Cyber Resilience Act ger tillverkare tre vägar till presumtion om överensstämmelse med kraven i Bilaga I. Två går genom standarder. Den tredje kan gå genom certifiering när kommissionen erkänner en användbar europeisk ordning för cybersäkerhetscertifiering. Den här sidan förklarar den vägen, var det europeiska Common Criteria-baserade cybersäkerhetscertifieringssystemet (EUCC) passar som det aktiva systemet, och vad som gäller och inte gäller i dag.
Sammanfattning
- Certifiering kan vara CRA:s tredje väg till presumtion om överensstämmelse. Den finns vid sidan av harmoniserade standarder och gemensamma specifikationer.
- Vägen går genom en europeisk ordning för cybersäkerhetscertifiering som antagits enligt cybersäkerhetsakten, förordning (EU) 2019/881. EUCC är det aktiva systemet.
- Ett certifikat räknas bara så långt det täcker kraven. Det ger presumtion om överensstämmelse för de krav i Bilaga I som certifikatet täcker, inte automatiskt för samtliga.
- Ett certifikat på assuransnivån "betydande" tar bort tredjepartsbedömningen för de täckta kraven, men bara när den delegerade akt som aktiverar vägen är i kraft.
- Det är viktigast för de kritiska produkterna i Bilaga IV, där kommissionen kan göra ett certifikat obligatoriskt.
- Vägen är inte aktiverad ännu. Per den 15 juni 2026 erkänner ingen akt användbara system eller gör ett certifikat obligatoriskt. EUCC ersätter ännu inte CRA:s väg till överensstämmelse och tar inte bort tredjepartsbedömning.
Vad ett EUCC-certifikat är och dess assuransnivåer
EUCC är det europeiska Common Criteria-baserade cybersäkerhetscertifieringssystemet. ENISA förberedde det, och kommissionen antog det som kommissionens genomförandeförordning (EU) 2024/482 av den 31 januari 2024. Det har tillämpats sedan den 27 februari 2025. Det är det första systemet som antagits enligt cybersäkerhetsakten. Det bygger på Common Criteria, den etablerade internationella standarden för att utvärdera säkerheten hos IT-produkter, publicerad som ISO/IEC 15408.
Systemet är redan i drift. Certifieringsorgan har utfärdat EUCC-certifikat sedan april 2025, och ENISA:s officiella certifikatregister listade 37 av dem per den 15 juni 2026. Inget av dem bär ännu CRA-presumtion om överensstämmelse: de visar att systemet fungerar, inte att ett certifikat redan uppfyller CRA.
Många av de certifikat som hittills utfärdats gäller säkra chip, smartkort och liknande hårdvara, vilket överlappar med CRA:s hårdvarutyngda kritiska kategorier. Inte alla: nätverks- och mjukvaruprodukter certifieras också, och de hamnar i CRA:s generella tillämpningsområde snarare än på den kritiska listan.
EUCC utfärdar certifikat på två assuransnivåer: "betydande" och "hög". De två skiljer sig åt i hur hårt produkten testas. EUCC mäter det på Common Criterias skala för sårbarhetsbedömning, skriven AVA_VAN, som löper från 1 till 5. Ju högre siffra, desto mer grundlig är den oberoende testningen av hur produkten motstår angrepp.
| EUCC-nivå | AVA_VAN | Testdjup | CRA-effekt |
|---|---|---|---|
| betydandeden lägre av de två | AVA_VAN 1 till 2av 5 | Oberoende sårbarhetstestning till standarddjup. | Skulle uppfylla undantagströskeln. |
| högden högre av de två | AVA_VAN 3 till 5av 5 | En djupare analys, testad mot angripare med betydande kompetens och resurser. | Skulle överstiga tröskeln. |
CRA kopplar sitt undantag från tredjepartsbedömning till assuransnivån "betydande" eller högre, så båda EUCC-nivåerna skulle kvalificera när det undantaget är i kraft.
Certifiering kan vara CRA:s tredje väg till presumtion om överensstämmelse
En presumtion om överensstämmelse är en erkänd genväg. Uppfyller du en av vägarna presumerar en myndighet att din produkt uppfyller de krav som den vägen täcker. Cyber Resilience Act ger tre möjliga vägar, och certifiering är den tredje när den erkänts för CRA-användning.
