Är smarta kameror viktiga produkter under EU:s cyberresiliensförordning?

Smarta säkerhetskameror klassificeras som viktiga produkter (klass I) under CRA Bilaga III. Vad detta innebär för tillverkare, importörer och distributörer.

CRA Evidence Team Publicerad 25 februari 2026 Uppdaterad 17 april 2026
Blogginläggets förhandsvisning med titeln 'Är smarta kameror viktiga produkter enligt CRA?' på CRA Evidence regulatoriska mall
I denna artikel

Medan en uppkopplad brödrost kan följa den grundläggande CRA-efterlevnadsvägen har smarta säkerhetskameror inte den lyxen. EU har uttryckligen placerat dem i Bilaga III som viktiga produkter, klass I, ett steg ovanför de flesta konsument-IoT, med strängare krav på bedömning av överensstämmelse som förändrar spelet för alla som tillverkar, importerar eller distribuerar dessa enheter.

En vanlig missuppfattning är att kameror är "kritiska produkter". Det är de inte. Men Viktig klass I är redan ett avsevärt steg upp.

Sammanfattning

  • Smarta säkerhetskameror är Viktiga produkter, klass I under CRA Bilaga III, post 17. Inte "Kritiska produkter"
  • Klass I tillåter självbedömning bara om harmoniserade standarder tillämpas fullt ut, annars krävs tredjepartsrevision
  • Standardlösenord är förbjudna. Unika inloggningsuppgifter eller säker autentisering måste tillämpas vid första användning
  • Tillverkare måste hantera sårbarheter och leverera säkerhetsuppdateringar i minst 5 år
  • En SBOM (Software Bill of Materials) är obligatorisk
  • Importörer är personligen ansvariga för att verifiera tillverkarens efterlevnad innan EU-marknadsplacering
  • Alla skyldigheter gäller från 11 december 2027
150 000+
Komprometterade kameror
och DVR:er, Mirai-botnätets topp (2016 och framåt)
77 %
Rapporterade cyberincidenter
var DDoS 2024-2025
5 år
Minsta supportperiod
för klass I-kameror (Artikel 13.8)
11 dec 2027
Fullständig CRA-tillämpning
CE-märkning och bedömning av överensstämmelse krävs

Källor: ENISA Threat Landscape 2020 och 2025, Förordning (EU) 2024/2847, Artikel 13 och 71.

Vad CRA faktiskt säger om kameror

Det finns mycket förvirring kring CRA:s produktkategorier, så låt oss vara precisa. Förordningen skapar tre nivåer:

CRA-produktnivåer som placerar smarta säkerhetskameror i Viktig klass I, Bilaga III, post 17. Standard omfattar de flesta konsument-IoT som smarta högtalare och termostater. Klass I omfattar smarta hemövervakningskameror, smarta dörrlås, babymonitorer, larmsystem, routrar, modem, operativsystem och lösenordshanterare. Klass II omfattar brandväggar samt intrångsdetekterings- och intrångsförebyggande system. Kritisk, Bilaga IV, omfattar hårdvarusäkerhetsmoduler, smart meter-gateways och smartkort.
Där smarta säkerhetskameror placeras i CRA:s produktklassificering.

Den exakta lagtexten

Bilaga III, Klass I, Post 17 i Förordning (EU) 2024/2847:

"Smarta hemprodukter med säkerhetsfunktioner, inklusive smarta dörrlås, säkerhetskameror, babyövervakningssystem och larmsystem"

Kommissionens genomförandeförordning (EU) 2025/2392 förtydligar ytterligare det tekniska omfånget och använder "kamerasystem", något bredare än moderförordningens "säkerhetskameror".

En viktig kvalificering: produkten måste ha "säkerhetsfunktioner" i ett smart hem-sammanhang. En fristående webbkamera för videosamtal hamnar inte automatiskt i klass I. En uppkopplad övervakningskamera som övervakar ditt hem eller företag gör det.

