Är smarta kameror viktiga produkter under EU:s cyberresiliensakt?

Medan en uppkopplad brödrost kan följa den grundläggande CRA-efterlevnadsvägen, har smarta säkerhetskameror inte den lyxen. EU har uttryckligen placerat dem i Bilaga III som viktiga produkter, klass I — ett steg ovanför de flesta konsument-IoT-produkter — med strängare konformitetskrav som förändrar spelet för alla som tillverkar, importerar eller distribuerar dessa enheter.

En vanlig missuppfattning är att kameror är "kritiska produkter." Det är de inte. Men Viktig klass I är redan ett avsevärt steg upp.

Sammanfattning

• Smarta säkerhetskameror är Viktiga produkter, klass I under CRA Bilaga III, post 17. Inte "Kritiska produkter"
• Klass I tillåter självbedömning bara om harmoniserade standarder tillämpas fullt ut; annars krävs tredjepartsrevision
• Standardlösenord är förbjudna. Unika inloggningsuppgifter eller säker autentisering måste tillämpas vid första användning
• Tillverkare måste hantera sårbarheter och leverera säkerhetsuppdateringar i minst 5 år
• En SBOM (Software Bill of Materials) är obligatorisk
• Importörer är personligen ansvariga för att verifiera tillverkarens efterlevnad innan EU-marknadsplacering
• Alla skyldigheter gäller från 11 december 2027

Vad CRA faktiskt säger om kameror

Det finns mycket förvirring kring CRA-produktkategorier, så låt oss vara precisa. Förordningen skapar tre nivåer:

CRA PRODUKTKLASSIFICERING

STANDARDKATEGORI (Självbedömning, Modul A):
  → De flesta konsument-IoT: smarta högtalare, termostater, etc.

VIKTIGA PRODUKTER (Bilaga III):
  Klass I (Självbedömning med harmoniserade standarder ELLER tredjepart):
    → Smarta hemövervakningskameror  ← KAMEROR ÄR HÄR
    → Smarta dörrlås, babymonitorer, larmsystem
    → Routrar, modem, operativsystem, lösenordshanterare
  Klass II (Tredjepart krävs):
    → Brandväggar, intrångdetekterings-/intrångförebyggande system

KRITISKA PRODUKTER: Bilaga IV (Tredjepart krävs, alltid):
  → Hårdvarusäkerhetsmoduler, smart meter-gateways, smartkort

Den exakta lagstexten

Bilaga III, Klass I, Post 17 i förordning (EU) 2024/2847:

"Smarta hemprodukter med säkerhetsfunktioner, inklusive smarta dörrlås, säkerhetskameror, babyövervakningssystem och larmsystem"

Kommissionens genomförandeförordning (EU) 2025/2392 förtydligar ytterligare det tekniska omfånget, och använder "kamerasystem", något bredare än moderförordningens "säkerhetskameror."

En viktig kvalificering: produkten måste ha "säkerhetsfunktioner" i ett smart hem-sammanhang. En fristående webbkamera för videosamtal hamnar inte automatiskt i klass I. En uppkopplad övervakningskamera som övervakar ditt hem eller företag gör det.

Varför EU pekade ut kameror

Detta var inget godtyckligt beslut. IP-kameror har tjänat sitt rykte som den svagaste länken i nätverkssäkerhet, och data stöder det:

• Mirai-botnätet (2016 och framåt) byggde arméer med över 150 000 komprometterade kameror och DVR:er för att starta massiva DDoS-attacker
• DDoS-attacker utgjorde 77% av alla rapporterade cyberincidenter 2024–2025, många drivna av kapade IoT-enheter
• Mirai-varianter är fortfarande aktiva och hittades exploatera GeoVision-kameror så sent som i april 2025
• Ungefär 7,7 miljoner nya IoT-enheter kopplas upp varje dag; bara 1 av 20 sitter bakom en brandvägg

Mönstret är tydligt: kameror är alltid på, alltid anslutna, ofta dåligt säkrade och de sitter på känsliga data (dina videoflöden). Det är exakt den riskprofil som CRA riktar in sig på.

Vad klass I innebär för konformitetsbedömning

Under Artikel 32(2) får klass I-tillverkare två vägar, och vilken du kan ta beror på något som fortfarande är i förändring.