De tre vägarna och var och en av dem står i dag:
| Väg | Vad den bygger på | CRA-status i dag |
|---|---|---|
| Harmoniserade standarder | en standard vars hänvisning är publicerad i Europeiska unionens officiella tidning | ingen standard publicerad |
| Gemensamma specifikationer | kommissionens genomförandeakter | ingen antagen |
| Certifieringssystem | en EU-försäkran om överensstämmelse eller ett certifikat under ett erkänt system | inget system erkänt för CRA-användning |
De första två går genom standarder, och spåraren för harmoniserade standarder följer dem i detalj. Den tredje går genom certifiering. När den vägen är i drift kan en produkt med en EU-försäkran om överensstämmelse eller ett certifikat under en europeisk ordning för cybersäkerhetscertifiering presumeras överensstämma. Den presumtionen når bara de krav som försäkran eller certifikatet täcker, inte hela Bilaga I. Systemet måste vara ett sådant som antagits enligt cybersäkerhetsakten, förordning (EU) 2019/881.
Hur EUCC-certifiering erhålls
EUCC är inte en egenförsäkran. En tillverkare eller leverantör arbetar med ett certifieringsorgan, och utvärderingen utförs av ett ackrediterat laboratorium. Det är också en materiell investering: en fullständig utvärdering via ett certifieringsorgan kostar typiskt sett i sexsiffrig klass, vilket är en del av varför de flesta team sekvenserar det efter bevismaterialet för Bilaga I. För assuransnivån "hög" ställer EUCC ytterligare krav på auktorisation av certifieringsorganet och laboratoriet.
En del av det bevismaterial du bygger för CRA överlappar med vad en utvärdering kräver: en riskbedömning, rutiner för sårbarhetshantering och teknisk dokumentation. EUCC kräver mer utöver det, bland annat ett säkerhetsmål, det dokument som exakt anger vilken produkt, konfiguration och vilka säkerhetsfunktioner som utvärderas, samt den detaljerade design- och testdokumentation som Common Criteria kräver för den valda assuransnivån.
Ett EUCC-certifikat är ingen engångsgodkännande. Ett certifieringsorgan sätter dess giltighetstid till högst fem år. Under giltighetstiden har innehavaren löpande skyldigheter:
- Sårbarhetshantering: köra rutiner för sårbarhetshantering och upplysning.
- Konsekvensanalys: bedöma effekten av nya sårbarheter när de uppstår.
- Assurance-kontinuitet: hålla produktens assurance aktuell genom patchning och omvärdering.
Mycket av det överlappar med CRA:s skyldigheter för sårbarhetshantering.
Det förfarandet är skilt från CRA-vägen. Det kan ge användbart bevismaterial, men det ger ingen CRA-rättsverkan förrän kommissionen erkänner systemet.
Hur EUCC och CRA hänger ihop
CRA och EUCC är olika typer av instrument och förväxlas lätt. CRA är en bindande förordning: den lag en produkt måste uppfylla. EUCC är ett frivilligt certifieringssystem: ett sätt att visa att en produkt uppfyller en del av den.
| Cyber Resilience Act | EUCC | |
|---|---|---|
| Karaktär | bindande EU-förordning | frivilligt certifieringssystem |
| Rättslig grund | Förordning (EU) 2024/2847 | cybersäkerhetsakten (förordning (EU) 2019/881), systemet i förordning (EU) 2024/482 |
| Gäller för | alla produkter med digitala element på EU-marknaden | IKT-produkter utvärderade mot Common Criteria |
| Risknivåer | standard, viktig, kritisk | assuransnivåerna "betydande" och "hög" |
| Efterlevnad | obligatorisk, med sanktioner | frivillig, om inte CRA gör det obligatoriskt för en kritisk kategori |
De två systemen överlappar där det är avgörande. EUCC granskar en produkts säkerhetsfunktioner och hur tillverkaren hanterar sårbarheter. Mycket av det stämmer överens med CRA:s väsentliga cybersäkerhetskrav. ENISA har publicerat en EUCC-CRA-mappningsstudie för att undersöka hur EUCC-certifiering kan stödja CRA-överensstämmelse. Det arbetet är tekniskt grundarbete, inte automatisk rättsverkan.
