CRA-deadlines 2026 och 2027: vad som gäller, vad som är blockerat

Per 30 maj 2026 är noll anmälda organ utsedda under CRA. Ingen harmoniserad standard har publicerats i EU:s officiella tidning. ENISA:s rapporteringsplattform finns inte ännu. Cirka 3,4 månader återstår innan artikel 14 börjar tillämpas den 11 september 2026.

Tillverkar du produkter med digitala element för EU-marknaden är detta den faktiska situationen: vad du måste bygga innan september, vad som är blockerat just nu och varför självbedömning för Viktig klass I inte fungerar idag.

Tre hinder du inte kan kringgå

Inga harmoniserade standarder

Artikel 32.2 ger tillverkare av Viktig klass I tre vägar för bedömning av överensstämmelse: självbedömning, tredjepartsbedömning med harmoniserade standarder eller gemensamma specifikationer, eller bedömning av anmält organ. Den mellersta vägen kräver harmoniserade CRA-standarder. Men ingen harmoniserad CRA-standard har publicerats i EU:s officiella tidning. Per 30 maj 2026:

• Kommissionens sida för harmoniserade standarder har ingen post för Förordning (EU) 2024/2847.
• Inga gemensamma specifikationer har antagits enligt artikel 27.2.
• Ingen delegerad akt enligt artikel 27.9 utser något europeiskt cybersäkerhetscertifieringssystem som CRA-presumtionsväg för överensstämmelse.

Där standarder inte finns kräver artikel 32.2 Module B+C (EU-typkontroll) eller Module H (fullständig kvalitetssäkring). Båda kräver ett anmält organ.

Tillverkar du en produkt av Viktig klass I fungerar alltså inte självbedömning idag. Bedömning av anmält organ är den enda godkända vägen.

CEN-CLC/JTC 13/WG 9 utvecklar EN 40000-serien:

• prEN 40000-1-1 (Terminologi): offentlig remiss avslutad, ännu inte vid formell omröstning.
• prEN 40000-1-2 (Principer): offentlig remiss avslutad, ännu inte vid formell omröstning.
• prEN 40000-1-3 (Sårbarhetshantering): offentlig remiss pågick december 2025 till februari 2026, för närvarande i kommentarshantering.
• prEN 40000-1-4 (Generella säkerhetskrav): fortfarande under utarbetande.
• Typ-C-vertikaler (webbläsare, VPN, SIEM med flera): moget utkastskede, ännu inte i offentlig remiss.

Realistisk tidigaste hänvisning i officiella tidningen: kvartal 4 år 2026. Flera vertikala standarder glider sannolikt in i 2027.

Inga anmälda organ

Kapitel IV aktiveras den 11 juni 2026. Kommissionens mål är tillräcklig kapacitet hos anmälda organ senast 11 december 2026 (artikel 35.2, best-efforts-formulering). Per 30 maj 2026 listas inga CRA-utsedda anmälda organ i Single Market Compliance Space.

Behöver du en bedömning av Viktig klass I genomförd före december 2027, räkna med:

• Förberedelse av teknisk dokumentation: 3 till 6 månader.
• Module B+C-bedömning: 2 till 4 månader per produkt.
• Tillgänglighet till anmält organ: osäker tills formell utnämning öppnar efter juni 2026.

Kontakta organ för bedömning av överensstämmelse nu. Den formella mekanismen öppnar inte förrän mitten av 2026. Väntar du till dess är det osannolikt att du hinner genomföra din bedömning före december 2027.

Ingen ENISA-rapporteringsplattform

Den gemensamma rapporteringsplattformen enligt artikel 16 är inte tillgänglig per 30 maj 2026. ENISA har tecknat avtal med en leverantör. Plattformen planeras öppna före den 11 september 2026. Ingen registrerings-URL och ingen tillverkarvägledning har publicerats.

