CRA → ENISA
Tjänsteincident (ingen produkt)          NIS2 → Nationell myndighet
Båda (produktsårbarhet → tjänst)         Båda (samordna)
────────────────────────────────────────────────────────────

Intern eskalering:
1. Säkerhetsteam bedömer händelse
2. Bestäm: Produktpåverkan? Tjänstepåverkan?
3. Dirigera till lämplig rapporteringsväg/ar
4. Samordna om båda gäller

Leveranskedjeintegration

ENHETLIG LEVERANSKEDJESÄKERHET

För produktkomponenter (CRA-fokus):
- SBOM underhållen
- Komponentssårbarhetövervakning
- Leverantörssäkerhetsfrågeformulär
- Teknisk due diligence

För tjänsteleverantörer (NIS2-fokus):
- Leverantörsriskbedömning
- Säkerhetskrav i avtal
- Löpande övervakning
- Incidentnotifieringsklausuler

INTEGRERAT TILLVÄGAGÅNGSSÄTT:
- Enstaka leverantörshanteringssystem
- Kombinerat riskbedömningsramverk
- Enhetliga avtalsäkerhetskrav
- Samordnat övervakningsprogram

Gränssituationer med dubbelt tillämpningsområde som kräver noggrann avgränsning

Industriella styrsystem

IACS (Industrial Automation and Control Systems) möter särskild komplexitet:

  • CRA: Om du tillverkar IACS för väsentliga entiteter (NIS2), är det Viktig klass II
  • NIS2: Om du driver IACS som en väsentlig entitet ingår de i omfånget

Dubbelt krav: Produkten måste uppfylla CRA; driften måste uppfylla NIS2.

Molntjänster + produkter

Molnleverantörer som säljer hårdvaruapparater:

  • NIS2: Molntjänstdrift
  • CRA: Sålda hårdvaruapparater

Exempel: En molnleverantörs brandväggsapparat måste följa CRA; deras molntjänstdrift måste följa NIS2.

Hälso-angränsande

Tillverkare av medicintekniska produkter kan ha:

  • Vissa produkter under MDR (undantagna från CRA)
  • Vissa produkter under CRA (inte MDR-täckta)
  • Organisation under NIS2 (aktör i hälsosektorn)

Noggrann avgränsning krävs: Kartlägg varje produkt till tillämpligt regelverk.

Vanliga frågor om CRA och NIS2 för produkttillverkare

När utlöser en händelse både CRA:s och NIS2:s rapporteringskrav?

När en aktivt exploaterad sårbarhet i din produkt också orsakar en betydande incident som påverkar dina tjänster. CRA-rapportering utlöses av den exploaterade produktsårbarheten: du lämnar in en tidig varning inom 24 timmar till ENISA, sedan en notifiering inom 72 timmar. NIS2-rapportering utlöses separat om dina tjänster störs: du lämnar in till din nationella behöriga myndighet eller CSIRT på samma 24/72-timmarsschema. De två rapporterna täcker olika ämnen. CRA fokuserar på produkten och sårbarheten. NIS2 fokuserar på tjänstepåverkan och din respons. Båda kan krävas för samma grundläggande händelse.

Vem lämnar in rapporten om tillverkaren också är en väsentlig entitet?

Du lämnar in båda, och du lämnar in dem separat. Som produkttillverkare rapporterar du den exploaterade sårbarheten till ENISA under CRA. Som väsentlig entitet rapporterar du tjänsteincidenten till din nationella behöriga myndighet eller CSIRT under NIS2. De två inlämningarna är oberoende: olika formulär, olika mottagare, i vissa fall olika deadlines. Utse en namngiven ansvarig för varje rapporteringsväg innan en incident inträffar. Antag inte att en rapport uppfyller kraven för den andra.

Kan ett enda riskregister tjäna både CRA och NIS2?

Ja, om det separerar produktrisker från organisatoriska risker. Strukturera registret så att risker på produktnivå (komponentssårbarheter, uppdateringsfel, konformitetsluckor) är tydligt åtskilda från organisatoriska risker (tjänstekontinuitet, styrningsbrister, störningar i leveranskedjan). Båda uppsättningarna risker kan finnas i samma dokument och dela en gemensam bedömningsmetodik. Det som inte kan slås samman är behandlingen: CRA-riskbehandling leder till produktkontroller och uppdateringar av teknisk fil; NIS2-riskbehandling leder till organisatoriska åtgärder och policyändringar. Håll posterna åtskilda så att varje revision kan hitta vad den behöver.