Vad ett certifikat på assuransnivån "betydande" skulle innebära
Ytterligare en del av lagen skulle ge ett certifikat verklig tyngd under CRA, och den är inte i kraft ännu. När kommissionen agerar på den gör den två saker:
- Erkänner systemen: kommissionen specificerar, genom delegerad akt, vilka certifieringssystem som kan visa överensstämmelse. Tills den akten namnger ett system är inget formellt erkänt för CRA-överensstämmelse.
- Undantar tredjepartsbedömning: ett certifikat på assuransnivån "betydande" eller högre skulle ta bort tillverkarens skyldighet att genomföra en tredjepartsbedömning av överensstämmelse för de krav certifikatet täcker. Det undantaget motsvarar modul B+C- och modul H-vägarna som ett anmält organ annars skulle genomföra.
Guiden för bedömning av överensstämmelse förklarar dessa moduler.
Kritiska produkter: när certifiering kan göras obligatorisk
För de flesta produkter är certifiering frivillig. För de kritiska produktkategorierna kan det bli obligatoriskt.
Kommissionen kan kräva att dessa produkter innehar ett europeiskt cybersäkerhetscertifikat på assuransnivån "betydande" eller högre. Det måste ske genom delegerad akt, och bara när ett system som täcker den kategorin har antagits och är tillgängligt för tillverkarna. De kritiska kategorierna i Bilaga IV är:
- Hårdvaruenheter med säkerhetsboxar
- Smarta mätarportar och andra enheter för avancerade säkerhetsändamål, inbegripet för säker kryptobehandling
- Smartkort eller liknande enheter, inbegripet säkra element
EUCC är det aktiva systemet som är mest relevant för den hårdvarutyngda listan.
Tills kommissionen antar en sådan akt är dessa produkter inte skyldiga att certifiera. De följer de ordinarie förfarandena för bedömning av överensstämmelse i stället, samma tredjepartsvägar som andra reglerade produkter använder. Produktklassificeringsguiden visar var en produkt hamnar.
Nuläge: certifiering är ännu inte aktiverad för CRA
Status, per den 15 juni 2026: certifieringsvägen finns i CRA, men den är inte operativ ännu. Kommissionen har inte antagit den delegerade akt som skulle erkänna de system som kan visa CRA-överensstämmelse, och inte heller en akt som gör ett certifikat obligatoriskt för någon kritisk produktkategori. Ett EUCC-certifikat är därför värdefull förberedelse, inte en nutida CRA-genväg. Det tar inte bort någon tredjepartsbedömning ännu.
Det finns ingen deadline för att aktivera den här vägen. Förordningen ger kommissionen befogenheten att agera men kräver det inte vid något visst datum, och ingen akt är antagen. Cyber Resilience Acts egna skyldigheter gäller från den 11 december 2027 oavsett om vägen är aktiv, och om en framtida akt någon gång gör certifiering obligatorisk för en kritisk kategori måste den ge minst sex månaders övergångstid.
Kommissionen har antagit andra CRA-akter under mellantiden, vilket är skälet till att glappet är lätt att feltolka:
| Akt | Datum | Vad den gör | Rör certifiering? |
|---|---|---|---|
| Kommissionens delegerade förordning (EU) 2025/1535 | 29 juli 2025 | undantar vissa fordon enligt förordning (EU) nr 168/2013 från CRA:s tillämpningsområde | nej |
| Kommissionens genomförandeförordning (EU) 2025/2392 | 28 november 2025 | fastställer de tekniska beskrivningarna av de viktiga och kritiska produktkategorierna | nej |
| Kommissionens delegerade förordning (EU) 2026/881 | 11 december 2025, publicerad 20 april 2026 | fastställer villkor för att skjuta upp spridningen av vissa sårbarhet- och incidentanmälningar | nej |
ENISA har gjort grundarbetet. Dess rapport, Cyber Resilience Act Implementation via EUCC and Its Applicable Technical Elements, beskriver hur EUCC skulle kunna bära CRA:s krav. Den beskriver också den tekniska mappning som skulle behövas. Det är ett förslag och ett verktyg, inte en omkopplare. Den rättsliga verkan väntar fortfarande på den delegerade akt kommissionen inte har antagit.
Vår bedömning: börja med EUCC nu eller vänta?
Avsnitten ovan är den rättsliga ställningen. De två rutorna nedan är vår läsning som praktiker. De är en bedömning, inte juridisk rådgivning, och inte ett påstående om vad förordningen kräver.
