CRA-efterlevnad för industriell automation: IEC 62443-samordning och OT-säkerhetsguide

Hur CRA tillämpas på industriella automations- och OT-produkter. Täcker IEC 62443-samordning, viktig klass II-klassificering och praktisk efterlevnad för PLC, SCADA och industriell IoT.

CRA Evidence Team Publicerad 8 januari 2026 Uppdaterad 19 april 2026
CRA-efterlevnad för industriell automation: IEC 62443-samordning och OT-säkerhetsguide
I denna artikel

Industriella automationsprodukter möter specifika CRA-utmaningar på grund av sin kritiska roll inom tillverkning, energi och infrastruktur. Många faller i viktig klass II, vilket kräver tredjepartsbedömning av överensstämmelse. Den väletablerade standarden IEC 62443 ger en stark grund för CRA-efterlevnad.

Den här guiden täcker CRA-efterlevnad för tillverkare inom industriell automation.

Sammanfattning

  • Många industriella automationsprodukter är viktig klass II (tredjepartsbedömning krävs).
  • IEC 62443-certifiering stöder CRA-efterlevnad avsevärt (ingen automatisk likvärdighet).
  • OT-miljöer har särskilda utmaningar kring uppdatering och livscykel.
  • En minsta supportperiod på 5 år gäller enligt CRA Artikel 13.8, planera produktlivscykler därefter.
  • SBOM-krav gäller för industriella styrsystem.
  • Integration av safety och security är kritisk (IEC 62443 med IEC 61508 / ISO 13849).
5 år
Minsta supportperiod
CRA Artikel 13.8
24 h
Tidig varning
till CSIRT och ENISA
72 h
Sårbarhetsrapport
CRA Artikel 14.2 b
14 d
Slutrapport
efter åtgärd

Källa: Förordning (EU) 2024/2847, Artikel 13.8 (supportperiod) och Artikel 14.2 a, b och c (rapporteringskadens).

Vilka industriprodukter omfattas?

CRA:s tillämpningsområde för industriell automation

CRA gäller för "produkter med digitala element" som tillhandahålls på EU-marknaden. För industriell automation omfattar detta:

Tydligt inom tillämpningsområdet:

  • PLC (programmerbara logikstyrenheter)
  • Industri-PC och HMI
  • SCADA-programvara
  • DCS-system
  • Industriella IoT-sensorer och gateways
  • Industriella routrar och switchar
  • Fjärråtkomstlösningar
  • Engineering-arbetsstationer och programvara

Undantag kan gälla:

  • Produkter uteslutande för nationell säkerhet
  • Produkter avsedda för militär användning
  • Kundspecifika industriella engångssystem (kan klassas som "reservdelar")

CRA-klassificering för industriprodukter

De flesta industriella automationsprodukter faller i viktig klass I eller II.

Viktig klass II

Tredjepartsbedömning krävs.

  • Brandväggar för industriell användning
  • Industriella IDS-/IPS-system
  • Mikrokontroller med säkerhetsfunktioner
  • HSM för industriella tillämpningar
  • Smarta mätare (energiinfrastruktur)
  • Industriella routrar i kritisk infrastruktur
Viktig klass I

Självbedömning möjlig med harmoniserade standarder.

  • PLC och industriella styrenheter
  • SCADA-/DCS-programvara
  • Industriella IoT-gateways
  • Fjärråtkomst- och VPN-lösningar
  • Industriell nätverksutrustning
Standard

Självbedömning.

  • Enkla sensorer utan nätverksförmåga
  • Enkla industriella kringprodukter
  • Icke-nätverksansluten utrustning
Stäm av mot primärkällan

Klassificeringen beror på produktens specifika funktioner. Konsultera CRA:s bilagor III och IV för slutgiltig klassificering.

IEC 62443 och CRA-samordning

Vad är IEC 62443?

IEC 62443 är den internationella standardserien för säkerhet i industriella automations- och styrsystem (IACS). Den omfattar:

  • IEC 62443-4-1: säker utvecklingslivscykel.
  • IEC 62443-4-2: säkerhetskrav för komponenter (4 Security Levels, SL 1 till SL 4).
  • IEC 62443-3-3: systemsäkerhetskrav.
  • IEC 62443-2-4: krav på tjänsteleverantörer.