Varför EU pekade ut kameror

Detta var inget godtyckligt beslut. IP-kameror har förtjänat sitt rykte som den svagaste länken i nätverkssäkerheten, och data stöder det:

  • Mirai-botnätet (2016 och framåt) byggde arméer med över 150 000 komprometterade kameror och DVR:er för att starta massiva DDoS-attacker (ENISA Threat Landscape 2020: Botnet Report)
  • DDoS-attacker utgjorde 77 % av alla rapporterade cyberincidenter 2024-2025, många drivna av kapade IoT-enheter (ENISA Threat Landscape 2025)
  • Mirai-varianter är fortfarande aktiva och hittades utnyttja GeoVision-kameror så sent som i april 2025
  • Ungefär 7,7 miljoner nya IoT-enheter kopplas upp varje dag, bara 1 av 20 sitter bakom en brandvägg

Mönstret är tydligt: kameror är alltid på, alltid anslutna, ofta dåligt säkrade och de sitter på känsliga data (dina videoflöden). Det är exakt den riskprofil som CRA riktar in sig på.

Vad klass I innebär för bedömning av överensstämmelse

Under Artikel 32.2 får klass I-tillverkare två vägar, och vilken du kan ta beror på något som fortfarande är i förändring.

Väg 1: Självbedömning (Modul A)

Du kan göra intern självbedömning, men bara om du tillämpar harmoniserade standarder som täcker alla väsentliga säkerhetskrav. Partiell täckning duger inte. Missa ett krav, och du är på väg 2.

Haken: per februari 2026 håller de harmoniserade standarderna under CRA fortfarande på att slutföras av CEN/CENELEC. Tills de publiceras i EUT kan de flesta tillverkare inte använda den här vägen.

Väg 2: Tredjepartsbedömning

Utan fullständig täckning av harmoniserade standarder behöver du antingen:

  • Modul B + C: EU-typprovning av ett anmält organ, sedan överensstämmelse mot typen
  • Modul H: fullständigt kvalitetsförsäkranssystem certifierat av ett anmält organ

Båda alternativen kostar mer och tar längre tid än självbedömning. Och kapaciteten hos anmälda organ kommer att stramas åt när vi närmar oss december 2027. Alla kommer att rusa på samma gång.

Väsentliga krav för smarta kameror

Alla uppkopplade kameror måste uppfylla CRA:s väsentliga säkerhetskrav (Bilaga I), oavsett vilken väg för bedömning av överensstämmelse du tar. De som drabbar kameratillverkare hårdast:

1. Inga standardlösenord

Artikel 13 och Bilaga I, Del I kräver "säker som standard"-konfiguration. I klartext:

  • Inget mer admin/admin eller admin/password skickat med varje enhet
  • Varje enhet behöver ett unikt lösenord, eller måste tvinga säker inloggningsinställning vid första användning
  • Multifaktorautentisering där det är tekniskt genomförbart

Detta ensamt kommer att tvinga fram omdesign i ett stort antal kameraproduktlinjer.

2. Sårbarhetshantering (minst 5 år)

Bilaga I, Del II innebär att tillverkare måste:

  • Upprätta en policy för samordnat sårbarhetsavslöjande (CVD)
  • Ge säkerhetsforskare ett tydligt sätt att rapportera problem
  • Patcha sårbarheter utan dröjsmål under hela supportperioden
  • Stödja produkten i minst 5 år från marknadsplacering
  • Rapportera aktivt utnyttjade sårbarheter till ENISA inom 24 timmar (detta börjar 11 september 2026)

Fem år av obligatorisk patchning är en stor förändring för kameratillverkare som är vana vid "skicka och glöm".

