EU:s cyberresilienslagen: Komplett implementeringstidslinje 2025–2027

EU:s cyberresilienslagen (förordning 2024/2847) representerar den mest betydande cybersäkerhetslagstiftningen för produkter med digitala element (PDE) i Europeiska unionen. Med verkställighet som börjar 2025 och full efterlevnad krävs till december 2027 behöver tillverkare förstå tidslinjen och förbereda sig därefter.

Den här guiden bryter ner varje milstolpe, ger handlingsbara förberedelsecheck­listor och erbjuder branschspecifik vägledning för att hjälpa dig navigera efterlevnadsresan.

Tidslinje för viktiga milstolpar

November 2024: Ikraftträdande

Cyberresilienslagen trädde i kraft den 10 december 2024 (20 dagar efter publicering i Officiella tidningen). Den officiella räkneperioden började.

September 2026: Rapporteringsskyldigheter

Den första operativa deadline med reella konsekvenser.

SEPTEMBER 2026 - VAD AKTIVERAS:

1. AKTIV EXPLOATERING → ENISA-RAPPORTERING
   ├── 24-timmars tidig varning
   ├── 72-timmars detaljerat meddelande
   └── 14/30-dagars slutrapport

2. ENISA SINGLE REPORTING PLATFORM (SRP)
   └── Operativ och kräver registrering

3. MARKNADSÖVERVAKNING
   └── Nationella myndigheter kan börja kontrollera

Vad du behöver redo till september 2026:

• [ ] Registrering på ENISA SRP slutförd
• [ ] Intern sårbarhetdetektering implementerad
• [ ] Eskalerings- och rapporteringsprocess definierad
• [ ] Team utbildat och redo
• [ ] Testrapport inlämnad i SRP-testmiljö

December 2027: Full efterlevnad

Den slutgiltiga och mest kritiska deadline.

DECEMBER 2027 - VAD KRÄVS:

ALLA PRODUKTER PLACERADE PÅ MARKNADEN EFTER DETTA DATUM:
├── Uppfyller alla väsentliga krav (Bilaga I)
├── Har genomgått konformitetsbedömning (Modul A, B+C eller H)
├── Bär CE-märkning
├── Har undertecknad EU-försäkran om överensstämmelse
├── Har SBOM tillgänglig
├── Har sårbarhethanteringsprocess aktiv
└── Har 5-årig supportperiod åtagit sig

Befintliga produkter på marknaden:

• Kan fortsätta säljas om de uppfyller CRA-krav
• Måste ha retroaktiv konformitetsbedömning utförd
• Tillverkare måste demonstrera efterlevnad

Vad du behöver göra – Nu till December 2027

Fas 1: Bedömning och planering (Nu – Q2 2026)

BEDÖMNINGS- OCH PLANERINGSFAS

PRODUKTINVENTERING:
[ ] Lista alla produkter med digitala element
[ ] Identifiera produkter i EU-marknaden
[ ] Identifiera planerade produktlanseringar

KLASSIFICERING:
[ ] Klassificera varje produkt (Standard/Viktig I/Viktig II/Kritisk)
[ ] Kontrollera Bilaga III och IV mot din produktportfölj
[ ] Dokumentera klassificeringsgrunder

GAP-ANALYS:
[ ] Bedöm nuvarande säkerhetsmognad per produkt
[ ] Identifiera SBOM-genereringsluckor
[ ] Identifiera sårbarhethanteringsluckor
[ ] Bedöm konformitetsbedömningsväg

PLANERING:
[ ] Skapa compliance-färdplan per produkt
[ ] Tilldela ansvarstagare
[ ] Avsätt budget
[ ] Engagera externa resurser om nödvändigt

Fas 2: Teknisk förberedelse (Q1–Q3 2026)

TEKNISK FÖRBEREDELSEFAS

SBOM:
[ ] Välj SBOM-genereringsverktyg
[ ] Integrera SBOM-generering i CI/CD
[ ] Etablera SBOM-uppdateringsprocess
[ ] Validera SBOM mot TR-03183-krav

SÅRBARHETHANTERING:
[ ] Implementera sårbarhetövervakning
[ ] Etablera intern triage-process
[ ] Dokumentera CVD-policy
[ ] Publicera CVD-policy (security.txt)
[ ] Förbered ENISA SRP-registrering

PRODUKTSÄKERHET:
[ ] Genomför säkerhetsbedömning per produkt
[ ] Implementera saknade säkerhetskontroller
[ ] Testa säkerhetsimplementering
[ ] Dokumentera i teknisk fil