Vad du kan göra nu:

• Utarbeta notifieringsmallar mot formatkraven i artikel 14: notifieringar inom 24 timmar och 72 timmar, en slutrapport om sårbarhet inom 14 dagar och en slutrapport om allvarlig incident inom en månad.
• Identifiera din medlemsstats utsedda CSIRT-koordinator.
• Fastställ vem internt som är behörig att utlösa en 24-timmarsnotifiering på en helg eller helgdag.

ENISA SRP-sida: https://www.enisa.europa.eu/topics/product-security-and-certification/single-reporting-platform-srp

Vad som måste vara på plats före 11 september 2026

Cirka 3,4 månader återstår. Är dessa punkter inte klara ligger du inte efter med uppgifter. Du ligger efter med infrastruktur, och infrastruktur tar månader att bygga.

Produktinventering och klassificering

Du behöver en fullständig lista över varje produkt med digitala element du placerar på EU-marknaden, med CRA-klassificering bekräftad för varje produkt:

• Standardklass: självbedömningsväg tillgänglig.
• Viktig klass I: bedömning av anmält organ krävs idag (se ovan).
• Viktig klass II: anmält organ krävs. Module B+C eller Module H.
• Kritisk: Module B+C eller fullständig kvalitetssäkring. Europeisk cybersäkerhetscertifiering kan också vara tillämplig.

Klassificeringsreferens: Genomförandeförordning (EU) 2025/2392 (EUT 1 december 2025, i kraft 21 december 2025) ger tekniska beskrivningar av produktkategorierna i bilaga III och bilaga IV. Använd den för att lösa gränsfall.

SBOM-infrastruktur

Du kan inte rapportera en aktivt utnyttjad sårbarhet inom 24 timmar om du inte vet vilka komponenter produkten innehåller. SBOM-generering måste vara i drift före september 2026.

• Format: CycloneDX eller SPDX. Båda godkänns under CRA. Välj ett och standardisera för alla produkter.
• Omfattning: transitiva beroenden, inte enbart direkta. Full komponentsynlighet krävs för riskbedömningen i bilaga VII.
• Lagring: versionshanterad och kopplad till produktversioner. Varje SBOM måste kopplas till ett specifikt bygge.
• Integration: CI/CD-pipeline. En engångsexport uppfyller inte den löpande skyldigheten.

Sårbarhetsövervakning

24-timmarsklockan börjar vid kännedom: rimlig säkerhet baserad på en inledande bedömning. Kriminalteknisk bekräftelse krävs inte för att utlösa klockan. Du behöver övervakning som kan producera den inledande bedömningen innan deadline löper ut.

• Prenumerera på NVD, OSV och relevanta leverantörsrådgivningar för dina komponentstackar.
• Automatisera skanning mot dina SBOM-komponenter.
• Dokumentera din interna eskaleringsstig och testa den från start till slut.
• Utarbeta notifieringsmallar nu, innan ENISA-plattformen lanseras.

Checklista inför 11 september 2026

PRODUKTINVENTERING (börja här, klassificeringen avgör din väg för bedömning):
[ ] Fullständig lista över produkter med digitala element sålda i EU med CRA-klassificering bekräftad per produkt
[ ] Viktig klass I: kontakt med organ för bedömning av överensstämmelse inledd nu. Utnämning av anmälda
    organ öppnar inte förrän juni 2026; väntar du till dess hinner du inte före december 2027
[ ] Supportperiod deklarerad per förväntad livslängd (art. 13.8)

SBOM (börja här, matar in i övervakning, teknisk dokumentation och 24-timmarsrapportering):
[ ] SBOM-generering integrerad i CI/CD-pipeline. En engångsexport räcker inte.
[ ] Format standardiserat: CycloneDX eller SPDX
[ ] Täckning av transitiva beroenden verifierad. Enbart direkta beroenden räcker inte.
[ ] SBOM:ar versionshanterade och kopplade till specifika produktversioner

