CRA Produktklasser Efterlevnad

CRA och NIS2: Var cybersäkerhetsreglerna överlappar för produktföretag

Förståelse för hur CRA och NIS2 interagerar. En praktisk guide för organisationer som tillverkar produkter och driver kritiska tjänster.

CRA Evidence Team
Författare
15 januari 2026
Uppdaterad 25 februari 2026 00:00:00 UTC
9 min läsning
CRA och NIS2: Var cybersäkerhetsreglerna överlappar för produktföretag
In this article

Du tillverkar IoT-enheter för energisektorn. Du omfattas av både NIS2 (som operatör av samhällsviktiga tjänster) och CRA (som produkttillverkare). Två regelverk, överlappande krav, en efterlevnadsbudget.

Den här guiden förklarar hur CRA och NIS2 interagerar och hur du hanterar efterlevnad av båda.

Sammanfattning

  • CRA reglerar produkter; NIS2 reglerar organisationer/tjänster
  • Många företag möter båda: tillverkare som också är väsentliga/viktiga entiteter
  • Nyckelöverlapp: sårbarhethantering, incidentrapportering, leveranskedjesäkerhet
  • Olika tillämpningsområden: CRA = produktlivscykel; NIS2 = organisatorisk cybersäkerhet
  • Samordningsmöjlighet: Enhetliga säkerhetsprocesser som betjänar båda regelverken

CRA kontra NIS2: Grundläggande skillnad

CRA: Produktreglering

Vad det reglerar: Produkter med digitala element som placeras på EU-marknaden

Vem det gäller: Tillverkare, importörer, distributörer av produkter med digitala element

Fokus: Produktsäkerhet under hela livscykeln

  • Säker design och utveckling
  • Sårbarhethantering för produkter
  • Säkerhetsuppdateringar för produkter
  • Incidentrapportering på produktnivå

NIS2: Organisationsreglering

Vad det reglerar: Cybersäkerhet hos väsentliga och viktiga entiteter

Vem det gäller: Organisationer inom specificerade sektorer som uppfyller storlekströsklarna

Fokus: Organisatorisk cybersäkerhet

  • Styrning och riskhantering
  • Incidenthantering för tjänster
  • Leveranskedjesäkerhet
  • Affärskontinuitet

Överlappszonen

┌─────────────────────────────────────────────────────────────┐
│                    DIN ORGANISATION                          │
│                                                              │
│  ┌──────────────────────┐    ┌──────────────────────┐       │
│  │     NIS2-OMFÅNG      │    │     CRA-OMFÅNG        │       │
│  │                      │    │                       │       │
│  │ - Dina IT-system     │    │ - Produkter du        │       │
│  │ - Dina tjänster      │    │   tillverkar          │       │
│  │ - Din verksamhet     │    │ - Produkter du        │       │
│  │ - Din leveranskedja  │    │   importerar          │       │
│  │   (som köpare)       │    │ - Produkter du        │       │
│  │                      │    │   distribuerar        │       │
│  │        ┌─────────────┴────┴───────────┐           │       │
│  │        │          ÖVERLAPP            │           │       │
│  │        │                             │           │       │
│  │        │ - Sårbarhethantering        │           │       │
│  │        │ - Incidentrapportering      │           │       │
│  │        │ - Leveranskedjesäkerhet     │           │       │
│  │        │ - Säkerhetsstyrning         │           │       │
│  │        └─────────────────────────────┘           │       │
│  └──────────────────────┘    └──────────────────────┘       │
└─────────────────────────────────────────────────────────────┘

Vem möter båda regelverken?

Scenario 1: Väsentlig entitet som tillverkar produkter

Exempel: Energibolag som tillverkar smarta nätkomponenter

  • NIS2 gäller: Energisektorsaktör över tröskel
  • CRA gäller: Tillverkare av produkter med digitala element

Båda regelverken kräver:

  • Cybersäkerhetsriskhantering
  • Sårbarhethantering
  • Incidentrapportering (till olika organ, olika utlösare)
  • Leveranskedjesäkerhet

Scenario 2: Viktig entitet som tillverkar IoT

Exempel: Tillverkningsföretag som producerar industriella IoT-sensorer

  • NIS2 gäller: Tillverkningssektorsaktör över tröskel
  • CRA gäller: Tillverkare av produkter med digitala element

Scenario 3: Leverantör av digital infrastruktur

Exempel: Molnleverantör som också säljer hårdvaruapparater

  • NIS2 gäller: Leverantör av digital infrastruktur
  • CRA gäller: Tillverkare av hårdvaruprodukter