Fas 3: Dokumentation och certifiering (Q3–Q4 2026 till Q4 2027)

DOKUMENTATIONS- OCH CERTIFIERINGSFAS

TEKNISK FIL (BILAGA VII):
[ ] Produktbeskrivning och avsedd användning
[ ] Riskbedömningsdokumentation
[ ] Säkerhetsarkitekturbeskrivning
[ ] Testresultat och verifieringsbevis
[ ] SBOM (initial och aktuell)
[ ] Användardokumentation

KONFORMITETSBEDÖMNING:
[ ] Välj modul (A, B+C eller H)
[ ] Engagera anmält organ om nödvändigt (Modul B+C/H)
[ ] Genomför intern bedömning (Modul A)
[ ] Samla nödvändiga certifikat

DoC OCH CE-MÄRKNING:
[ ] Utfärda EU-försäkran om överensstämmelse
[ ] Applicera CE-märkning
[ ] Konfigurera StableURL för DoC
[ ] Verifiera CE-märkningspresentation

Branschspecifik vägledning

Konsument-IoT

KONSUMENT-IoT TIDSLINJE

KRITISKA DATUM:
- Nu: Produktklassificering och gap-analys
- Q1 2026: SBOM-generering implementerad
- Sept 2026: ENISA-rapportering aktiv
- Q2 2027: Alla konformitetsbedömningar startade
- Dec 2027: Full efterlevnad

FOKUSOMRÅDEN:
[ ] EN 303 645-samordning
[ ] 5-årig supportplanering
[ ] Inga standardlösenord implementerat
[ ] Automatisk uppdateringsmekanism

Industriell IoT / OT

INDUSTRIELL IoT/OT TIDSLINJE

KRITISKA DATUM:
- Nu: IEC 62443-mappning och gap-analys
- Q1-Q2 2026: Tredjepartsbedömning inledd (lång ledtid)
- Sept 2026: ENISA-rapportering aktiv
- Q1-Q3 2027: Anmält organs granskning slutförd
- Dec 2027: Full efterlevnad

FOKUSOMRÅDEN:
[ ] IEC 62443-samordning
[ ] Anmält organ identifierat tidigt (lång kö)
[ ] Viktig klass II-krav
[ ] Industriella protokolls säkerhet

Programvaruprodukter

PROGRAMVARUPRODUKTER TIDSLINJE

KRITISKA DATUM:
- Nu: Klassificering och gap-analys
- Q1-Q2 2026: SBOM-generering fullt automatiserad
- Sept 2026: ENISA-rapportering aktiv
- Q3-Q4 2027: DoC och CE utfärdade
- Dec 2027: Full efterlevnad

FOKUSOMRÅDEN:
[ ] SBOM per release
[ ] Automatiserad sårbarhetskanning
[ ] CI/CD-integrerat SBOM
[ ] VEX-dokumentation

Riskbedömning av dröjsmål

RISKBEDÖMNING AV SENT START

STARTAR Q3 2026:
- Kan inte uppnå full efterlevnad till Dec 2027
- Viktig klass II/Kritisk: Omöjligt utan tredjeparter
- Konsekvens: Kan inte sälja på EU-marknaden

STARTAR Q1 2026:
- Tight men genomförbart för enklare produkter
- Viktig klass II: Riskabelt
- Konsekvens: Hög stressnivå, potentiella förseningar

STARTAR NU (2025/tidigt 2026):
- Komfortabel tidslinje för de flesta produkter
- Tid för gap-åtgärder
- Bättre möjlighet till kostnadsoptimering

Hur CRA Evidence hjälper

CRA Evidence accelererar din efterlevnadsresa:

• Tidslinjespårning: Dashboard för att hålla koll på alla milstolpar
• Produktklassificering: Interaktivt verktyg baserat på produktkarakteristika
• Gap-analys: Identifiera vad som saknas mot CRA-krav
• SBOM-hantering: Generera och hantera SBOM för alla produkter
• ENISA-rapportering: Direktanslutning till ENISA SRP
• Teknisk filgenerering: Mallar och guider för Bilaga VII

Starta din CRA-efterlevnad på app.craevidence.com.

Den här artikeln är endast avsedd för informationsändamål och utgör inte juridisk rådgivning. Deadlines kan ändras av EU-lagstiftningsprocesser. Verifiera mot officiella EU-publikationer.