Cybersecurity Act 2: vad CRA-tillverkare bör hålla koll på

Den 20 januari 2026 lade Europeiska kommissionen fram COM(2026) 11 final, som upphäver 2019 års cybersäkerhetsakt. Här är vad som finns i utkastet, med hänvisning till förslagstexten och konsekvensbedömningen, och vad det innebär för CRA-tillverkare.

CRA Evidence Team Publicerad 19 februari 2026 Uppdaterad 7 maj 2026
Förhandsbild för förklaringen om Cybersecurity Act 2: titel till vänster, illustrativt motiv till höger, indigo regulatorisk accent.
I denna artikel

Cybersecurity Act 2 (CSA2) är inte cyberresiliensförordningen. Det är ett separat kommissionsförslag, COM(2026) 11 final, som publicerades den 20 januari 2026 och upphäver Förordning (EU) 2019/881 samt inför tre operativa block: en reviderad europeisk ram för cybersäkerhetscertifiering (Avdelning III), en ny horisontell ram för leveranskedjan av IKT med befogenheter att utse länder (Avdelning IV) och ett förstärkt ENISA-mandat (Avdelning II). Tre månader efter publiceringen befinner sig ärendet i en tidig granskningsfas i Europaparlamentet och rådet, inte i trilog.

Varför en CRA-tillverkare ändå bör läsa detta. Certifiering enligt den reviderade ramen är den väg kommissionen föreslår för att visa överensstämmelse med CRA, NIS2 och andra unionsakter när ett relevant program finns på plats. Ramen för leveranskedjan korsar CRA Artikel 13-skyldigheterna om tredjepartskomponenter. Och Artikel 100 i CSA2 hindrar enheter från utpekade tredjeländer från att fungera som organ för bedömning av överensstämmelse, vilket direkt påverkar vilka anmälda organ du kan använda för CRA-bedömning av överensstämmelse.

Hela samspelet kring hur du kan använda det framtida cyber posture-programmet för att visa överensstämmelse med NIS2 kommer att vara en viktig diskussionspunkt med medlemsstaterna.

Maika Fohrenbach, DG CONNECT · ENISA Certification Conference, 15 April 2026 (fältanteckningar)

Sammanfattning

  • CSA2 är ett kommissionsförslag, inte lag. COM(2026) 11 final, 122 artiklar, 270 sidor, som upphäver Förordning (EU) 2019/881 (2019 års cybersäkerhetsakt). Befinner sig för närvarande i tidig granskning i Europaparlamentet och rådet.
  • Tre operativa block: reviderad europeisk ram för cybersäkerhetscertifiering (Avdelning III), ram för säkerhet i IKT-leveranskedjan (Avdelning IV), förstärkt ENISA-mandat (Avdelning II).
  • ECCF-omfattningen utvidgas till hanterade säkerhetstjänster och till enheters cyber posture, inte enbart IKT-produkter, tjänster och processer (Artikel 81; skäl 92).
  • ENISA ska leverera kandidatprogram inom 12 månader efter en begäran från kommissionen (Artikel 73).
  • Tre tillitsnivåer kvarstår: basic, substantial, high (skäl 101). EU-försäkran om överensstämmelse använder endast basic.
  • Ramen för leveranskedjan låter kommissionen utse tredjeländer som utgör "allvarliga och strukturella icke-tekniska risker" (Artikel 100). Enheter från utpekade länder hindras från att leverera centrala IKT-tillgångar, från offentlig upphandling av sådana tillgångar, från EU-finansiering och från certifierings- och bedömningsverksamhet.
  • Telekom-utfasning av komponenter från högrisksleverantörer i mobilnät begränsas till 36 månader från ikraftträdandet (Artikel 110). Utfasningar för fast och satellit fastställs senare genom kommissionens genomförandeakter.
  • Sanktioner enligt Artikel 115 gäller för överträdelser av Avdelning IV (leveranskedjan): 1 %, 2 % eller 7 % av den globala årsomsättningen, beroende på vilken bestämmelse som överträds. Det finns inget fast EUR-tak. Sanktioner enligt Avdelning III (certifiering) fastställs av medlemsstaterna utan EU-omfattande tak (Artikel 97).
  • Beräknade besparingar i regelefterlevnad för företag: 14,6 miljarder euro över fem år enligt det föredragna alternativet C.2 (Konsekvensbedömningen §4390).
  • Beräknad ersättningskostnad för telekom: 3,4 till 4,3 miljarder euro per år över tre år för utrustning från högrisksleverantörer som inte kan uppgraderas (Konsekvensbedömningen §4577, §4.4.1).
122
Artiklar
i COM(2026) 11 final
36 mån
Tak för telekom-utfasning
mobilnät, Artikel 110
14,6 mdr €
Besparingar i regelefterlevnad
över 5 år, alternativ C.2
3,4–4,3 mdr €
Telekom-ersättning
per år över 3 år