Scenario 4: Tillverkare av hälso-angränsande produkter

Exempel: Medicinsk-angränsande företag (inte MDR-täckta enheter)

  • NIS2 gäller: Aktör i hälsosektorn
  • CRA gäller: Produkter som inte täcks av MDR-undantaget

Överlappande krav

Sårbarhethantering

Aspekt CRA-krav NIS2-krav
Omfång Produktsårbarheter Organisatoriska system
Identifiering Övervaka produktsårbarheter Övervaka alla system
Respons Patcha produkter utan dröjsmål Åtgärda sårbarheter
Rapportering ENISA (om exploaterad) Nationell CSIRT (om incident)

Samordningsmöjlighet: Enhetligt sårbarhethanteringsprogram som täcker både produkter och organisatoriska system.

Incidentrapportering

Aspekt CRA-krav NIS2-krav
Utlösare Aktivt exploaterad sårbarhet i produkt Betydande incident som påverkar tjänster
Tidslinje 24h → 72h → 14/30d 24h → 72h → 1 månad
Mottagare ENISA + nationell CSIRT Nationell behörig myndighet/CSIRT
Omfång Produktsäkerhet Tjänstetillgänglighet/integritet

Viktig distinktion: En sårbarhet i din produkt kan utlösa CRA-rapportering även om dina tjänster inte påverkas. Ett tjänsteavbrott kan utlösa NIS2-rapportering även om ingen produktsårbarhet existerar.

Leveranskedjesäkerhet

Aspekt CRA-krav NIS2-krav
Fokus Komponenter i dina produkter Leverantörer till din organisation
Bedömning Teknisk due diligence Leverantörs säkerhetsbedömning
Övervakning SBOM, sårbarhetsspårning Löpande leverantörsriskhantering

Samordningsmöjlighet: Integrerad leverantörshantering som täcker både produktkomponenter och organisatoriska leverantörer.

Rapporteringsjämförelse

CRA-rapporteringsväg

PRODUKTSÅRBARHET (aktivt exploaterad)
         │
         ▼
    24-TIMMARSVARNING (tidig)
    Till: ENISA Single Reporting Platform
         │
         ▼
    72-TIMMARSNOTIFIERING (detaljerad)
    Till: ENISA + relevanta CSIRT:er
         │
         ▼
    14-DAGARS SLUTRAPPORT (sårbarhet)
    30-DAGARS SLUTRAPPORT (incident)

NIS2-rapporteringsväg

BETYDANDE INCIDENT (påverkar tjänster)
         │
         ▼
    24-TIMMARSVARNING (tidig)
    Till: Nationell behörig myndighet eller CSIRT
         │
         ▼
    72-TIMMARSINCIDENTNOTIFIERING
    Till: Nationell behörig myndighet eller CSIRT
         │
         ▼
    1-MÅNADS SLUTRAPPORT
    Till: Nationell behörig myndighet eller CSIRT

När båda gäller

En enstaka händelse kan utlösa båda:

Exempel: Zero-day i din produkt exploateras aktivt och påverkar kunder som är väsentliga entiteter (t.ex. energibolag som använder din smarta nätsutrustning).

CRA-rapportering: Du rapporterar den aktivt exploaterade sårbarheten (du är tillverkaren)

NIS2-rapportering: Dina drabbade kunder kan rapportera incidenten (de är de väsentliga entiteterna)

Intern rapportering: Om du också är en väsentlig entitet som använder egna produkter kan du behöva rapportera under båda

Harmoniseringsmöjligheter

Enhetlig säkerhetsstyrning

Istället för separata CRA- och NIS2-efterlevnadsprogram:

ENHETLIG CYBERSÄKERHETSSTYRNING

Styrelsenivå:
- Enstaka cybersäkerhetsriskinsyn
- Kombinerad rapportering till ledning

Operativ nivå:
- Ett sårbarhethanteringsprogram
  ├── Produktsårbarheter (CRA-fokus)
  └── Systemsårbarheter (NIS2-fokus)

- En incidentresponsförmåga
  ├── Produktincidenter (CRA-rapportering)
  └── Tjänsteincidenter (NIS2-rapportering)

- Ett leveranskedjesäkerhetsprogram
  ├── Produktkomponenter (SBOM, CRA)
  └── Tjänsteleverantörer (NIS2)

Processkartläggning

Process CRA-tillämpning NIS2-tillämpning
Riskbedömning Produktriskbedömning Organisatorisk riskhantering
Sårbarhetskanning Produkt-/komponentskanning Infrastrukturskanning
Patchhantering Produktuppdateringar Systempatchar
Incidentrespons Produktincidenthantering Tjänsteincidenthantering
Säkerhetstestning Produktsäkerhetstestning Penetrationstestning
Medvetenhetstraining Utbildning i säker utveckling Allmän säkerhetsmedvetenhet