IEC 62443 ↔ CRA-täckning i överblick

Täckningskarta IEC 62443 och CRA som visar vilka CRA-krav som täcks av IEC 62443, vilka som täcks delvis och vilka som inte täcks.
Där IEC 62443-bevis mappas direkt till CRA-krav, där de bara täcker en del av skyldigheten och där CRA lägger till nya skyldigheter.

IEC 62443 ↔ CRA-mappning

CRA-kravIEC 62443-täckningStatus
Säker som standardSL-krav (4-2)Delvis, CRA-standard strängare
Sårbarhetshantering4-1 (SDL), 2-4 (underhåll)God samordning
Säkerhetsuppdateringar4-1, 2-4Processamordning
Inga kända sårbarheter4-1 (sårbarhetshantering)Process samordnad
Dataskydd4-2 (konfidentialitet)Delvis
Åtkomstkontroll4-2 (autentisering, auktorisering)Stark samordning
Kryptografi4-2 (krypteringskrav)God samordning
Granskningsloggning4-2 (granskningsloggar)God samordning
Uppdateringsförmåga4-2 (firmware-uppdatering)Samordning
SBOMInte i IEC 62443Lucka
CE-märkningInte i IEC 62443Lucka
5 års supportEj specificeratLucka

IEC 62443 som grund, inte som likvärdighet

Viktigt

IEC 62443-certifiering betyder INTE automatiskt CRA-efterlevnad. Använd den som grund och bevis, inte som likvärdighet.

Vad IEC 62443 ger:

  • Stark teknisk säkerhetsgrund.
  • Mogen livscykel för säker utveckling.
  • Väldokumenterade säkerhetsfunktioner.
  • Bevis för bedömning av överensstämmelse.

Vad CRA lägger till utöver IEC 62443:

  • SBOM-krav (nytt).
  • Särskild sårbarhetsrapportering till det CSIRT som utsetts till samordnare och ENISA (tidig varning inom 24 timmar, sårbarhetsrapport inom 72 timmar och slutrapport inom 14 dagar enligt CRA Artikel 14.2).
  • CE-märkning och EU-försäkran om överensstämmelse.
  • Åtagande om minsta supportperiod på 5 år enligt CRA Artikel 13.8.
  • Särskilda krav på dokumentationsformat.
  • Samordning av marknadskontroll.

Utnyttja IEC 62443 för CRA

  1. Om du har IEC 62443-4-1-certifiering. Återanvänd SDL-dokumentationen för CRA:s tekniska dokumentation, visa din säkra utvecklingslivscykel och använd den som bevis för riskbedömningsansatsen.
  2. Om du har IEC 62443-4-2-certifiering. Återanvänd dokumentationen av säkerhetsfunktioner, mappa varje uppnådd Security Level till CRA:s väsentliga säkerhetskrav och lägg fram den som bevis för att säkerhetsfunktionerna är införda.
  3. Lägg till de CRA-specifika punkterna ovanpå. Ta fram en SBOM, etablera rapporteringsförmåga mot ENISA, dokumentera åtagandet om 5 års support, förbered EU-försäkran om överensstämmelse och anbringa CE-märkning.

OT-specifika efterlevnadsutmaningar

Utmaningar med uppdatering och patchning

Industriella miljöer har unika begränsningar för uppdateringar.

Utmaningar:

  • 24/7-drift utan underhållsfönster.
  • Revalidering av säkerhetssystem efter uppdateringar.
  • Integration med äldre system.
  • Air-gapped eller halvt anslutna miljöer.
  • Långa kvalificeringscykler.

CRA-kraven gäller fortfarande:

  • Säkerhetsuppdateringar måste tillhandahållas i minst 5 år (CRA Artikel 13.8).
  • En mekanism för att leverera uppdateringar måste finnas.
  • Sårbarheter måste åtgärdas inom rimlig tid.
  1. Stegvis utrullning. Testmiljöer först, sedan pilotproduktionslinjer, därefter fullständig utrullning med övervakning.
  2. Uppdateringsplanering. Samordna med planerat underhåll, informera i förväg med veckor eller månaders varsel och stöd kundstyrda uppdateringscykler.
  3. Offline-leverans. USB-baserade uppdateringspaket, uppdateringsservrar inom OT-nätverket eller säkra filöverföringsmekanismer för air-gapped-platser.
  4. Safety-revalidering. Dokumentera uppdateringens påverkan på safety-funktioner, tillhandahåll revalideringsvägledning och överväg safety-security-samkonstruktion.

Långa produktlivscykler

Industriprodukter har ofta livscykler på 15 till 20+ år, men CRA kräver endast minst 5 år.

