CRA kontra ISO 27001: de efterlevnadsluckor ditt ISMS inte täcker
ISO 27001 täcker inte CRA. Den här guiden visar exakt var ditt ISMS hjälper, var det brister och vad du behöver lägga till före 2027.
I denna artikel
- Sammanfattning
- Vad täcker ISO 27001 jämfört med vad CRA kräver?
- Där ISO 27001 hjälper CRA och där det brister
- Hur du bygger på ISO 27001 för CRA
- ISO 27001 Bilaga A-kontroller och CRA
- Räknas ISO 27001-certifiering för CRA-bedömning av överensstämmelse?
- Tre vanliga ISO 27001- och CRA-scenarier
- Checklista: ISO 27001-organisation som lägger till CRA
- Officiella ISO 27001- och CRA-resurser
- Vanliga frågor
- Nästa steg
Om ditt företag är ISO 27001-certifierat kanske du antar att du är väl positionerad för Cyber Resilience Act (CRA). Det är du inte. Inte utan betydande tilläggsarbete.
ISO 27001 skyddar din organisations informationstillgångar. Cyber Resilience Act (Förordning (EU) 2024/2847) kräver att varje produkt med digitala element som du släpper på EU-marknaden är säker by design, levereras med en software bill of materials (SBOM) och får säkerhetsuppdateringar under sin förväntade livstid. Det rör sig om skyldigheter på produktnivå, inte organisatoriska. Bristande efterlevnad kan ge böter på upp till 15 miljoner euro eller 2,5 procent av global årlig omsättning (Artikel 64). Se guiden om CRA-böter.
Rapporteringsskyldigheterna enligt Artikel 14 börjar gälla den 11 september 2026. Full efterlevnad krävs senast den 11 december 2027. Se den fullständiga CRA-implementeringstidslinjen.
Den här guiden om ISO 27001 kontra CRA kartlägger exakt var ditt ISMS hjälper, var det brister och vad du behöver lägga till.
Sammanfattning
- ISO 27001 = organisatorisk säkerhetshantering
- CRA = produktkrav på cybersäkerhet (Bilaga I, Förordning (EU) 2024/2847)
- ISO 27001 innebär INTE CRA-efterlevnad
- ISO 27001 ger en grund för processer för säker utveckling
- CRA kräver produktspecifik evidens: SBOM, sårbarhetshantering, CE-märkning
- Båda tillsammans ger en stark övergripande säkerhetsposition
Källa: Förordning (EU) 2024/2847, Artikel 13, 14 och 64.
Vad täcker ISO 27001 jämfört med vad CRA kräver?
Vad ISO 27001 täcker
ISO 27001 är en standard för ledningssystem för informationssäkerhet (ISMS) som omfattar:
Kontroller på organisationsnivå:
- Informationssäkerhetspolicyer
- Tillgångshantering
- Åtkomstkontroll (till system och data)
- Användning av kryptografi
- Fysisk säkerhet
- Driftssäkerhet
- Kommunikationssäkerhet
- Leverantörsrelationer
- Incidenthantering
- Verksamhetskontinuitet
- Efterlevnadshantering
Fokus: Skydda organisationens informationstillgångar
Vad CRA täcker
CRA är en produktförordning som täcker (Bilaga I):
Krav på produktnivå:
- Säkerhet by design i produkter
- Inga kända exploaterbara sårbarheter
- Säker standardkonfiguration
- Skydd mot obehörig åtkomst (i produkten)
- Dataskydd (av produkten)
- Uppdateringsförmåga (hos produkten)
- Sårbarhetshantering och ENISA-rapportering (för produkten)
- SBOM för produktkomponenter (Artikel 13.5)
- Policy för samordnad sårbarhetsredovisning (Artikel 13.6)
- Offentlig sårbarhetskontakt (Artikel 13.7)
- CE-märkning och bedömning av överensstämmelse
Fokus: Säkerställa att produkter du säljer är säkra
CRA klassificerar produkter i kategorier: standard, Important Class I, Important Class II och Critical (Bilaga III och IV). Varje kategori medför olika krav på bedömning av överensstämmelse. En Important Class II-produkt kräver obligatorisk tredjepartsbedömning av ett anmält organ, oavsett din ISO 27001-certifieringsstatus. Se guiden om CRA-produktklassificering.