3. Software Bill of Materials (SBOM)

Varje programvarukomponent i din kamerafirmware måste dokumenteras: Linux-kärnan, RTSP-streamingbibliotek, webbgränssnittsramverk, TLS-stack, allt. SBOM:en måste:

  • Använda ett maskinläsbart format (CycloneDX eller SPDX)
  • Täcka minst beroenden på toppnivå
  • Ingå i den tekniska dokumentationen
  • Hållas uppdaterad under hela supportperioden

4. Säker uppdateringsmekanism

Kameror behöver säkra, autentiserade firmware-uppdateringar:

  • Levererade via krypterade kanaler
  • Firmware-integritet verifierad innan installation
  • Automatiska säkerhetsuppdateringar aktiverade som standard (användare kan välja bort)
  • Återställningsförmåga rekommenderas

5. Dataminimering och integritet

Kameror som samlar in videodata måste:

  • Bara bearbeta data som är nödvändig för produktens funktion
  • Kryptera lagrad och överförd data
  • Låta användare säkert radera sin data
  • Skydda data i vila mot fysisk åtkomst

Importörers och distributörers roll

Importörer: Du är EU:s grindvakt

Om du importerar kameror från utanför EU (och låt oss vara ärliga, de flesta smarta kameror tillverkas i Asien) lägger Artikel 19 ansvaret på dig. Du är personligen ansvarig för att verifiera att tillverkaren gjort sitt efterlevnadsarbete innan produkten går in på EU-marknaden.

Din verifieringschecklista innan du placerar en kamera på EU-marknaden:

  • [ ] Tillverkaren har genomfört lämplig bedömning av överensstämmelse (klass I)
  • [ ] EU-försäkran om överensstämmelse (DoC) finns och refererar till CRA
  • [ ] CE-märkning är korrekt applicerad
  • [ ] Teknisk dokumentation är tillgänglig och tillräcklig
  • [ ] Tillverkarens kontaktinformation finns på produkten eller förpackningen
  • [ ] SBOM är tillgänglig som del av den tekniska dokumentationen

Om någon kontroll misslyckas kan du lagligen inte sälja produkten. Punkt slut. Du måste informera tillverkaren, och om det finns en cybersäkerhetsrisk, notifiera tillsynsmyndigheterna.

Böter för importörer: Upp till 10 miljoner EUR eller 2 % av global årlig omsättning (Artikel 64).

Distributörer: Lättare skyldigheter, verkliga konsekvenser

Distributörer har mindre att verifiera under Artikel 20, men skyldigheterna är fortfarande bindande:

  • CE-märkning finns på produkten
  • Tillverkarens och importörens namn och kontaktuppgifter är synliga
  • Lagrings- och transportförhållanden äventyrar inte efterlevnad
  • Sälj inte produkter som du har anledning att tro är icke-konforma

Böter för distributörer: Upp till 10 miljoner EUR eller 2 % av global årlig omsättning (Artikel 64.3, skyldigheterna för distributörer enligt Artikel 20 faller inom intervallet för Artiklarna 18-23).

Omärkningsfällan

Var uppmärksam: om du importerar en kamera och säljer den under ditt eget varumärke, eller om du gör väsentliga modifieringar av firmware eller digitala element, behandlar CRA dig som tillverkaren. Det innebär hela uppsättningen tillverkarskyldigheter: bedömning av överensstämmelse, SBOM, 5 års sårbarhetshantering, allt.

Efterlevnadstidslinje 

SMART KAMERA CRA-TIDSLINJE

11 sep 2026 ─── Skyldigheter för sårbarhetsrapportering börjar
                (24h-rapportering av aktivt utnyttjade sårbarheter till ENISA)

11 dec 2027 ─── Fullständig CRA-efterlevnad krävs
                (Alla väsentliga krav, bedömning av överensstämmelse,
                 CE-märkning, SBOM, teknisk dokumentation)

Om du tillverkar eller importerar smarta kameror och ännu inte börjat ditt efterlevnadsarbete, ligger du redan efter. Harmoniserade standarder är fortfarande under utveckling, platser hos anmälda organ fylls upp, och december 2027 är närmare än det ser ut.

