CRA får sin praktiska tolkningsvägledning: Vad kommissionens vägledning innebär för dig

EU-kommissionen publicerade utkast till vägledning om cyberresiliensakter (Ares(2026)2319816). Vi bryter ner de 9 viktigaste avgörandena om SaaS-omfång, äldre produkter, öppen källkod och rapporteringsskyldigheter.

CRA Evidence Team Publicerad 3 mars 2026 Uppdaterad 10 april 2026
CRA får sin praktiska tolkningsvägledning: Vad kommissionens vägledning innebär för dig
I denna artikel

Cyberresilienslagen har haft sin text sedan slutet av 2024. Vad den saknade var en praktisk tolkningsvägledning. Den 3 mars 2026 publicerade EU-kommissionen exakt det: utkast till kommuniké Ares(2026)2319816, ungefär 70 sidor med vägledning om hur förordningen ska tolkas.

Detta är artikel 26-vägledningen som tillverkare har väntat på. Här är vad den säger och vad det innebär för dig.

Sammanfattning

  • SaaS-/molnprodukter ingår i tillämpningsområdet bara om de uppfyller ett strängt tredelstest för "fjärrdatabehandling" (RDPS). De flesta tredjepartssaas faller utanför produktgränsen men måste behandlas som en komponent.
  • Äldre produkter som placerats på marknaden före december 2027 behöver inte omdesignas, men tillverkare måste genomföra en aktuell cybersäkerhetsriskbedömning och utfärda en försäkran om överensstämmelse.
  • Programvaruuppdateringar utgör i allmänhet inte "väsentliga ändringar" om de inte introducerar nya hotvektorer eller ändrar produktens avsedda syfte.
  • Öppen källkod-bidragsgivare utan kontroll över releaser, färdplan eller styrning är explicit inte ansvariga, även om de har commit-åtkomst.
  • Supportperioder måste återspegla förväntad produktlivstid. Fem år är ett golv, inte ett standardvärde.
  • Sårbarhetrapportering (september 2026): 24-timmarsklockan startar vid medvetenhet, inte vid bekräftelse.

Viktigt: Denna vägledning är ett UTKAST. Återkopplingsperioden är öppen via portalen för bättre lagstiftning. Den kommer att slutföras när alla EU-språkversioner är tillgängliga.

Introduktion

Utkastet till kommuniké Ares(2026)2319816, daterat den 3 mars 2026, är EU-kommissionens första vägledningsdokument om cyberresilienslagen. På ungefär 70 sidor besvarar den frågorna tillverkare har haft utan svar: Vad räknas som "fjärrdatabehandling"? Behöver äldre produkter omdesignas helt? När blir en programvaruuppdatering en ny produkt?

1. SaaS och moln: RDPS-testet

Kommissionen introducerar ett strängt trefrågestest för att avgöra om en moln- eller SaaS-komponent kvalificerar som "lösningar för fjärrdatabehandling" (RDPS) och därmed ingår i produktens konformitetsomfång.

flowchart TD
    A["Behandlar lösningen data
'på distans'?"] -->|Nej| B["Inte RDPS"]
    A -->|Ja| C["Skulle produkten förlora en kärnfunktion
utan denna lösning?"]
    C -->|Nej| D["Inte RDPS
(behandla som komponent,
gör due diligence enligt Art 13(5))"]
    C -->|Ja| E["Designad av eller under
tillverkarens ansvar?"]
    E -->|Nej| F["Inte RDPS
(tredjepartssaas = komponent,
gör due diligence enligt Art 13(5))"]
    E -->|Ja| G["RDPS: inom produktens
konformitetsbedömningsomfång"]

Viktigt: Även när en molntjänst inte kvalificerar som RDPS, måste tillverkaren ändå behandla den som en komponent och utföra due diligence i leverantörskedjan enligt artikel 13(5).

2. Äldre produkter

Produkter som redan finns på EU-marknaden före december 2027 behöver inte redesignas från grunden. Men de är inte heller undantagna.

Kommissionen förtydligar tre saker:

Ingen historisk rekonstruktion krävs. Du behöver inte återskapa utvecklingsdokumentation från år tillbaka. Det som är viktigt är en aktuell cybersäkerhetsriskbedömning som visar att produkten uppfyller väsentliga krav baserat på dess avsedda syfte.

Produktfamiljer kan grupperas. Om flera äldre produkter delar samma arkitektur och riskprofil kan du göra en enda riskbedömning som täcker familjen.

Full konformitet gäller fortfarande. Äldre produkter behöver fortfarande CE-märkning, en försäkran om överensstämmelse och aktiv sårbarhethantering framöver.

3. Programvara och "oändliga kopior"

När anses programvara "placerad på marknaden"? Kommissionen bekräftar: en gång. Den inledande digitala distributionen utgör placering. Efterföljande mindre uppdateringar återställer inte den regulatoriska klockan.

4. När uppdateringar blir "väsentliga ändringar"

Ändring Väsentlig ändring? Varför
Säkerhetskorrigering som åtgärdar en sårbarhet Nej Ingen ny funktionalitet, ingen ny risk
Aktivering av en funktion som redan fanns i den ursprungliga riskbedömningen Nej Redan bedömd
Genomdrivande av MFA eller åtdragning av brandväggsregler Nej Stärker befintlig säkerhet
Uppdatering av krypteringsalgoritm förutsedd i originaldesignen Nej Planerad i förväg
Tillägg av enhetskontroll till en övervakningsdashboard Ja Ändrar avsett syfte
Tillägg av "Kom ihåg mig"-inloggning Ja Introducerar nya cybersäkerhetsrisker
Flytt från lokal kryptering till en fjärrtjänst Ja Ändrar arkitekturen fundamentalt

Kommissionen fastställer fyra frågor som varje tillverkare måste besvara innan en uppdatering släpps:

  1. Introducerar uppdateringen nya hotvektorer?
  2. Möjliggör den nya attackscenarier?
  3. Ändrar den sannolikheten för befintliga attackscenarier?
  4. Ändrar den konsekvenserna av befintliga attackscenarier?