Källor: COM(2026) 11 final (artikel- och sidantal); medföljande Konsekvensbedömning SWD(2026) 11 final, avsnitt 4.3.3 och 4.4.1.

Var varje EU-program för cybersäkerhet befinner sig i april 2026: EUCC i drift, EUDI Wallet i offentligt samråd, EU MSS i utkast v4, cyber posture under CSA2 i förhandling.
Var cyber posture-programmet befinner sig i förhållande till resten av CSA-programlandskapet.

Vad CSA2 faktiskt föreslår

Kommissionen ramar in förslaget kring fyra mål. Tre är reformer av befintliga instrument, ett är nytt.

1 · Reviderad ECCF (Avdelning III)

Den europeiska ramen för cybersäkerhetscertifiering behåller de tre tillitsnivåerna (basic, substantial, high) men utvidgar omfattningen från IKT-produkter, tjänster och processer till att även omfatta hanterade säkerhetstjänster och enheters cyber posture. ENISA får ett leveransmål på 12 månader för kandidatprogram (Artikel 73) och en uttrycklig grund för att utforma tekniska specifikationer (Artikel 77).

2 · Ram för IKT-leveranskedjan (Avdelning IV)

En ny horisontell mekanism för att hantera icke-tekniska risker i leveranskedjan. Samordnade riskbedömningar (Artikel 99) matar in i ett förfarande för utpekande av tredjeländer (Artikel 100). Enheter från utpekade länder hindras från centrala IKT-tillgångar, offentlig upphandling, EU-finansiering och verksamhet som anmält organ. Mobiloperatörer får 36 månaders utfasning (Artikel 110).

3 · Förenkling av NIS2 · cyber posture

Det viktigaste användningsfallet för utvidgningen av ECCF-omfattningen. Cyber posture-programmet är tänkt att låta enheter visa överensstämmelse med riskhanteringsåtgärder för cybersäkerhet i flera unionsakter genom en enda certifiering. Som Fohrenbach (DG CONNECT) påpekade på ENISA-konferensen är kopplingen till NIS2 "föremål för förhandling" med medlemsstaterna.

4 · ENISA-mandat (Avdelning II)

ENISA får uttryckliga roller som programförvaltare, operatör av den gemensamma ingångspunkten för rapportering över regelverk, förvaltare av EU:s cybersäkerhetsreserv, vårdare av den europeiska sårbarhetsdatabasen och myndighet för europeiska individuella attesteringsprogram inom ramverket för cybersäkerhetskompetens.

Ramen för leveranskedjan, steg för steg

Detta är den mest politiskt laddade delen av förslaget. Mekanismen löper sekventiellt, där varje steg är förankrat i en specifik artikel. Artikelnumren nedan hänvisar till COM(2026) 11 final.