Väg 1: Självbedömning (Modul A)

Du kan göra intern självbedömning, men bara om du tillämpar harmoniserade standarder som täcker alla väsentliga cybersäkerhetskrav. Partiell täckning duger inte. Missa ett krav, och du är på väg 2.

Fångsten: per februari 2026 håller fortfarande de harmoniserade standarderna under CRA på att slutföras av CEN/CENELEC. Tills de publiceras i EUT kan de flesta tillverkare inte använda den här vägen.

Väg 2: Tredjepartsbedömning

Utan fullständig täckning av harmoniserade standarder behöver du antingen:

• Modul B + C: EU-typprovning av ett anmält organ, sedan konformitet mot typen
• Modul H: fullständigt kvalitetsförsäkranssystem certifierat av ett anmält organ

Båda alternativen kostar mer och tar längre tid än självbedömning. Och kapaciteten hos anmälda organ kommer att stramas åt när vi närmar oss december 2027. Alla kommer att rusa på samma gång.

Väsentliga krav för smarta kameror

Alla uppkopplade kameror måste uppfylla CRA:s väsentliga cybersäkerhetskrav (Bilaga I), oavsett vilken konformitetsväg du tar. De som drabbar kameratillverkare hårdast:

1. Inga standardlösenord

Artikel 13 och Bilaga I, Del I kräver "säker som standard"-konfiguration. I klartext:

• Inget mer admin/admin eller admin/password skickat med varje enhet
• Varje enhet behöver ett unikt lösenord, eller måste tvinga säker inloggningsinställning vid första användning
• Multi-faktor-autentisering där tekniskt genomförbart

Detta ensamt kommer att tvinga fram omdesign i ett stort antal kameraproduktlinjer.

2. Sårbarhethantering (5-årsminimum)

Bilaga I, Del II innebär att tillverkare måste:

• Upprätta en policy för samordnat sårbarhetavslöjande (CVD)
• Ge säkerhetsforskare ett tydligt sätt att rapportera problem
• Patcha sårbarheter utan dröjsmål under hela supportperioden
• Stödja produkten i minst 5 år från marknadsplacering
• Rapportera aktivt exploaterade sårbarheter till ENISA inom 24 timmar (detta börjar 11 september 2026)

Fem år av obligatorisk patchning är en stor förändring för kameratillverkare som är vana vid "skicka och glöm."

3. Software Bill of Materials (SBOM)

Varje programvarukomponent i din kamerafirmware måste dokumenteras: Linux-kärnan, RTSP-streamningbibliotek, webbgränssnittsramverk, TLS-stack, allt. SBOM:en måste:

• Använda ett maskinläsbart format (CycloneDX eller SPDX)
• Täcka minst beroenden på toppnivå
• Vara en del av den tekniska dokumentationen
• Hållas uppdaterad under supportperioden

4. Säker uppdateringsmekanism

Kameror behöver säkra, autentiserade firmware-uppdateringar:

• Levererade via krypterade kanaler
• Firmware-integritet verifierad innan installation
• Automatiska säkerhetsuppdateringar aktiverade som standard (användare kan välja bort)
• Återkallningsförmåga rekommenderas

5. Dataminimering och integritet

Kameror som samlar in videodata måste:

• Bara bearbeta data som är nödvändig för produktens funktion
• Kryptera lagrad och överfört data
• Låta användare säkert radera sin data
• Skydda data i vila mot fysisk åtkomst

Importörers och distributörers roll

Importörer: Du är EU:s grindvakt

Om du importerar kameror från utanför EU (och låt oss vara ärliga, de flesta smarta kameror tillverkas i Asien), lägger Artikel 19 ansvaret på dig. Du är personligen ansvarig för att verifiera att tillverkaren gjort sitt efterlevnadsarbete innan produkten går in på EU-marknaden.

Din verifieringschecklista innan du placerar en kamera på EU-marknaden:

• [ ] Tillverkaren genomfört lämplig konformitetsbedömning (klass I)
• [ ] EU-försäkran om överensstämmelse (DoC) finns och refererar till CRA
• [ ] CE-märkning korrekt applicerad
• [ ] Teknisk dokumentation tillgänglig och tillräcklig
• [ ] Tillverkarens kontaktinformation finns på produkten eller förpackningen
• [ ] SBOM tillgänglig som del av den tekniska dokumentationen

Om någon kontroll misslyckas kan du lagligen inte sälja produkten. Punkt slut. Du måste informera tillverkaren, och om det finns en cybersäkerhetsrisk, notifiera marknadsövervakningsmyndigheterna.