SÅRBARHETSÖVERVAKNING (måste vara i drift före 11 september):
[ ] Övervakning aktiv för alla produkter: NVD, OSV, leverantörsrådgivningar
[ ] Automatiserad skanning mot SBOM i drift
[ ] Intern eskaleringsstig dokumenterad och testad från start till slut
[ ] Dygnet-runt-täckning bekräftad, inklusive helger och helgdagar

RAPPORTERINGSFÖRBEREDELSE (ENISA-plattformen är inte i drift, förbered allt annat nu):
[ ] Mallar för 24 h, 72 h, 14 dagar sårbarhet och en månad incident utarbetade enligt art. 14
[ ] Medlemsstatens CSIRT-koordinator identifierad
[ ] Person behörig att utlösa 24-timmarsnotifiering namngiven och nåbar dygnet runt

DOKUMENTATION:
[ ] Teknisk dokumentation granskad mot bilaga VII
[ ] Gapanalys genomförd
[ ] Riskbedömning påbörjad

Artikel 14: vad rapportering kräver från 11 september 2026

Från och med den 11 september 2026 måste du rapportera aktivt utnyttjade sårbarheter och allvarliga incidenter till två mottagare samtidigt: din medlemsstats utsedda CSIRT-koordinator och ENISA via den gemensamma rapporteringsplattformen (artikel 16).

Undantag för SMF: artikel 64.10 a befriar mikroföretag och små företag från böter för att missa tidskraven i artikel 14.2 a och 14.4 a. Undantaget gäller enbart timing. Själva rapporteringsskyldigheten gäller fortfarande.

Vad "aktivt utnyttjad" innebär

Artikel 14.2 a gäller när det finns trovärdiga bevis på att en hotaktör har utnyttjat sårbarheten i ett system utan ägarens tillstånd. Indikatorer inkluderar:

• Bekräftade attacker observerade i verkligheten.
• Utnyttjande rapporterat i hotintelligens eller av säkerhetsforskare.
• Detektering i honeypots med bevis på aktiv driftsättning.

Kommissionens utkast till vägledning (Ares(2026)2319816, 3 mars 2026) använder "trovärdiga bevis på aktivt utnyttjande" som standard, vilket är ett lägre krav än kriminalteknisk bekräftelse.

Beredskapscheck fas 2

RAPPORTERINGSINFRASTRUKTUR (före 11 september 2026):
[ ] Notifieringsmallar förberedda: 24 h, 72 h, 14 dagar sårbarhet och en månad incident
[ ] Medlemsstatens CSIRT-koordinator identifierad. Detta är din primära kontaktpunkt
    parallellt med ENISA.
[ ] Dygnet-runt-eskaleringsstig bekräftad, inklusive helgtäckning och ersättningskontakter
[ ] Juridisk granskning av art. 14-skyldigheter genomförd

SÅRBARHETSHANTERING:
[ ] Aktiv övervakning i drift för alla produkter
[ ] CVE/NVD-integration aktiv
[ ] Kundnotifieringsmallar redo

TEAMBEREDSKAP:
[ ] Säkerhetsteam utbildat på art. 14-skyldigheter och fyrstegsmodellen
[ ] Ledningseskalering dokumenterad
[ ] Juridiskt team informerat om rapporteringsskyldigheterna
[ ] Kommunikationsteam förberett för offentliga avslöjanden

Full efterlevnad senast 11 december 2027

Väsentliga säkerhetskrav (bilaga I)

Varje efterlevande produkt med digitala element måste uppfylla dessa krav:

Inbyggd säkerhet

• Säkerhetsnivå anpassad till produktens risker (bilaga I, del I, §1).
• Skydd mot obehörig åtkomst.
• Konfidentialitet, integritet och tillgänglighet för data och grundläggande funktioner.
• Minimal attackyta, säkra standardinställningar, inga hårdkodade inloggningsuppgifter.

Sårbarhetshantering

• Dokumenterad process för att identifiera och åtgärda sårbarheter.
• Aktuella, kostnadsfria säkerhetsuppdateringar under supportperioden.
• Policy för samordnat avslöjande av sårbarheter (art. 13.6).