År 1 till 5

Aktiv försäljning och CRA-supportperiod (minimum). Säkerhetsuppdateringar och sårbarhetshantering gäller fullt ut.

År 5 till 10

Utökad support. Tillverkaren kan fortsätta tillhandahålla säkerhetsuppdateringar utöver CRA-golvet, särskilt när produkten fortfarande används.

År 10 till 15

Legacy-support. Begränsade uppdateringar, en större del av den operativa risken övergår till kunden.

År 15+

End of life. Kundens ansvar, kommunicera end-of-support-datum tydligt vid försäljningstillfället.

CRA:s regel om supportperiod

Minst 5 år från varje enhets försäljningsdatum, eller längre om förväntad produktlivslängd överstiger 5 år. Planera supportperioden utifrån rimlig produktlivslängd, inte enbart utifrån CRA-golvet.

Dokumentationsbehov:

  • Kommunicera supportperioden tydligt vid köp.
  • Ange ett end-of-support-datum.
  • Dokumentera kundens ansvar efter supportens slut.

Integration av safety och security

Industriprodukter har ofta safety-krav (SIL-nivåer enligt IEC 61508 / ISO 13849). CRA lägger till security-krav.

1 · Riskbedömning

Kombinerad safety- och security-hotmodellering. Behandla security-hot mot safety-funktioner som ett eget felläge.

2 · Krav

Safety-krav (SIL 1 till SIL 4) och security-krav (SL 1 till SL 4) finns sida vid sida. Ingen security-åtgärd får äventyra safety.

3 · Validering

Safety-validering, security-tester och kombinerade scenariotester körs alla före release. Varje disciplin godkänner oberoende.

4 · Ändringshantering

Safety-revalidering vid security-patchar. Security-bedömning vid safety-ändringar. Båda loopar är obligatoriska, inte valfria.

Kärnprincip

Ingen security-åtgärd får äventyra safety. Där disciplinerna står i konflikt har safety företräde och security-designen ändras.

SBOM för industriella system

Utmaningar med komponentidentifiering

Industriprodukter innehåller ofta:

  • Realtidsoperativsystem (RTOS).
  • Proprietär firmware.
  • Tredjepartsbibliotek (OPC UA, MQTT, Modbus-stackar).
  • Hårdvarukomponenter med firmware.
  1. Programvarukomponenter. RTOS och kärna, protokollstackar (OPC UA, Modbus, EtherNet/IP, PROFINET), säkerhetsbibliotek (TLS, krypto), tredjeparts-middleware och applikationsprogramvara.
  2. Firmware. Bootloader, enhetsfirmware och fältprogrammerbara komponenter.
  3. Djup. Primärkomponenter är tillverkarkontrollerade, begär SBOM från leverantörer för tredjepartskomponenter och gå så djupt som praktiskt möjligt i nästlade komponenter.
Format
CycloneDX eller SPDX. Båda är godtagbara.
Identifierare
Inkludera PURL-identifierare när de finns tillgängliga.
Kundspecifika komponenter
Dokumentera kundspecifika och proprietära komponenter uttryckligen.

Komplexitet i leverantörskedjan

Industriprodukter har ofta komplexa leverantörskedjor.

Nivå 1 · Din produkt

Din programvara och firmware. Fullständig SBOM krävs.

Nivå 2 · Direkta leverantörer

Tredjepartskomponenter. Begär SBOM från varje leverantör och inkludera den i din egen SBOM.

Nivå 3 · Underleverantörer

Komponenter inuti komponenter. Inkludering efter bästa förmåga. Dokumentera kända begränsningar.

Åtgärder:

  • Uppdatera leverantörsavtalen med SBOM-krav.
  • Etablera ett SBOM-utbytesformat med leverantörer.
  • Skapa en process för SBOM-integration.
  • Dokumentera begränsningar i leverantörskedjan.

Bedömning av överensstämmelse för industriprodukter

Modul B+C (EU-typkontroll)

För viktig klass II-industriprodukter:

  1. Modul B, typkontroll. Det anmälda organet granskar den tekniska dokumentationens fullständighet, riskbedömningens tillräcklighet, täckningen av säkerhetskraven, eventuell IEC 62443-certifiering som lagts fram som bevis, SBOM-kvalitet och testresultat. Resultat: ett EU-typintyg.
  2. Modul C, överensstämmelse med typ. Tillverkaren säkerställer att produktionen stämmer överens med den granskade typen, upprätthåller intern kvalitetssäkring i produktionen och håller dokumentationen aktuell. Resultat: en egenförsäkran om överensstämmelse med typ.