Böter för importörer: Upp till 10 miljoner EUR eller 2% av global årlig omsättning (Artikel 64).

Distributörer: Lättare skyldigheter, verkliga konsekvenser

Distributörer har mindre att verifiera under Artikel 20, men skyldigheterna är fortfarande bindande:

• CE-märkning finns på produkten
• Tillverkarens och importörens namn och kontaktuppgifter är synliga
• Lagrings- och transportförhållanden äventyrar inte efterlevnad
• Sälj inte produkter som du har anledning att tro är icke-konforma

Böter för distributörer: Upp till 5 miljoner EUR eller 1% av global årlig omsättning (Artikel 64).

Omärkningsfällan

Var uppmärksam: om du importerar en kamera och säljer den under ditt eget varumärke, eller om du gör väsentliga modifieringar av firmware eller digitala element, behandlar CRA dig som tillverkaren. Det innebär hela uppsättningen tillverkarskyldigheter: konformitetsbedömning, SBOM, 5 års sårbarhethantering, allt.

Efterlevnadstidslinje

SMART KAMERA CRA-TIDSLINJE

11 sep 2026 ─── Skyldigheter för sårbarhetrapportering börjar
                (24h-rapportering av aktivt exploaterade sårbarheter till ENISA)

11 dec 2027 ─── Fullständig CRA-efterlevnad krävs
                (Alla väsentliga krav, konformitetsbedömning,
                 CE-märkning, SBOM, teknisk dokumentation)

Om du tillverkar eller importerar smarta kameror och ännu inte börjat ditt efterlevnadsarbete, ligger du redan efter. Harmoniserade standarder håller fortfarande på att utvecklas, platser hos anmälda organ fylls upp, och december 2027 är närmare än det ser ut.

Vad du ska göra nu

Tillverkare

1. Klassificera din produkt. Säkerhetskamera i smart hem-sammanhang? Det är klass I. Professionell CCTV kan falla under CRA:s allmänna omfång men inte nödvändigtvis Bilaga III post 17.
2. Avskaffa standardlösenord. Över hela din produktlinje, nu.
3. Bygg din SBOM. CycloneDX- eller SPDX-format. Börja med ditt kamerafirmwares beroendeträd.
4. Upprätta en CVD-policy. En security.txt-fil och en tydlig kanal för sårbarhetrapportering.
5. Välj din konformitetsväg. Håll koll på CEN/CENELEC för framsteg med harmoniserade standarder. Om de inte blir klara i tid, tala med ett anmält organ tidigt.
6. Prissätt in 5 år av support. Löpande säkerhetspatchning är inte längre valfritt, så inbaka det i dina marginaler.

Importörer

1. Revidera dina leverantörer. Begär konformitetsbevis, SBOM:er och försäkringar om överensstämmelse från varje kameratillverkare du arbetar med.
2. Uppdatera dina inköpsavtal. Lägg till CRA-efterlevnadsklausuler före deadline, inte efter.
3. Kontrollera dina egna märkesprodukter. Säljer du kameror under ditt namn? Du kan vara tillverkaren under CRA.

Distributörer

1. Flagga klass I-produkter i din katalog. Vet vilka kameror som har högre efterlevnadskrav.
2. Samla CE-märknings- och DoC-bevis från din leveranskedja.
3. Planera uttagsprocedurer för produkter som inte kommer att vara efterlevande till december 2027.

Viktigt: Smarta kameror med säkerhetsfunktioner (övervakning, monitering) klassificeras som Viktig klass I under Bilaga III, Del I.

Tips: Standardlösenord på kameror är uttryckligen förbjudna under CRA. Varje enhet måste ha unika inloggningsuppgifter eller kräva användarkonfiguration.

Officiella källor

• Förordning (EU) 2024/2847: Cyberresiliensakt (fulltext)
• Kommissionens genomförandeförordning (EU) 2025/2392: Tekniska beskrivningar av Bilaga III/IV-kategorier
• CRA-konformitetsbedömning: EU Digital Strategy
• ENISA Threat Landscape 2025
• ENISA CRA Requirements Standards Mapping

Den här artikeln är endast avsedd för informationsändamål och utgör inte juridisk rådgivning. För specifik efterlevnadsvägledning, konsultera kvalificerade juridiska rådgivare.