5. Regler för öppen källkod

Vägledningen ger flera viktiga klargöranden om hur CRA gäller för programvara med öppen källkod:

  • Att publicera källkod i offentliga arkiv utgör inte "placering på marknaden."
  • Community-edition kontra betald edition = olika produkter.
  • Donationer ensamma gör inte FOSS kommersiell, om inte åtkomst till programvaran är villkorad av att donera.
  • Ideella organisationer vars överskott helt går till icke-vinstdrivande syften är undantagna.
  • Bidragsgivare utan kontroll över releaser, färdplan eller styrning betraktas INTE som tillverkare.

6. Supportperiod: Fem år är ett golv

Kommissionen gör det klart att den femåriga standardsupportperioden är ett minimum, inte ett mål. Produkter som förväntas användas längre än fem år måste ha proportionellt längre supportperioder.

7. Riskbedömning: Intern risktolerans är irrelevant

Kommissionen är otvetydig: riskbedömningar enligt CRA måste baseras på objektiva cybersäkerhetskriterier, inte på tillverkarens interna risktolerans.

  • Kommersiell strategi och kostnadshänsyn påverkar inte cybersäkerhetsriskbedömningen.
  • Du kan inte överföra cybersäkerhetsrisk till användare genom dokumentation, ansvarsfriskrivningar eller användarvillkor.

8. Kända exploaterbara sårbarheter

Vägledningen förtydligar vad "känd" innebär i samband med CRA:s krav på att leverera produkter utan kända exploaterbara sårbarheter:

  • Listade i offentliga databaser: EU:s sårbarhetsdatabas, CVE/MITRE, NVD.
  • Avslöjad via icke-offentliga kanaler: koordinerade program för sårbarhetavslöjande.
  • Rapporterade i tillförlitliga medier: en stor sårbarhet som täcks av etablerade cybersäkerhetspublikationer.

9. Rapporteringsskyldigheter (september 2026)

  • 24 timmar: Tidig varning till ENISA efter att ha blivit medveten om aktiv exploatering
  • 72 timmar: Detaljerad notifiering med tekniska indikatorer
  • 14 dagar: Slutrapport för sårbarheter / en månad för incidenter

"Medveten" innebär rimlig säkerhet efter en inledande bedömning. Fullständig rättsmedicinsk bekräftelse krävs inte.

För svenska tillverkare är MSB (Myndigheten för samhällsskydd och beredskap) och NCSC Sverige de relevanta myndigheterna. Per april 2026 har MSB inte publicerat svensk CRA-vägledning. Kontakta MSB direkt för att förstå deras process.

Vad detta innebär för dig

Denna vägledning ändrar inte vad CRA kräver. Men den ändrar hur mycket gissningsarbete som är inblandat. Tillverkare har nu konkreta tester (RDPS), konkreta exempel (väsentliga ändringar) och konkreta tidslinjer (rapportering) att arbeta med.

Tre omedelbara åtgärder:

  1. Kör RDPS-testet på varje molntjänst din produkt är beroende av.
  2. Granska din uppdateringsprocess mot de fyra frågorna om väsentliga ändringar.
  3. Förbered för rapportering i september 2026. Interna triageprocesser, eskaleringsväggar och rapportmallar måste vara på plats före deadline.

Den här artikeln baseras på utkastet till kommuniké Ares(2026)2319816, daterad den 3 mars 2026. Denna vägledning har ännu inte formellt antagits av EU-kommissionen och kommer att slutföras när alla EU-språkversioner är tillgängliga.

CRA Efterlevnad Economic Operators
Share

Relaterade artiklar

Tillbaka till alla artiklar

Gäller CRA för din produkt?

Svara på 6 enkla frågor för att ta reda på om din produkt omfattas av EU:s Cyber Resilience Act. Få ditt resultat på under 2 minuter.

Kontrollera nu

Redo att uppnå CRA-efterlevnad?

Börja hantera dina SBOM:ar och efterlevnadsdokumentation med CRA Evidence.

Starta 14-dagars gratis provperiod

Djupdykning i CRA-ämnen

Evergreen guides covering the specific requirements, processes, and roles defined by the Cyber Resilience Act.

EU-försäkran om överensstämmelse

Vad EU-försäkran om överensstämmelse måste innehålla, vem som undertecknar den och när den krävs.

Läs guiden →
Bedömning av överensstämmelse

Hur överensstämmelsebedömning fungerar under CRA och när ett anmält organ krävs.

Läs guiden →
Teknisk dokumentation

Vad CRA:s tekniska dokumentation måste innehålla (Bilaga VII avsnitt för avsnitt) och hur tillverkare bör strukturera den.

Läs guiden →
Produktklassificering

Hur CRA klassificerar produkter efter risknivå och vad varje kategori innebär för skyldigheter.

Läs guiden →
SBOM-krav

Vad CRA kräver för SBOM:er och hur BSI TR-03183 definierar kvalitetskriterier.

Läs guiden →
Rapportering av sårbarheter

Hur kravet på 24-timmarsanmälan till ENISA fungerar och vad som räknas som en aktivt utnyttjad sårbarhet.

Läs guiden →
Importörens skyldigheter

Vad artikel 19 kräver av importörer och hur tillverkarens efterlevnad verifieras.

Läs guiden →
Planering av supportperiod

Vad CRA:s skyldighet om supportperiod innebär för säkerhetsuppdateringar och end-of-life-planering.

Läs guiden →
View full CRA compliance guide