  1. Riskbedömning (Artikel 99). Kommissionen, eller minst tre medlemsstater, kan begära en samordnad riskbedömning av en IKT-leveranskedja. Bedömningen ska slutföras inom sex månader. Ett nödförfarande förutses där omedelbart ingripande är motiverat.
  2. Utpekande av land (Artikel 100). När ett tredjeland utgör "allvarliga och strukturella icke-tekniska risker" för IKT-leveranskedjor kan kommissionen peka ut det. Enheter som är etablerade i eller kontrolleras av ett sådant land hindras från att leverera IKT-komponenter för centrala IKT-tillgångar, från relaterad offentlig upphandling, från EU-finansieringsprogram och från att fungera som organ för bedömning av överensstämmelse.
  3. Begränsningsåtgärder (Artiklarna 101 till 103). Kommissionen får, genom genomförandeakt, kräva att enheter i sektorer av hög kritikalitet tillämpar specifika begränsningsåtgärder, inklusive förbud mot att använda komponenter från listade högrisksleverantörer.
  4. Identifiering av centrala IKT-tillgångar (Artiklarna 102 och 103). Kommissionen identifierar, genom genomförandeakt, vilka IKT-tillgångar som räknas som "centrala" per sektor. Bilaga II förhandsdefinierar redan centrala IKT-tillgångar för mobila, fasta och satellitbaserade elektroniska kommunikationsnät.
  5. Listor över högrisksleverantörer (Artikel 104). Kommissionen publicerar listor över högrisksleverantörer baserat på bedömningar av etablering, ägande och kontroll, efter samråd med berörda leverantörer och behöriga myndigheter. Artiklarna 105 till 107 fastställer ett undantagsförfarande och ett offentligt register över undantagsbeslut.
Telekom är den första sektor som drabbas

Bilaga II förhandsdefinierar de centrala IKT-tillgångarna för mobila, fasta och satellitbaserade elektroniska kommunikationsnät. Utfasningen av komponenter från högrisksleverantörer i mobila nät begränsas till 36 månader från ikraftträdandet (Artikel 110). Utfasningsperioder för fasta och satellitbaserade nät överlåts till kommissionens genomförandeakter. Konsekvensbedömningen uppskattar en engångskostnad för ersättning på 3,4 till 4,3 miljarder euro per år över tre år för utrustning som inte kan uppgraderas, härledd från EU:s 5G-investeringsnivåer sedan 2019 och en andel högriskstillgångar på 32 till 40 % (IA §4577, §4.4.1).

Sanktioner: procentuella tak, ingen fast EUR-siffra

Sanktionsstrukturen är ett område där tolkningar av CSA2 ofta blir fel. Artikel 115 anger maxnivåer för överträdelser av Avdelning IV (ramen för leveranskedjan). Taket är endast en procentandel av den globala årsomsättningen; det finns inget fast EUR-tak.

Bestämmelse som överträdsMaxsanktionKälla
Artikel 103.2 a · samarbete med kommissionen1 % av global årsomsättningArtikel 115.5
Artikel 103.2 b–g · skyldigheter om begränsningsåtgärder2 % av global årsomsättningArtikel 115.6
Artikel 103.1 · primära begränsningsskyldigheter; Artikel 111 · telekom-förbud7 % av global årsomsättningArtikel 115.7
Avdelning III · överträdelser av certifieringsramenFastställs av varje medlemsstat; "effektiva, proportionella och avskräckande"; inget EU-omfattande takArtikel 97

7 %-nivån är den som mest direkt påverkar telekomoperatörer, eftersom den omfattar Artikel 111 (det telekomspecifika förbudet mot att installera eller integrera IKT-komponenter från högrisksleverantörer).

Var detta korsar CRA

CSA2 ändrar inte CRA. Den ändrar tre saker runtomkring den.