Den grundläggande skillnaden
Där ISO 27001 hjälper CRA och där det brister
Där ISO 27001 hjälper CRA
| CRA-krav | ISO 27001-stöd | Hur det hjälper |
|---|---|---|
| Säker utveckling | A.8.25-28 (Säker utveckling) | Processfundament |
| Sårbarhetshantering | A.8.8 (Tekniska sårbarheter) | Organisatorisk process |
| Incidenthantering | A.5.24-26 (Incidenthantering) | Responsförmåga |
| Leverantörsstyrning | A.5.19-22 (Leverantörsrelationer) | Leveranskedjans säkerhet |
| Åtkomstkontroll | A.5.15-18, A.8.2-5 | Säkerhet i utvecklingsmiljön |
| Kryptografi | A.8.24 (Kryptografi) | Kryptopolicygrund |
| Dokumentation | A.5.1 (Policyer), 7.5 (Dokumenterad info) | Dokumentationskultur |
| Riskbedömning | 6.1 (Riskbedömning) | Riskmetodik |
Där ISO 27001 brister
| CRA-krav | ISO 27001-brist | Vad som saknas |
|---|---|---|
| SBOM | Delvis: A.8.26/A.8.28 täcker komponentkännedom, inte maskinläsbart SBOM-format | Standardiserat SBOM (SPDX/CycloneDX) per Artikel 13.5 |
| CE-märkning | Täcks inte | Process för bedömning av överensstämmelse |
| Produktsäkerhetstestning | Begränsad | Produktspecifik testevidens för teknisk dokumentation |
| Säker som standard | Inte produktfokuserad | Produktkonfigurationskrav |
| Stödperiod | Täcks inte | Minst 5 år, eller förväntad produktlivstid om kortare (Artikel 13.8) |
| ENISA-rapportering | Täcks inte | Tidig varning inom 24 timmar, initial notifiering inom 72 timmar och slutrapport till nationellt CSIRT via den gemensamma rapporteringsplattformen (Artikel 14) |
| CVD-policy | Täcks inte | Dokumenterad policy för samordnad sårbarhetsredovisning (Artikel 13.6) |
| Offentlig sårbarhetskontakt | Täcks inte | Enda kontaktpunkt för sårbarhetrapporter, till exempel security.txt (Artikel 13.7) |
| Användardokumentation | Begränsad | Produktens säkerhetsinstruktioner |
| Teknisk dokumentation | Täcks inte | CRA-dokumentationsformat per Bilaga VII |
Sammanfattning av gapanalys
Stark grund (ISO 27001 hjälper avsevärt):
- Säkerhetskultur och medvetenhet
- Riskhanteringsmetodik
- Incidentresponsförmåga
- Leverantörssäkerhetshantering
- Policyer för säker utvecklingslivscykel
- Ramverk för åtkomstkontroll
- Dokumentationspraxis
Delvis täckning (ISO 27001 hjälper men räcker inte):
- Sårbarhetshantering (organisatoriskt omfång kontra produktomfång)
- Kryptografi (policy kontra produktimplementering)
- Säkerhetstestning (företagssystem kontra produkttestning)
- Ändringshantering (IT-ändring kontra produktmodifikation)
- SBOM (komponentkännedom i A.8.26/A.8.28 kontra maskinläsbart SBOM-format)
Luckor (CRA-specifika, täcks inte av ISO 27001):
- SBOM-generering och underhåll i standardiserat format
- Bedömning av produktens överensstämmelse
- CE-märkningsprocess
- Sårbarhetsrapportering till nationellt CSIRT via den gemensamma rapporteringsplattformen (Artikel 14)
- Produktspecifik teknisk dokumentation (Bilaga VII)
- Åtagande om stödperiod (Artikel 13.8)
- Verifiering av säker standardkonfiguration
- Krav på produktuppdateringsmekanism
- Policy för samordnad sårbarhetsredovisning (Artikel 13.6)
- Offentlig kontakt för sårbarhetsrapportering (Artikel 13.7)
Hur du bygger på ISO 27001 för CRA
Använd ditt ISMS som grund
Om du är ISO 27001-certifierad har du en stark grund att bygga vidare på. Nyckeln är att utöka befintliga processer mot produktskyldigheter i stället för att börja från grunden.