Uppdateringsförmåga

• Säker och tillförlitlig uppdateringsmekanism.
• Möjlighet att separera säkerhetsuppdateringar från funktionsuppdateringar.

Teknisk dokumentation (bilaga VII)

Supportperiod: två separata skyldigheter

CRA ålägger två separata skyldigheter avseende säkerhetsuppdateringar.

Artikel 13.8: du måste tillhandahålla säkerhetsuppdateringar i minst fem år från det datum produkten placeras på marknaden, eller produktens förväntade livslängd om den är kortare. Fem år är ett golv, inte ett standardvärde. En produkt med 10 års förväntad livslängd kräver 10 års supportåtagande.

Artikel 13.9: varje säkerhetsuppdatering du utfärdar måste förbli tillgänglig för nedladdning i minst 10 år från utfärdandedatumet, eller resten av supportperioden, beroende på vilket som är längst.

Dessa är oberoende skyldigheter. En uppdatering som utfärdas under år 4 av en 5-årig supportperiod måste förbli nedladdningsbar till år 14 från utfärdandet. Raderar du gamla uppdateringspaket eller låter distributionsinfrastruktur förfalla bryter du mot artikel 13.9, även om du fortsätter att utfärda nya uppdateringar enligt schema. Planera din lagrings- och distributionsinfrastruktur för lång sikt innan du utfärdar din första uppdatering under CRA.

Checklista inför december 2027

PRODUKTEFTERLEVNAD:
[ ] Alla produkter uppfyller kraven i bilaga I: inbyggd säkerhet, sårbarhetshantering
    och uppdateringsförmåga
[ ] Bedömningar av överensstämmelse genomförda: process för anmält organ klar för Viktig klass I och klass II
[ ] CE-märkning applicerad
[ ] EU-försäkran om överensstämmelse upprättad enligt art. 28

TEKNISK DOKUMENTATION (bilaga VII):
[ ] Riskbedömning genomförd och dokumenterad
[ ] SBOM aktuell och validerad
[ ] Bevis på överensstämmelse organiserat och tillgängligt
[ ] Supportperiod deklarerad per art. 13.8 förväntad livslängd

MARKNADSKEDJA:
[ ] Importörer och distributörer informerade om sina CRA-skyldigheter
[ ] Kundriktad dokumentation uppdaterad

LÖPANDE:
[ ] Art. 13.8: process för säkerhetsuppdateringar aktiv under supportperiodens hela varaktighet
[ ] Art. 13.9: infrastruktur för uppdateringstillgänglighet på plats, 10 år från varje utfärdandedatum
[ ] Sårbarhetsövervakning aktiv och testad
[ ] Incidentrespons övad minst kvartalsvis

Kommissionens vägledning: utkast mars 2026

Kommissionen publicerade ett utkast till meddelande (Ares(2026)2319816) den 3 mars 2026, ca 70 sidor. Intressentsamrådet stängdes den 31 mars 2026. Dokumentet är inte slutgiltigt. Slutliga språkversioner inväntar fortfarande. För en fullständig genomgång, se vår guide till kommissionens CRA-vägledning.

Viktiga avgöranden relevanta för din tidslinje:

RDPS-test för SaaS-tillämpningsområde: programvara för fjärrdatabehandling omfattas av CRA enbart om den klarar tre villkor. Programvaran utför fjärrdatabehandling. Fjärrbehandlingen är nödvändig för produktens kärnfunktion. Tillverkaren kontrollerar fjärrbehandlingen. SaaS som inte klarar detta test faller utanför tillämpningsområdet.

Äldre produkter: ingen rekonstruktion av historisk dokumentation krävs. Du behöver en nutida riskbedömning. Produktfamiljer kan grupperas för riskbedömningsändamål.

Programvaruuppdateringar: en uppdatering utgör inte en "väsentlig ändring" som utlöser en ny bedömning av överensstämmelse, om den inte introducerar nya hotvektorer eller ändrar produktens avsedda syfte. Vägledningen ger ett fyrfrågorstest.