Dokumentationseffektivitet

Viss dokumentation kan betjäna båda:

Dokument CRA-användning NIS2-användning
Säkerhetspolicy Produktsäkerhetsavsnittet Organisatorisk säkerhetspolicy
Riskregister Produktrisker Organisatoriska risker
Incidentresponsplan Produktincidentprocedurer Tjänsteincidentprocedurer
Leverantörsbedömning Due diligence för komponentleverantörer Bedömning av tjänsteleverantörer

Olika tillsyn

CRA-tillsyn

  • Marknadsövervakningsmyndigheter övervakar produkter
  • Fokus på produktefterlevnad
  • Böter upp till €15M eller 2,5% av global omsättning
  • Produktåterdragning/återkallelse möjlig

NIS2-tillsyn

  • Nationella behöriga myndigheter övervakar entiteter
  • Fokus på organisatorisk efterlevnad
  • Böter upp till €10M eller 2% av global omsättning
  • Personligt ansvar för ledning möjligt

Dubbel risk?

En enstaka brist kan teoretiskt utlösa tillsyn under båda:

Exempel: Dålig sårbarhethantering leder till opatchad produkt OCH opatschade interna system.

  • CRA: Bristande efterlevnad av krav på sårbarhethantering
  • NIS2: Bristande efterlevnad av åtgärder för riskhantering

I praktiken: Myndigheter bör samordna. Att demonstrera enhetlig efterlevnad hjälper.

Interaktion mellan efterlevnadstidslinjer

NIS2-tidslinje

  • Oktober 2024: Transponeringsdeadline för NIS2
  • 2024–2025: Implementering i medlemsstaterna
  • Löpande: Efterlevnad krävs

CRA-tidslinje

  • September 2026: Rapporteringsskyldigheter börjar
  • December 2027: Fullständig efterlevnad krävs
  • Löpande: Produktlivscykelskyldigheter

Samordnat tillvägagångssätt

REKOMMENDATION:
Bygg ett enhetligt cybersäkerhetsprogram nu som betjänar båda regelverken.
Bygg inte separata NIS2- och CRA-efterlevnadsprogram.

Praktisk samordningschecklista

Styrningsintegration

CHECKLISTA FÖR DUBBELREGLERINGSSTYRNING

ORGANISATORISKT:
[ ] Enstaka cybersäkerhetsstyrningsstruktur
[ ] Styrelsövervakning täcker både produkt- och tjänstesäkerhet
[ ] Kombinerad cybersäkerhetsstrategi
[ ] Enhetlig budgetallokering

RISKHANTERING:
[ ] Integrerad riskbedömning (produkter + tjänster)
[ ] Kombinerat riskregister
[ ] Enhetlig riskbehandlingsprocess
[ ] Enstaka ramverk för riskrapportering

SÅRBARHETHANTERING:
[ ] En intag-kanal för sårbarheter
[ ] Kombinerad triajeprocess
[ ] Integrerat åtgärdsarbetsflöde
[ ] Enhetliga mätvärden och rapportering

INCIDENTRESPONS:
[ ] Kombinerad incidentresponsplan
[ ] Tydlig routing för CRA kontra NIS2-rapportering
[ ] Integrerade kommunikationsprocedurer
[ ] Enhetlig granskning efter incident

Rapporteringsintegration

RAPPORTERINGSMATRIS FÖR DUBBELREGLERING

Händelsetyp                              Rapportera under
────────────────────────────────────────────────────────────
Produktsårbarhet (ej exploaterad)        Inget (enbart CVD-process)
Produktsårbarhet (exploaterad)           CRA → ENISA
Tjänsteincident (ingen produkt)          NIS2 → Nationell myndighet
Båda (produktsårbarhet → tjänst)         Båda (samordna)
────────────────────────────────────────────────────────────

Intern eskalering:
1. Säkerhetsteam bedömer händelse
2. Bestäm: Produktpåverkan? Tjänstepåverkan?
3. Dirigera till lämplig rapporteringsväg/ar
4. Samordna om båda gäller

Leveranskedjeintegration

ENHETLIG LEVERANSKEDJESÄKERHET

För produktkomponenter (CRA-fokus):
- SBOM underhållen
- Komponentssårbarhetövervakning
- Leverantörssäkerhetsfrågeformulär
- Teknisk due diligence

För tjänsteleverantörer (NIS2-fokus):
- Leverantörsriskbedömning
- Säkerhetskrav i avtal
- Löpande övervakning
- Incidentnotifieringsklausuler