Utöka befintliga processer:
| ISO 27001-process | CRA-utökning |
|---|---|
| Riskbedömning (6.1) | Produktriskbedömning |
| Sårbarhetshantering (A.8.8) | Produktsårbarhetshantering och CSIRT-rapportering |
| Leverantörsstyrning (A.5.19-22) | SBOM-insamling från leverantörer |
| Incidenthantering (A.5.24-26) | CSIRT-rapportering per Artikel 14 |
| Säker utveckling (A.8.25-28) | Produktsäkerhetstestning och teknisk dokumentation |
Nya processer att lägga till:
| Ny process | Syfte |
|---|---|
| SBOM-generering | Komponentspårning per Artikel 13.5 |
| Bedömning av överensstämmelse | CE-märkning |
| Produktens tekniska dokumentation | Regelverksdokumentation per Bilaga VII |
| Hantering av stödperiod | Åtagande per Artikel 13.8 |
| ENISA-rapporteringsprocedur | Sårbarhetsnotifiering via nationellt CSIRT |
| CVD-policy | Samordnad redovisning per Artikel 13.6 |
Praktiska integrationssteg
Steg 1: Utvidgning av omfång
- Lägg till produktsäkerhet i ditt ISMS-omfång
- Ta med produktutveckling i riskbedömningen
- Utvidga tillgångsinventeringen till att inkludera produktkomponenter
Steg 2: Processuppdateringar
- Uppdatera sårbarhetsproceduren för produktrapportering till nationellt CSIRT via den gemensamma rapporteringsplattformen
- Lägg till SBOM i ändringshanteringen
- Inkludera tidig varning inom 24 timmar, initial notifiering inom 72 timmar och slutrapport i din incidentresponsprocess
Steg 3: Dokumentationstillägg
- Produktens tekniska dokumentation
- SBOM-register
- Evidens för bedömning av överensstämmelse
- Dokumentation om stödperiod
Steg 4: Roller och ansvar
- Tilldela ägarskap för produktsäkerhet
- Definiera ansvar för CSIRT-rapportering
- Etablera ägarskap för SBOM-underhåll
- Tilldela ägarskap för CVD-policy
ISO 27001 Bilaga A-kontroller och CRA
De mest relevanta kontrollerna
A.8.25 Säker utvecklingslivscykel
- ISO 27001: Policyer för säker utveckling
- CRA-användning: Grund för produktens säkerhetskrav (Bilaga I, del I)
A.8.26 Applikationssäkerhetskrav
- ISO 27001: Säkerhetskrav i utveckling
- CRA-användning: Bas för produktens väsentliga säkerhetskrav, delvis grund för SBOM-komponentinventering
A.8.27 Säker systemarkitektur
- ISO 27001: Principer för säker arkitektur
- CRA-användning: Produktens säkerhetsarkitektur
A.8.28 Säker kodning
- ISO 27001: Säker kodningspraxis inklusive beroendespårning
- CRA-användning: Produktkodens säkerhet, delvis grund för SBOM-komponentkännedom
A.8.8 Hantering av tekniska sårbarheter
- ISO 27001: Organisatorisk sårbarhetshantering
- CRA-användning: Utvidga till produktsårbarheter och rapportering till nationellt CSIRT via den gemensamma rapporteringsplattformen (Artikel 14)
A.5.19-22 Leverantörsrelationer
- ISO 27001: Leverantörssäkerhetshantering
- CRA-användning: SBOM-insamling från leverantörer, leveranskedjans säkerhet
Räknas ISO 27001-certifiering för CRA-bedömning av överensstämmelse?
Täcker ISO 27001-certifiering CRA-efterlevnad?
Avgörande förståelse:
- ISO 27001-certifiering visar organisatorisk säkerhetsmognad
- CRA-efterlevnad är ett produktspecifikt lagkrav
- ISO 27001 befriar dig inte från CRA
- ISO 27001-revisorer bedömer inte CRA-efterlevnad
Rapporteringsskyldigheterna enligt Artikel 14 börjar den 11 september 2026. Full efterlevnad krävs senast den 11 december 2027. Bristande efterlevnad kan ge böter på upp till 15 miljoner euro eller 2,5 procent av global årlig omsättning (Artikel 64).