Hur bör leverantörsgranskning skilja sig åt för komponenter och tjänsteleverantörer?

För produktkomponenter under CRA är due diligence teknisk: du behöver en SBOM som täcker komponenten, bevis på sårbarhetövervakning av leverantören, och en avtalsenlig skyldighet att meddela dig om exploaterbara sårbarheter inom en definierad tidsram. För tjänsteleverantörer under NIS2 är due diligence organisatorisk: du bedömer deras säkerhetsstyrning, förmåga till incidentrespons, affärskontinuitet och om de uppfyller de NIS2-säkerhetsåtgärder som gäller för din sektor. Båda typerna kan dela en gemensam enkätmall, men utvärderingskriterierna och avtalsklausulerna är olika.

Vilka bevis bör sparas för att visa samordnad efterlevnad av båda regelverken?

Spara tre saker. För det första ett kartläggningsdokument som visar vilka interna processer som tjänar vilken regulatorisk skyldighet, så att en revisor kan spåra vilket CRA- eller NIS2-krav som helst till en specifik kontroll. För det andra incidentregister som visar att båda rapporteringsvägarna aktiverades korrekt när händelser kvalificerade, med tidsstämplar och mottagarbekräftelser. För det tredje styrelse- eller ledningsrapportering som täcker både produktsäkerhet och organisatorisk säkerhet under en enhetlig styrningsstruktur, vilket visar att tillsynen är samlad. Om du granskas under CRA och NIS2 under samma år är detta de bevis som visar att du driver ett program, inte två fristående.

Hur påverkar nationella skillnader i NIS2-genomförande en tillverkare som verkar i flera länder?

NIS2 är ett direktiv, inte en förordning, vilket innebär att varje EU-medlemsstat införlivar det i nationell lag. Kärnskyldigheterna (riskhantering, incidentrapportering, leveranskedjesäkerhet) är enhetliga, men den behöriga myndigheten, sektorströsklarna och ibland påföljdsstrukturen skiljer sig åt mellan länderna. En tillverkare som verkar i Tyskland, Frankrike och Polen måste identifiera vilken nationell myndighet som övervakar varje entitet, registrera sig hos rätt organ i varje jurisdiktion och dirigera NIS2-incidentrapporter till rätt nationellt CSIRT. CRA däremot är en förordning och gäller enhetligt i hela EU. Om du säljer en produkt i något EU-land gäller samma CRA-skyldigheter.

Nästa steg

Börja med att bekräfta om ditt företag är både produkttillverkare och en väsentlig eller viktig entitet under NIS2. Använd produktklassificeringsguiden för att kartlägga varje produkt till dess CRA-klass. Kartlägg sedan produktrisker och tjänsterisker separat i ett enda register som håller dem åtskilda. Definiera de interna rapporteringsutlösarna för CRA kontra NIS2 och utse en namngiven ansvarig för varje väg. Ena dina arbetsflöden för leverantörs- och sårbarhetsintag så att båda typerna av leverantörer flödar genom en process. För en fullständig översikt över CRA-deadlines, se CRA-implementeringstidslinjen. Genomför sedan en gemensam tabletopövning som simulerar en produktincident som också påverkar dina tjänster: detta kommer att avslöja luckor i din respons med dubbelt tillämpningsområde innan en verklig händelse gör det.

Den här artikeln är endast avsedd för informationsändamål och utgör inte juridisk rådgivning. För specifik efterlevnadsvägledning, konsultera kvalificerade juridiska rådgivare.

CRA Produktklasser Efterlevnad
Share

Relaterade artiklar

Tillbaka till alla artiklar

Gäller CRA för din produkt?

Svara på 6 enkla frågor för att ta reda på om din produkt omfattas av EU:s Cyber Resilience Act. Få ditt resultat på under 2 minuter.

Kontrollera nu

Redo att uppnå CRA-efterlevnad?

Börja hantera dina SBOM:ar och efterlevnadsdokumentation med CRA Evidence.

Starta 14-dagars gratis provperiod