INTEGRERAT TILLVÄGAGÅNGSSÄTT:
- Enstaka leverantörshanteringssystem
- Kombinerat riskbedömningsramverk
- Enhetliga avtalsäkerhetskrav
- Samordnat övervakningsprogram

Särskilda överväganden

Industriella styrsystem

IACS (Industrial Automation and Control Systems) möter särskild komplexitet:

  • CRA: Om du tillverkar IACS för väsentliga entiteter (NIS2), är det Viktig klass II
  • NIS2: Om du driver IACS som en väsentlig entitet ingår de i omfånget

Dubbelt krav: Produkten måste uppfylla CRA; driften måste uppfylla NIS2.

Molntjänster + produkter

Molnleverantörer som säljer hårdvaruapparater:

  • NIS2: Molntjänstdrift
  • CRA: Sålda hårdvaruapparater

Exempel: En molnleverantörs brandväggsapparat måste följa CRA; deras molntjänstdrift måste följa NIS2.

Hälso-angränsande

Tillverkare av medicintekniska produkter kan ha:

  • Vissa produkter under MDR (undantagna från CRA)
  • Vissa produkter under CRA (inte MDR-täckta)
  • Organisation under NIS2 (aktör i hälsosektorn)

Noggrann avgränsning krävs: Kartlägg varje produkt till tillämpligt regelverk.

Vanliga frågor

Rapporterar jag samma incident två gånger?

Vanligtvis inte. CRA och NIS2 har olika utlösare:

  • CRA: Aktivt exploaterad sårbarhet i din produkt
  • NIS2: Betydande incident som påverkar dina tjänster

Om en exploaterad produktsårbarhet orsakar en tjänsteincident kan du behöva rapportera under båda, men rapporterna går till olika mottagare och fokuserar på olika aspekter.

Kan NIS2-efterlevnad täcka CRA-krav?

Delvis. Stark NIS2-efterlevnad demonstrerar:

  • Säkerhetsstyrningsförmåga
  • Mognad i sårbarhethantering
  • Incidentresponsförmåga

Men CRA har produktspecifika krav (SBOM, konformitetsbedömning, CE-märkning) som NIS2 inte täcker.

Kan CRA-efterlevnad täcka NIS2-krav?

Nej. CRA är produktfokuserad. NIS2 kräver:

  • Organisatorisk riskhantering
  • Affärskontinuitet
  • Leveranskedjesäkerhet (bredare än produktkomponenter)
  • Styrningsåtgärder

Vilket är mer krävande?

Olika omfång, olika krav:

Aspekt CRA NIS2
Dokumentation Teknisk fil per produkt Organisatoriska policyer
Bedömning Konformitetsbedömning Riskhantering
Löpande Produktsupport (5+ år) Kontinuerlig efterlevnad
Rapportering Produktfokuserad Tjänstefokuserad

Inget är strikt sett "mer krävande." De kräver olika saker.

Viktigt: CRA gäller PRODUKTER. NIS2 gäller ORGANISATIONER som driver väsentliga/viktiga tjänster. Ett företag kan vara föremål för BÅDA regelverken.

Tips: Om du redan arbetar med NIS2-efterlevnad, utnyttja dina incidentrespons- och leveranskedjesäkerhetsåtgärder för CRA.

Hur CRA Evidence hjälper

CRA Evidence stöder organisationer som möter båda regelverken:

  • Produktfokus: Fullständiga CRA-efterlevnadsfunktioner
  • Integrationsredo: Sårbarhethanteringsdata kan exporteras
  • SBOM-hantering: Betjänar CRA direkt, stöder NIS2-leveranskedja
  • Incidentspårning: Kan dirigera till lämpliga rapporteringsvägar
  • Dokumentation: Centraliserad för regulatoriska förfrågningar

Hantera din produktefterlevnad på app.craevidence.com.

Den här artikeln är endast avsedd för informationsändamål och utgör inte juridisk rådgivning. För specifik efterlevnadsvägledning, konsultera kvalificerade juridiska rådgivare.

Ämnen som tas upp i den här artikeln

Dela den här artikeln

Relaterade artiklar

Does the CRA apply to your product?

Besvara 6 enkla frågor för att ta reda på om din produkt omfattas av EU:s Cyber Resilience Act. Få ditt resultat på under 2 minuter.

Kontrollera nu

Redo att uppnå CRA-efterlevnad?

Börja hantera dina SBOMs och efterlevnadsdokumentation med CRA Evidence.

Starta 14-dagars gratis provperiod
Tillbaka till alla artiklar