24-timmarsklockan: börjar vid kännedom. Rimlig säkerhet baserad på en inledande bedömning räcker. Kriminalteknisk bekräftelse krävs inte.

Golvet för supportperiod: fem år är ett minimum, inte ett standardvärde. Supportperioden måste återspegla produktens förväntade livslängd.

Öppen källkod: publicering av källkod utgör inte att en produkt placeras på marknaden. Bidragsgivare som inte kontrollerar lanseringen av en färdig produkt är inte tillverkare enligt CRA.

Officiellt tillkännagivande: https://digital-strategy.ec.europa.eu/en/news/commission-publishes-feedback-draft-guidance-assist-companies-applying-cyber-resilience-act

Sanktioner

Artikel 64.2 i Förordning (EU) 2024/2847 fastställer toppnivåstraffet till 15 miljoner euro eller 2,5 procent av den totala globala årsomsättningen, beroende på vilket som är högre, för:

• Bristande efterlevnad av de väsentliga säkerhetskraven i bilaga I och skyldigheter enligt artikel 13.
• Underlåtenhet att uppfylla skyldigheterna i artikel 14 (rapportering av sårbarheter och incidenter).

Båda överträdelserna ligger på samma sanktionsnivå. Det finns ingen lägre nivå för rapporteringsbrister.

Artikel 64.3 (10 miljoner euro eller 2 procent) täcker en separat uppsättning skyldigheter: artiklarna 18-23, 28, 30-33, 39, 41, 47, 49, 53. Det är främst skyldigheter för importörer, distributörer och anmälda organ. Artikel 14 finns inte i denna lista.

Undantag för SMF: artikel 64.10 a befriar mikroföretag och små företag från böter för att missa de specifika tidskraven i artikel 14.2 a och 14.4 a. Undantaget gäller timing, inte substansen i rapporteringsskyldigheten.

Branschspecifika noter

Konsumentelektronik

SBOM-automatisering är den mest värdeskapande tidiga investeringen. Den matar direkt in i sårbarhetsövervakning och generering av teknisk dokumentation. Konsumentprodukter har typiskt komplexa leveranskedjor med flera komponentleverantörer.

Hantering av firmware-uppdateringar för stora enhetspopulationer kräver OTA-infrastruktur. En uppdatering som utfärdas under år 3 av en produkts livslängd måste förbli nedladdningsbar i 10 år från det utfärdandedatumet (artikel 13.9). Planera din distributionsinfrastruktur nu, inte vid utfärdandets tidpunkt.

Programvaruutgivare

Sårbarhetsrapportering är den mest operativt krävande skyldigheten för programvaruprodukter. Detekteringsfrekvenser är högre, och beroendespårning på transitivt djup i moderna stackar är inte trivial. Integrera SBOM-generering i befintliga CI/CD-pipelines. Det matar direkt in i övervaknings- och responsflödet.

Industriell utrustning

Långa produktlivscykler (10 till 20 år) interagerar direkt med både femårsminimigolvet för support (artikel 13.8) och tioårskravet på uppdateringstillgänglighet per utfärdande (artikel 13.9). En produkt med 20 års förväntad livslängd kan kräva ett 20-årsåtagande för support.

Industriprodukter faller ofta i Viktig klass I eller klass II, vilket idag innebär bedömning av anmält organ. Kontakta organ för bedömning av överensstämmelse nu. Den formella utnämningsprocessen för anmälda organ öppnar efter juni 2026, och kapaciteten kommer att vara begränsad åtminstone till december 2026.

IoT-enheter

Eliminering av standardinloggningsuppgifter är ett hårt krav (bilaga I, del I, §2 e). Börja med det. Det är en tydlig överträdelse av bilaga I och relativt avgränsad att åtgärda jämfört med arkitekturförändringar. Säkra uppdateringsmekanismer för resursbegränsade enheter kräver mer arbete. Hantera inloggningsuppgifter först, ta sedan itu med uppdateringar.