Checklista

  • Klassificera din produkt mot Bilaga III post 17. Smart hem-sammanhang med säkerhetsfunktion innebär klass I, professionell CCTV kan falla under CRA:s allmänna omfång i stället.
  • Ta bort standardlösenord över hela din kameralinje. Varje enhet levereras med en unik inloggningsuppgift, eller tvingar säker inställning vid första användning.
  • Generera en CycloneDX- eller SPDX-SBOM för din firmware. Täck minst beroenden på toppnivå och håll den uppdaterad under hela den 5-åriga supportperioden.
  • Publicera en policy för samordnat sårbarhetsavslöjande och en security.txt med en kontakt som går att nå.
  • Bestäm din väg för bedömning av överensstämmelse. Om CEN/CENELEC:s harmoniserade standarder inte blir klara i tid, kontakta ett anmält organ nu.
  • Om du importerar kameror som tillverkats utanför EU, granska varje leverantörs bevis på överensstämmelse innan marknadsplacering.
Viktigt

Smarta kameror med säkerhetsfunktion (övervakning, monitorering) klassificeras som Viktig klass I under Bilaga III, Del I.

Tips

Standardlösenord på kameror är uttryckligen förbjudna under CRA. Varje enhet måste ha en unik inloggningsuppgift eller kräva användarkonfiguration vid första användning.

Officiella källor

Vanliga frågor

Är smarta säkerhetskameror klass I eller kritiska enligt CRA?

Klass I. Bilaga III, Klass I, Post 17 i Förordning (EU) 2024/2847 listar "smarta hemprodukter med säkerhetsfunktioner, inklusive smarta dörrlås, säkerhetskameror, babyövervakningssystem och larmsystem". Kritiska produkter finns i Bilaga IV och omfattar hårdvarusäkerhetsmoduler, smart meter-gateways och smartkort, inte kameror. Kommissionens genomförandeförordning (EU) 2025/2392 använder det något bredare uttrycket "kamerasystem" för samma kategori. Fristående webbkameror för videosamtal hamnar inte automatiskt här, kvalificeringen är ett smart hem-sammanhang med en säkerhetsfunktion.

Kan kameratillverkare självbedöma under Modul A, eller krävs ett anmält organ?

Självbedömning är tillåten bara om harmoniserade standarder som täcker alla väsentliga säkerhetskrav tillämpas fullt ut. Partiell täckning tvingar fram tredjepartsvägen: antingen Modul B+C (EU-typprovning av ett anmält organ, sedan överensstämmelse mot typen) eller Modul H (fullständigt kvalitetsförsäkranssystem certifierat av ett anmält organ). Per februari 2026 håller CRA:s harmoniserade standarder fortfarande på att slutföras av CEN/CENELEC, så de flesta tillverkare kan ännu inte ta självbedömningsvägen.

Är standardlösenord verkligen förbjudna på smarta kameror?

Ja. Artikel 13 och Bilaga I, Del I kräver "säker som standard"-konfiguration. I praktiken innebär det inget mer delat admin/admin eller admin/password skickat med varje enhet. Varje enhet behöver en unik inloggningsuppgift, eller måste tvinga användaren genom säker inloggningsinställning vid första användning, med multifaktorautentisering där det är tekniskt genomförbart. Detta enda krav kommer att tvinga fram omdesign på en stor del av kameramarknaden.

Hur länge måste en kameratillverkare leverera säkerhetsuppdateringar?

Minst fem år från marknadsplacering enligt Artikel 13.8, eller produktens förväntade livslängd om den är kortare. Under den perioden måste tillverkare driva en policy för samordnat sårbarhetsavslöjande (CVD), ge säkerhetsforskare en tydlig väg att rapportera problem och patcha sårbarheter utan dröjsmål. Uppdateringar måste levereras via autentiserade kanaler med firmware-integriteten verifierad innan installation, och automatiska säkerhetsuppdateringar aktiverade som standard (användare får välja bort).

Vilket ansvar har en importör när kameror placeras på EU-marknaden?

Under Artikel 19 är importörer personligen ansvariga för att verifiera att tillverkaren har genomfört bedömningen av överensstämmelse, att en EU-försäkran om överensstämmelse refererar till CRA, att CE-märkning är korrekt applicerad, att den tekniska dokumentationen och SBOM är tillgängliga, samt att tillverkarens kontaktuppgifter finns på produkten eller förpackningen. Om någon kontroll misslyckas kan produkten inte lagligen placeras på marknaden. Böterna når 10 miljoner EUR eller 2 % av global årlig omsättning (Artikel 64). En importör som omärker en kamera eller gör väsentliga modifieringar behandlas som tillverkaren och ärver hela uppsättningen tillverkarskyldigheter.