Komponentdiligens enligt Artikel 13

CRA Artikel 13 kräver redan att tillverkare iakttar tillbörlig aktsamhet när det gäller tredjepartskomponenter. CSA2 höjer kostnaden för att göra fel. Om din produkt innehåller komponenter från en leverantör som senare pekas ut som högrisk, och din kund verkar i en sektor som omfattas av Bilaga I eller II i Direktiv (EU) 2022/2555 (NIS2), kan din kund genom genomförandeakt åläggas att byta ut dessa komponenter. Det kaskaderar in i din färdplan. För den praktiska tolkningen av CRA-komponentdiligens, se guiden för importörsverifiering.

Organ för bedömning av överensstämmelse får inte komma från utpekade länder

Artikel 100.2 hindrar enheter från utpekade tredjeländer från att utföra bedömning av överensstämmelse. Om du planerar att använda ett anmält organ vars ägande eller kontrollstruktur skulle kunna placera det på fel sida av ett framtida utpekandebeslut är valet av organ i sig nu en del av din risk i leveranskedjan. För val av modul medan CSA-förankrade program fortfarande är under utarbetande, se guiden för beslut om bedömning av överensstämmelse.

Gemensam ingångspunkt för incidentrapportering

Kommissionens förslag ger ENISA i uppdrag att underhålla och utvidga den befintliga gemensamma rapporteringsplattformen (plattformen som inrättats enligt CRA Artikel 16.1 i Förordning (EU) 2024/2847) till en gemensam ingångspunkt som konsoliderar incidentrapportering över NIS2, CRA, DORA och andra unionsakter. Detta är en utvidgning av ett befintligt CRA-verktyg, inte en ny CSA2-uppfinning. Tillverkare som redan utformar sitt CRA-rapporteringsflöde bör utforma det regleringsoberoende från start.

Cyber posture och CRA-överensstämmelse, ärligt talat

Cyber posture-programmet är den huvudsakliga mekanism kommissionen använder för att hävda att "en certifiering, många regelverk" är möjligt. Det är policyriktning, inte en avgjord bestämmelse. Två saker är ännu inte överenskomna: om medlemsstaterna accepterar kopplingen mellan certifiering och NIS2 i förhandling, och hur genomförandeförordningen för maximal harmonisering ska sitta ovanpå nationella NIS2-införlivanden. Samma fråga påverkar om ett framtida CRA-förankrat CSA-program skulle befria tillverkare från separata Bilaga VIII-modulbedömningar, eller bara ligga vid sidan av dem. Vi följer detta i fältanteckningarna från ENISA-konferensen.

Vad som är öppet, inte på tidslinjen

Kommer CSA2 att antas före CRA:s fulla tillämpning?

CRA:s fulla tillämpning är fastställd till 11 december 2027. CSA2 publicerades den 20 januari 2026 enligt det ordinarie lagstiftningsförfarandet (2026/0011 (COD)). Tre månader in befinner sig ärendet i utskotts- och rådsarbetsgruppsfas. Trilog är månader bort. Antagande före CRA:s fulla tillämpning är möjligt men inte säkerställt, och konsekvensbedömningen åtar sig inget datum.

Vanliga frågor

Är CSA2 detsamma som cyberresiliensförordningen?

Nej. CRA (Förordning (EU) 2024/2847) reglerar cybersäkerhetskrav för produkter med digitala element som släpps ut på EU-marknaden. CSA2 (COM(2026) 11 final) reviderar unionens ram för cybersäkerhetscertifiering, skapar en horisontell ram för IKT-leveranskedjan och förstärker ENISA:s mandat. De är separata instrument. CSA2 ändrar inte CRA-skyldigheter eller tidsfrister. Den ändrar däremot vilka certifieringsvägar och leverantörsregler en CRA-tillverkare kan eller måste använda. För CRA:s införandetidslinje, se vår CRA-införandetidslinje 2025–2027.

När träder CSA2 i kraft?