Revisionssynergier
ISO 27001-övervakningsrevision:
- Årlig bedömning av ISMS
- Kan inkludera produktsäkerhetsomfång
- Evidens kan återanvändas för CRA
CRA-bedömning av överensstämmelse:
- Produktspecifik utvärdering
- Refererar till ISMS för processevidens
- Kräver ytterligare produktevidens
Synergiområden:
- Samordna revisionsschemata
- Återanvänd evidens där det är tillämpligt
- Integrerat ledningssystem
- Gemensamt dokumentationsarkiv
Tre vanliga ISO 27001- och CRA-scenarier
Scenario 1: ISO 27001-certifierad, påbörjar CRA
Fördelar du redan har:
- Riskmetodik finns på plats
- Säkerhetskultur etablerad
- Dokumentationspraxis på plats
- Leverantörsstyrning finns
- Incidentresponsförmåga
Vad du fortfarande behöver lägga till:
- [ ] Produktklassificering per CRA (Bilaga III/IV)
- [ ] SBOM-genereringsförmåga (Artikel 13.5)
- [ ] CSIRT-rapporteringsprocess (Artikel 14)
- [ ] Produktens tekniska dokumentation (Bilaga VII)
- [ ] Process för bedömning av överensstämmelse
- [ ] Hantering av stödperiod (Artikel 13.8)
- [ ] Produktspecifik säkerhetstestning
- [ ] CVD-policy (Artikel 13.6)
- [ ] Offentlig sårbarhetskontakt (Artikel 13.7)
Ansats:
- Gapbedömning mot CRA-krav
- Utvidga ISMS-omfånget till att inkludera produkter
- Lägg till CRA-specifika processer
- Uppdatera dokumentationen
- Utbilda berörda team
Scenario 2: Utan ISO 27001, påbörjar CRA
Alternativ A: Enbart CRA
- Genomför CRA-kraven direkt
- Produktfokuserad ansats
- Kan missa organisatoriska säkerhetsfördelar
- Snabbare väg till CRA-efterlevnad
Alternativ B: ISO 27001 och CRA
- Genomför båda ramverken
- Starkare övergripande säkerhetsposition
- Mer arbete initialt
- Bättre långsiktig position
Rekommendation: För produkttillverkare, börja med CRA-kraven (den lagstadgade tidsfristen är fast) och bygg mot ISO 27001 över tid. Samordna ansatserna från början så att arbete inte dupliceras. Se guiden för CRA-startups för en väg med minimal overhead.
Scenario 3: Flera produkter, centralt ISMS
Centraliserat (ISMS):
- Riskmetodik
- Process för sårbarhetshantering
- Leverantörsstyrning
- Incidenthantering
- Utvecklingsstandarder
Per produkt (CRA):
- Teknisk dokumentation
- SBOM
- Bedömning av överensstämmelse
- Produktdokumentation
- Stödperiod
Fördelar:
- Effektiv processåteranvändning
- Konsekvent säkerhetsansats
- Centraliserad kompetens
- Produktspecifik efterlevnad
ISO 27001-certifiering innebär INTE CRA-efterlevnad. ISO 27001 täcker organisatorisk informationssäkerhet, CRA kräver produktspecifik bedömning av överensstämmelse.
Kartlägg dina befintliga Bilaga A-kontroller mot CRA Bilaga I-krav för att identifiera luckor. Börja med A.8.8, A.8.25-28 och A.5.19-22.
Checklista: ISO 27001-organisation som lägger till CRA
Bedömning:
- [ ] Granska aktuellt ISMS-omfång
- [ ] Identifiera produkter med digitala element
- [ ] Klassificera produkter per CRA-kategorier (Bilaga III/IV)
- [ ] Gapanalys: ISMS kontra CRA-krav
Omfångsutvidgning:
- [ ] Lägg till produktsäkerhet i ISMS-omfånget
- [ ] Uppdatera riskbedömningen till att inkludera produkter
- [ ] Utvidga tillämplighetsförklaringen
Processtillägg:
- [ ] Process för SBOM-generering (Artikel 13.5)
- [ ] Procedur för CSIRT-rapportering (Artikel 14)
- [ ] Process för bedömning av överensstämmelse
- [ ] Hantering av stödperiod (Artikel 13.8)
- [ ] Procedur för produktens tekniska dokumentation (Bilaga VII)
- [ ] CVD-policy (Artikel 13.6)
- [ ] Konfigurering av offentlig sårbarhetskontakt (Artikel 13.7)
Dokumentation:
- [ ] Mallar för teknisk dokumentation
- [ ] Mall för produktriskbedömning
- [ ] SBOM-format och lagring
- [ ] Mall för EU-försäkran om överensstämmelse
Kontrollutvidgningar:
- [ ] A.8.8: lägg till produktsårbarheter och CSIRT-rapportering
- [ ] A.8.25-28: lägg till produktsäkerhetstestning
- [ ] A.5.19-22: lägg till SBOM från leverantörer
Roller:
- [ ] Tilldela produktsäkerhetsansvarig
- [ ] Definiera ansvar för CSIRT-rapportering
- [ ] Etablera roll för bedömning av överensstämmelse
- [ ] Tilldela CVD-policyansvarig
Utbildning:
- [ ] CRA-medvetenhet för utvecklingsteam
- [ ] Utbildning i SBOM-verktyg
- [ ] Utbildning i bedömning av överensstämmelse
Officiella ISO 27001- och CRA-resurser
ISO 27001:
- ISO/IEC 27001:2022: Ledning av informationssäkerhet
- ISO/IEC 27002:2022: Kontroller för informationssäkerhet
CRA:
- Förordning (EU) 2024/2847: Cyber Resilience Act
- ENISA CRA requirements standards mapping (november 2024)
Kompletterande standarder:
- ISO/IEC 27034: Applikationssäkerhet (överbryggar ISMS och produktsäkerhet)
- IEC 62443: Industriell säkerhet (passar väl för OT/IoT-tillverkare, stark kandidat för CRA:s harmoniserade standard)
- ISO/SAE 21434: Fordonssäkerhet
Vanliga frågor
Befriar ISO 27001-certifiering ett företag från CRA-bedömning av överensstämmelse?