När börjar 24-timmarsskyldigheten för sårbarhetsrapportering för kameror?

11 september 2026. Från det datumet måste aktivt utnyttjade sårbarheter rapporteras till ENISA inom 24 timmar enligt Artikel 14. Fullständig CRA-tillämpning, inklusive CE-märkning, bedömning av överensstämmelse, SBOM och teknisk dokumentation, följer 11 december 2027. Tillverkare och importörer som ännu inte har skopat sin Artikel 14-pipeline ligger redan efter, harmoniserade standarder är fortfarande under utveckling och kapaciteten hos anmälda organ kommer att stramas åt när 2027 närmar sig.

Nästa steg

Vad du ska göra före december 2027

  1. Klassificera din produkt mot Bilaga III post 17. Smart hem-sammanhang med en säkerhetsfunktion innebär klass I, professionell CCTV kan i stället falla under CRA:s allmänna omfång.
  2. Ta bort standardlösenord över hela din kameralinje. Varje enhet levereras med en unik inloggningsuppgift, eller tvingar säker inställning vid första användning.
  3. Generera en CycloneDX- eller SPDX-SBOM för din firmware. Täck minst beroenden på toppnivå och håll den uppdaterad under hela den 5-åriga supportperioden.
  4. Publicera en policy för samordnat sårbarhetsavslöjande och en security.txt med en kontakt som går att nå.
  5. Bestäm din väg för bedömning av överensstämmelse. Om CEN/CENELEC:s harmoniserade standarder inte blir klara i tid, kontakta ett anmält organ nu. Se guiden för beslut om bedömning av överensstämmelse.
  6. Om du importerar kameror som tillverkats utanför EU, granska varje leverantörs bevis på överensstämmelse innan marknadsplacering. Se guiden för verifiering av importörsskyldigheter.

Den här artikeln är endast avsedd för informationsändamål och utgör inte juridisk rådgivning. För specifik efterlevnadsvägledning, konsultera kvalificerade juridiska rådgivare.

CRA IoT Produktklasser Importörer
Share

Relaterade artiklar

Tillbaka till alla artiklar

Gäller CRA för din produkt?

Svara på 6 enkla frågor för att ta reda på om din produkt omfattas av EU:s Cyber Resilience Act. Få ditt resultat på under 2 minuter.

Kontrollera nu

Redo att uppnå CRA-efterlevnad?

Börja hantera dina SBOM:ar och efterlevnadsdokumentation med CRA Evidence.

Starta 14-dagars gratis provperiod

Djupdykning i CRA-ämnen

Evergreen guides covering the specific requirements, processes, and roles defined by the Cyber Resilience Act.

EU-försäkran om överensstämmelse

Vad EU-försäkran om överensstämmelse måste innehålla, vem som undertecknar den och när den krävs.

Läs guiden →
Bedömning av överensstämmelse

Hur överensstämmelsebedömning fungerar under CRA och när ett anmält organ krävs.

Läs guiden →
Teknisk dokumentation

Vad CRA:s tekniska dokumentation måste innehålla (Bilaga VII avsnitt för avsnitt) och hur tillverkare bör strukturera den.

Läs guiden →
Produktklassificering

Hur CRA klassificerar produkter efter risknivå och vad varje kategori innebär för skyldigheter.

Läs guiden →
SBOM-krav

Vad CRA kräver för SBOM:er och hur BSI TR-03183 definierar kvalitetskriterier.

Läs guiden →
Rapportering av sårbarheter

Hur kravet på 24-timmarsanmälan till ENISA fungerar och vad som räknas som en aktivt utnyttjad sårbarhet.

Läs guiden →
Importörens skyldigheter

Vad artikel 19 kräver av importörer och hur tillverkarens efterlevnad verifieras.

Läs guiden →
Planering av supportperiod

Vad CRA:s skyldighet om supportperiod innebär för säkerhetsuppdateringar och end-of-life-planering.

Läs guiden →
View full CRA compliance guide