Förslaget publicerades den 20 januari 2026 enligt det ordinarie lagstiftningsförfarandet. Tre månader in befinner sig ärendet i tidig granskning i Europaparlamentet och rådet. Trilog är månader bort som tidigast, och antagandet beror på förhandlingsutfall. Kommissionen har inte åtagit sig något datum. Följ utvecklingen genom EUR-Lex förfarandespårare för 2026/0011 (COD) och genom vår sammanfattning av ENISA Certification Conference 2026.

Ändrar CSA2 mina CRA-skyldigheter eller tidsfrister?

Nej. CRA:s rapporteringsskyldigheter börjar i september 2026 och full tillämpning kvarstår 11 december 2027. CSA2 kommer, om den antas, att införa ytterligare certifieringsvägar som skulle kunna användas senare för att visa CRA-överensstämmelse. Den kommer också att införa regler för leveranskedjan som påverkar vilka anmälda organ och vilka leverantörer en tillverkare lagligt kan använda. Tills CSA2 antas, planera utifrån CRA som den ser ut. Se guiden för beslut om bedömning av överensstämmelse.

Kommer en enda europeisk cybersäkerhetscertifiering att täcka CRA, NIS2 och DORA samtidigt?

Detta är kommissionens uttalade policyriktning. Det är inte en avgjord bestämmelse. Fohrenbach (DG CONNECT) beskrev på ENISA-konferensen den 15 april 2026 kopplingen mellan cyber posture-certifiering och NIS2-överensstämmelse som "föremål för förhandling" med medlemsstaterna. För framtida CSA-program ska anpassningen till befintlig lagstiftning utformas in från begäransfasen; för EUCC görs arbetet i efterhand. Behandla det som policyriktning, inte som ett faktum du kan bygga en regelefterlevnadsplan kring i dag.

Vad är cyber posture-programmet?

Ett föreslaget CSA2-program som låter enheter (inte produkter) certifiera sina övergripande riskhanteringsåtgärder för cybersäkerhet (skäl 92 till 94 i COM(2026) 11 final). Det är det viktigaste användningsfallet för utvidgningen av ECCF-omfattningen till enheter. Kommissionen ramar in det som en väg för NIS2-omfattade enheter att visa överensstämmelse med riskhanteringsskyldigheter, med maximal harmonisering genom en genomförandeförordning ovanpå nationella NIS2-införlivanden. De mekanismer som skulle göra detta robust över 27 medlemsstater är öppna förhandlingsfrågor.

Min produkt använder komponenter från en leverantör utanför EU. Bör jag agera på ramen för leveranskedjan nu?

Ja, på två specifika sätt, ingetdera beroende av att CSA2 antas. För det första, kartlägg ursprungslandet för komponenterna i dina SBOM:er. CRA förväntar sig redan detta enligt Artikel 13; CSA2 höjer konsekvenserna om du inte kan göra det. För det andra, om du säljer in i telekom eller någon sektor som omfattas av NIS2 Bilaga I eller II, identifiera eventuell exponering mot leverantörer som rimligen skulle kunna stå inför utpekande, och starta en plan för alternativa källor. Utforma inte om din CRA-överensstämmelsestrategi kring CSA2 förrän den är antagen. Se SBOM-genereringsguiden och guiden för importörsverifiering.

Påverkar CSA2 EUCC, och hjälper EUCC med CRA?

CSA2 behåller EUCC och de andra antagna programmen i kraft. Separat har kommissionen uttalat sin avsikt att före utgången av 2026 specificera hur EUCC kan användas för att visa överensstämmelse med CRA. ENISA driver 18 piloter om presumtion om överensstämmelse mellan EUCC och CRA (Fohrenbach, DG CONNECT, ENISA-konferensen 15 april 2026). För det mest produktrelevanta CRA-närliggande programarbetet hittills, se vår analys av EUDI Wallet-programmet.

Vilka är sanktionerna enligt CSA2?