Nej. ISO 27001-certifiering visar organisatorisk mognad inom informationssäkerhet men utgör inte en CRA-bedömning av överensstämmelse. CRA kräver produktspecifik evidens: SBOM, teknisk dokumentation, EU-försäkran om överensstämmelse och, där det är tillämpligt, en bedömning av ett anmält organ. En revisor som bedömer ditt ISMS bedömer inte CRA-efterlevnad. Se CRA-vägar för bedömning av överensstämmelse.
Vilka ISO 27001 Bilaga A-kontroller är mest direkt relevanta för CRA Bilaga I?
Kontrollerna med störst överlapp är A.8.25-28 (säker utvecklingslivscykel), A.8.8 (hantering av tekniska sårbarheter) och A.5.19-22 (leverantörsrelationer). Dessa motsvarar CRA-krav på säkerhet by design, skyldigheten att hantera sårbarheter och bestämmelserna om SBOM och leveranskedjan. A.8.8 behöver utökas för att täcka rapportering av produktsårbarheter till nationellt CSIRT via ENISA:s gemensamma rapporteringsplattform (Artikel 14).
Kan evidens från ISO 27001-revision återanvändas i CRA:s tekniska dokumentation?
Ja, selektivt. Evidens från ditt ISMS som täcker säker utveckling (A.8.25-28), sårbarhetshantering (A.8.8) och leverantörskontroller (A.5.19-22) kan refereras i CRA:s tekniska dokumentation. Den tekniska dokumentationen kräver dock också produktspecifik evidens, inklusive säkerhetsarkitektur, testrapporter, SBOM och dokumentation om stödperiod, som ISO 27001-revisioner inte genererar.
Är ISO 27001:2022 bättre anpassad till CRA än ISO 27001:2013?
Ja. ISO 27001:2022 lade till kontroller som är mer relevanta för CRA, i synnerhet A.8.25-28 (säker utvecklingslivscykel, applikationssäkerhetskrav, säker arkitektur, säker kodning). 2013 års version hade svagare täckning inom dessa områden. Om du använder 2013 är det värt att köra en gapanalys mot 2022 års kontroller specifikt för CRA-syften.
Täcker ISO 27001 CRA:s SBOM-krav?
Delvis. A.8.26 (applikationssäkerhetskrav) och A.8.28 (säker kodning) inkluderar begrepp om komponentkännedom och beroendespårning. ISO 27001 kräver dock inte en maskinläsbar SBOM i CycloneDX- eller SPDX-format med NTIA:s minimumelement, vilket CRA Artikel 13.5 kräver. Organisatorisk medvetenhet är en grund, inte en ersättning.
Kan CRA-efterlevnadsarbete integreras i ett pågående ISO 27001-program?
Ja, och det är den rekommenderade ansatsen för redan certifierade företag. Utvidga ISMS-omfånget till att inkludera produktsäkerhet, lägg till produktspecifika procedurer för SBOM och CSIRT-rapportering, och referera till ISMS-evidens i din CRA-tekniska dokumentation. Nyckeln är att lägga till i stället för att duplicera: CRA-evidens tillhör den tekniska dokumentationen, inte ISMS-tillämplighetsförklaringen.
Relaterade artiklar
Gäller CRA för din produkt?
Svara på 6 enkla frågor för att ta reda på om din produkt omfattas av EU:s Cyber Resilience Act. Få ditt resultat på under 2 minuter.
Redo att uppnå CRA-efterlevnad?
Börja hantera dina SBOM:ar och efterlevnadsdokumentation med CRA Evidence.