Att använda IEC 62443-certifiering

Om du har IEC 62443-4-2-certifiering:

  1. Lägg fram för det anmälda organet. Lämna in IEC 62443-4-2-certifikatet, uppnådd Security Level (SL 1 till SL 4), ISASecure-certifikat om tillämpligt och utvärderingsrapporten.
  2. Det anmälda organets bedömning. Organet erkänner IEC 62443 som bevis, verifierar täckningen av CRA-kraven, identifierar eventuella luckor och kan minska testomfattningen.
  3. Ytterligare bevis krävs fortfarande. SBOM (inte täckt av IEC 62443), rapporteringsförmåga mot ENISA, dokumenterat åtagande om 5 års support och användardokumentation.

Branschspecifik vägledning

PLC och styrenheter

Vanligtvis viktig klass I eller II.

Viktiga krav. Secure boot-förmåga, krypterad kommunikation (valfritt på väg mot standard), stark autentisering, granskningsloggning, mekanism för firmware-uppdatering, SBOM för firmware och runtime.

IEC 62443-samordning. Använd IEC 62443-4-2 SL2+ som baslinje, dokumentera säkerhetsfunktioner, testa säkerhetsfunktioner.

Att se upp med. Realtidsbegränsningar kontra security-bearbetning, skydd av safety-funktioner, stöd för äldre protokoll (Modbus och andra).

SCADA- / DCS-programvara

Vanligtvis viktig klass I.

Viktiga krav. Säker arkitektur, rollbaserad åtkomstkontroll, krypterad kommunikation, granskningsspår, uppdateringsmekanism, SBOM för alla komponenter.

Att se upp med. Databassäkerhet, konfiguration av OPC UA-säkerhet, skydd av historian-data, säkerhet vid fjärråtkomst.

Industriella IoT-gateways

Vanligtvis viktig klass I.

Viktiga krav. Secure boot, stöd för nätverkssegmentering, krypterade protokoll (MQTT-TLS och liknande), enhetsautentisering, mekanism för firmware-uppdatering, SBOM.

Att se upp med. Säkerhet för edge computing, säkerhet för molnanslutning, säkerhet vid protokollöversättning, datafiltrering och validering.

Praktisk efterlevnadsplan

Fas 1 · Bedömning

Produktinventering.

  • Lista alla produkter med digitala element.
  • Klassificera enligt CRA-kategorier.
  • Identifiera viktig klass II-produkter.

Befintliga certifieringar.

  • Lista IEC 62443-certifieringar.
  • Mappa mot CRA-krav.
  • Identifiera luckor.

Gap-analys.

  • SBOM-förmåga.
  • Beredskap för sårbarhetsrapportering.
  • Planering av 5 års support.
  • Dokumentationsluckor.
Fas 2 · Förberedelse

Tekniskt.

  • Införa SBOM-generering.
  • Etablera en process för sårbarhetshantering.
  • Förbereda rapporteringsförmåga mot ENISA.
  • Uppdatera produktsäkerhetsbaslinjer.

Dokumentation.

  • Struktur för teknisk dokumentation.
  • Uppdateringar av säkerhetsdokumentation.
  • Användarvägledning för säker driftsättning.
  • Kommunikation av supportperiod.

Kommersiellt.

  • Definitioner av supportperiod.
  • Avtalsuppdateringar för kunder.
  • Prisöversyn där efterlevnadskostnaderna är betydande.
Fas 3 · Efterlevnad

Från 11 september 2026.

  • Sårbarhetsrapportering i drift.
  • Den gemensamma rapporteringsplattformen i bruk.

Under 2027.

  • Slutför bedömningar av överensstämmelse.
  • Engagera anmälda organ (viktig klass II).
  • Erhåll EU-typintyg.
  • Uppdatera all produktdokumentation.

Senast 11 december 2027.

  • Alla omfattade produkter CRA-förenliga.
  • CE-märkning anbringad.
  • Kundkommunikation slutförd.