Artikel 115 fastställer sanktionsnivåer för överträdelser av Avdelning IV (leveranskedjan) som en procentandel av den globala årsomsättningen, utan fast EUR-tak: 1 % för samarbetsöverträdelser enligt Artikel 103.2 a, 2 % för övriga överträdelser av begränsningsåtgärder enligt Artikel 103.2, och 7 % för primära begränsningsöverträdelser enligt Artikel 103.1 och de telekomspecifika förbuden enligt Artikel 111. Överträdelser av Avdelning III (certifieringsramen) sanktioneras av medlemsstaterna utan EU-omfattande tak; Artikel 97 kräver endast att sanktionerna är "effektiva, proportionella och avskräckande".

Nästa steg

Vad du gör detta kvartal

  1. Läs kommissionens förslagssida för COM(2026) 11 final och den medföljande konsekvensbedömningen.
  2. Om du säljer in i telekom (mobila, fasta eller satellitbaserade nät), identifiera eventuell exponering mot komponenter från högrisksleverantörer enligt Bilaga II, och starta en 36-månaders ersättningsplan nu, villkorad av antagande.
  3. Kartlägg komponenternas ursprungsland i dina SBOM:er. CRA förväntar sig redan detta enligt Artikel 13; CSA2 höjer kostnaden för att göra fel. SBOM-genereringsguiden.
  4. Utforma inte om din CRA-överensstämmelsestrategi kring ett framtida cyber posture- eller EUCC-till-CRA-program ännu. Håll dig på Bilaga VIII-modulvägen. Guide för beslut om bedömning av överensstämmelse.
  5. Följ trilogen och milstolpen EUCC-till-CRA i slutet av 2026 via vår sammanfattning av ENISA Certification Conference 2026.

Den här artikeln är endast informativ och utgör inte juridisk rådgivning. För specifik vägledning om regelefterlevnad, rådgör med kvalificerad juridisk rådgivare. Primärkällor: COM(2026) 11 final och dess bilagor, medföljande Konsekvensbedömning SWD(2026) 11 final, tillgängliga på Europeiska kommissionens Digital Strategy-bibliotek.

CRA Efterlevnad Leveranskedja Certification
Share

Relaterade artiklar

Tillbaka till alla artiklar

Gäller CRA för din produkt?

Svara på 6 enkla frågor för att ta reda på om din produkt omfattas av EU:s Cyber Resilience Act. Få ditt resultat på under 2 minuter.

Kontrollera nu

Redo att uppnå CRA-efterlevnad?

Börja hantera dina SBOM:ar och efterlevnadsdokumentation med CRA Evidence.

Starta 14-dagars gratis provperiod

Djupdykning i CRA-ämnen

Evergreen guides covering the specific requirements, processes, and roles defined by the Cyber Resilience Act.

EU-försäkran om överensstämmelse

Vad EU-försäkran om överensstämmelse måste innehålla, vem som undertecknar den och när den krävs.

Läs guiden →
Bedömning av överensstämmelse

Hur överensstämmelsebedömning fungerar under CRA och när ett anmält organ krävs.

Läs guiden →
Teknisk dokumentation

Vad CRA:s tekniska dokumentation måste innehålla (Bilaga VII avsnitt för avsnitt) och hur tillverkare bör strukturera den.

Läs guiden →
Produktklassificering

Hur CRA klassificerar produkter efter risknivå och vad varje kategori innebär för skyldigheter.

Läs guiden →
SBOM-krav

Vad CRA kräver för SBOM:er och hur BSI TR-03183 definierar kvalitetskriterier.

Läs guiden →
Rapportering av sårbarheter

Hur kravet på 24-timmarsanmälan till ENISA fungerar och vad som räknas som en aktivt utnyttjad sårbarhet.

Läs guiden →
Importörens skyldigheter

Vad artikel 19 kräver av importörer och hur tillverkarens efterlevnad verifieras.

Läs guiden →
Planering av supportperiod

Vad CRA:s skyldighet om supportperiod innebär för säkerhetsuppdateringar och end-of-life-planering.

Läs guiden →
View full CRA compliance guide