Branschresurser

Standardiseringsorgan

  • IEC (Internationella elektrotekniska kommissionen). IEC 62443-serien. iec.ch
  • ISA (International Society of Automation). ISA/IEC 62443-utveckling, ISASecure-certifieringsprogram. isa.org
  • NAMUR (sammanslutning inom processindustrin). NE-rekommendationer för OT-säkerhet. namur.net
  • NIST. Cybersecurity Framework, SP 800-82 (OT-säkerhetsguide). nist.gov

Branschorganisationer

Organisation Fokus Webbplats
ZVEI (Tyskland) Elindustri zvei.org
ORGALIM Europeisk ingenjörsindustri orgalim.eu
VDMA (Tyskland) Maskinindustri vdma.org
GAMBICA (Storbritannien) Industriell automation gambica.org.uk
ODVA Industriella nätverk odva.org

Om du tillverkar maskiner med digitala element, läs vår guide för maskintillverkare för specifik vägledning om dubbel efterlevnad av CRA och EU:s maskinförordning.

Checklista för industriell automation

Produktklassificering
  • Klassificering fastställd (Standard / Viktig I / Viktig II).
  • Väg för bedömning av överensstämmelse vald.
  • Anmält organ identifierat, vid behov.
Befintliga certifieringar
  • IEC 62443-4-1 (SDL).
  • IEC 62443-4-2 (komponentsäkerhet).
  • ISASecure-certifiering.
  • Mappade mot CRA-krav.
Teknisk efterlevnad
  • Säker standardkonfiguration.
  • Säker uppdateringsmekanism.
  • Förmåga att generera SBOM.
  • Process för sårbarhetshantering.
  • Rapporteringsförmåga mot ENISA.
Dokumentation
  • Teknisk dokumentation förberedd.
  • Riskbedömning dokumenterad.
  • Säkerhetsarkitektur dokumenterad.
  • Användarsäkerhetsvägledning förberedd.
Livscykel
  • Supportperiod på 5 år definierad.
  • Mekanism för uppdateringsleverans.
  • End-of-life-planering.
  • Process för safety-revalidering vid uppdateringar.
Leverantörskedja
  • SBOM-krav på leverantörer.
  • Bedömning av komponentsäkerhet.
  • Dokumentation av leverantörskedjan.
NIS 2 väsentliga enheter

Industriella automationsprodukter för NIS 2-väsentliga enheter klassificeras som viktig klass II, vilket kräver obligatorisk tredjepartsbedömning.

Försprång genom IEC 62443

Samordning med IEC 62443 ger dig ett försprång i CRA-efterlevnaden. Många krav överlappar, vilket minskar din ytterligare efterlevnadsbörda.

Vanliga frågor

Är IEC 62443-certifiering likvärdig med CRA-efterlevnad?

Nej. IEC 62443-certifiering betyder inte automatiskt CRA-efterlevnad. Den ger en stark teknisk säkerhetsgrund och bevis som ett anmält organ kan återanvända, men CRA lägger till skyldigheter som IEC 62443 inte täcker: SBOM-krav, ENISA-incidentrapportering enligt Artikel 14, CE-märkning och försäkran om överensstämmelse, och åtagande om minsta supportperiod på 5 år enligt Artikel 13.8.

Vilka industriella automationsprodukter faller i viktig klass II?

Industriella brandväggar, industriella IDS-/IPS-system, hårdvarusäkerhetsmoduler (HSM) för industriella tillämpningar, mikrokontroller med säkerhetsfunktioner, smarta mätare för energiinfrastruktur och industriella routrar i kritisk infrastruktur. Viktig klass II-produkter kräver tredjepartsbedömning av överensstämmelse (vanligtvis Modul B+C eller Modul H). Se guiden för produktklassificering för det fullständiga beslutsflödet.

Gäller CRA:s minsta supportperiod på 5 år även för produkter med industriella livscykler på 15 till 20 år?

Ja. Fem år är golvet enligt CRA Artikel 13.8. När produkten rimligen förväntas vara i bruk längre måste tillverkaren fastställa en längre supportperiod som speglar den livslängden. Industriprodukter med livscykler på 15 till 20 år behöver vanligtvis planera support betydligt utöver 5-årsgolvet och kommunicera end-of-support-datumet tydligt vid försäljningstillfället.

Hur hanterar vi CRA-säkerhetsuppdateringar i OT-miljöer utan underhållsfönster?

Använd en kombination av stegvis utrullning (test, pilot, fullständig produktion), schemalagda uppdateringsfönster samordnade med planerat underhåll, offline-leveransmekanismer som USB-paket eller uppdateringsservrar inom OT-nätverket, samt dokumenterad safety-revalidering för varje uppdatering. CRA kräver inte kontinuerlig online-anslutning, men kräver att en mekanism för att leverera uppdateringar finns och att sårbarheter åtgärdas inom rimlig tid.

Vilka CRA-krav täcks inte av IEC 62443?

SBOM-generering och -underhåll, rapportering av sårbarheter och allvarliga incidenter till det CSIRT som utsetts till samordnare och ENISA enligt 24 timmars- / 72 timmars- / 14 dagars-kadensen i CRA Artikel 14.2, CE-märkning med EU-försäkran om överensstämmelse, åtagandet om minsta supportperiod på 5 år, och samordning av marknadskontroll. IEC 62443-bevis hjälper med de tekniska kraven men fullgör ingen av dessa skyldigheter.

Kan IEC 62443-4-2-certifiering minska det anmälda organets testomfattning?

Ja, det kan den. Ett anmält organ som erkänner IEC 62443-4-2 som bevis verifierar täckningen av CRA-kraven, identifierar eventuella luckor och kan minska testomfattningen därefter. Lägg fram certifikatet, uppnådd Security Level (SL 1 till SL 4), eventuellt ISASecure-certifikat och utvärderingsrapporten. Du måste fortfarande komplettera med SBOM-bevis, rapporteringsförmåga mot ENISA, dokumenterat åtagande om 5 års support och användardokumentation. Se beslutsguiden för bedömning av överensstämmelse för den fullständiga moduljämförelsen.

Nästa steg

  1. Klassificera varje produkt (Standard / Viktig I / Viktig II) med guiden för CRA-produktklassificering.
  2. Mappa dina IEC 62443-bevis in i den tekniska dokumentationsstrukturen som beskrivs i guiden för teknisk dokumentation enligt Bilaga VII.
  3. Lägg till SBOM-generering i din build-pipeline. IEC 62443 täcker inte detta. Se guiden för SBOM-generering.
  4. Etablera ENISA-incidentrapportering på 24 timmar / 72 timmar / 14 dagar före 11 september 2026 med rapporteringsguiden.
  5. Definiera supportperioden och kommunicera den vid försäljningstillfället med guiden för planering av supportperioden.
  6. Om en produkt är viktig klass II, välj modul för bedömning av överensstämmelse med beslutsguiden Modul A / B+C / H.

Den här artikeln är endast avsedd för informationsändamål och utgör inte juridisk rådgivning. För specifik efterlevnadsvägledning, konsultera kvalificerade juridiska rådgivare.

CRA Säkerhetsstandarder Produktklasser Industriell
Share

Relaterade artiklar

Tillbaka till alla artiklar

Gäller CRA för din produkt?

Svara på 6 enkla frågor för att ta reda på om din produkt omfattas av EU:s Cyber Resilience Act. Få ditt resultat på under 2 minuter.

Kontrollera nu

Redo att uppnå CRA-efterlevnad?

Börja hantera dina SBOM:ar och efterlevnadsdokumentation med CRA Evidence.

Starta 14-dagars gratis provperiod

Djupdykning i CRA-ämnen

Evergreen guides covering the specific requirements, processes, and roles defined by the Cyber Resilience Act.

EU-försäkran om överensstämmelse

Vad EU-försäkran om överensstämmelse måste innehålla, vem som undertecknar den och när den krävs.

Läs guiden →
Bedömning av överensstämmelse

Hur överensstämmelsebedömning fungerar under CRA och när ett anmält organ krävs.

Läs guiden →
Teknisk dokumentation

Vad CRA:s tekniska dokumentation måste innehålla (Bilaga VII avsnitt för avsnitt) och hur tillverkare bör strukturera den.

Läs guiden →
Produktklassificering

Hur CRA klassificerar produkter efter risknivå och vad varje kategori innebär för skyldigheter.

Läs guiden →
SBOM-krav

Vad CRA kräver för SBOM:er och hur BSI TR-03183 definierar kvalitetskriterier.

Läs guiden →
Rapportering av sårbarheter

Hur kravet på 24-timmarsanmälan till ENISA fungerar och vad som räknas som en aktivt utnyttjad sårbarhet.

Läs guiden →
Importörens skyldigheter

Vad artikel 19 kräver av importörer och hur tillverkarens efterlevnad verifieras.

Läs guiden →
Planering av supportperiod

Vad CRA:s skyldighet om supportperiod innebär för säkerhetsuppdateringar och end-of-life-planering.

Läs guiden →
View full CRA compliance guide