Ett EUCC-certifikat är inte den snabbaste CRA-vägen i dag. Den delegerade akt som skulle ge det CRA-verkan är inte antagen. För de flesta tillverkare är det mer värdefullt att arbeta med det Bilaga I-bevismaterial som varje väg ändå kräver: en riskbedömning, en SBOM, sårbarhetshantering och teknisk dokumentation. Certifiering kan läggas på toppen av det senare. Tre fall ändrar kalkylen. Du tillhör en kritisk kategori som sannolikt kommer att träffas av ett framtida krav. Du har redan Common Criteria-certifikat eller håller på att skaffa dem. Eller dina köpare efterfrågar ett. I dessa fall är det rimligt att börja nu.
Undantaget som alla vill ha beror på en delegerad akt som kommissionen inte har antagit. Vi läser det som otillgängligt tills den akten antas, eftersom lagen kopplar undantaget till den. Om någon säger att ett EUCC-certifikat redan tar bort CRA-bedömning missar de det villkoret, och vi skulle inte planera en väg till överensstämmelse på den grunden. Av de tre vägarna anser vi att certifiering är det mest konkreta infrastrukturstycke som är under uppbyggnad, och EUCC-kopplingen är det att bevaka: vid 2026 års EU-konferens om cybersäkerhetscertifiering signalerade kommissionen att den siktar på att specificera hur EUCC stöder CRA-överensstämmelse före slutet av 2026. Behandla det som ett mål, inte ett åtagande: ingen akt är antagen, och datumet kan förskjutas.
Vanliga frågor
Ger ett EUCC-certifikat redan CRA-presumtion om överensstämmelse?
Inte för EUCC i dag. Certifieringsvägen finns i CRA, men kommissionen måste fortfarande specificera vilka system som räknas för CRA-överensstämmelse. Den akten är inte antagen. Ett EUCC-certifikat kan vara stark förberedelse, men det ersätter inte CRA:s väg till överensstämmelse i dag.
Vad är skillnaden mellan CRA och EUCC?
CRA är en bindande EU-förordning som gäller alla produkter med digitala element. EUCC är ett frivilligt certifieringssystem baserat på Common Criteria. Du måste uppfylla CRA, att skaffa ett EUCC-certifikat är ett val. De två kopplas samman eftersom ett certifikat kan fungera som en väg att visa CRA-överensstämmelse. Det gäller bara de krav det täcker, och bara när systemet är formellt erkänt. Det har inte skett ännu.
Är EUCC-certifiering obligatorisk enligt CRA?
Inte för tillfället. Certifiering är frivillig för de flesta produkter. För de kritiska kategorierna i Bilaga IV kan kommissionen göra ett certifikat obligatoriskt genom delegerad akt. Det kan bara ske när ett system som täcker den kategorin är antaget och tillgängligt. Ingen sådan akt finns ännu, så ingen produkt är skyldig att certifiera. Dessa produkter följer de ordinarie tredjepartsvägarnas förfaranden tills det ändras.
Vilken assuransnivå kräver CRA?
För det framtida undantaget, åtminstone "betydande". EUCC utfärdar certifikat på "betydande" och "hög", så ett certifikat på "hög" skulle också kvalificera. Undantaget i sig beror fortfarande på att den delegerade akten är i kraft, vilket den inte är.
Hur skiljer sig certifieringsvägen från harmoniserade standarder?
De är två vägar till samma presumtion. En harmoniserad standard fungerar när dess hänvisning är publicerad i Europeiska unionens officiella tidning. För en viktig klass I-produkt kan en publicerad standard låsa upp självbedömning. Ett certifikat fungerar när ett system är erkänt. På assuransnivån "betydande" skulle det undanta tredjepartsbedömning för de krav det täcker. I dag är ingen av dem fullt operativ för CRA: ingen harmoniserad standard är publicerad och inget certifieringssystem är erkänt.
Täcker ett EUCC-certifikat kraven på sårbarhetshantering i Bilaga I del II?
Det beror på certifikatets omfattning, och du kan inte anta att det gör det. Presumtionen når bara de krav som certifikatet faktiskt täcker. Bilaga I har två delar: produkters säkerhetsegenskaper och processkrav för sårbarhetshantering. Ett certifikat som är avgränsat till produktegenskaper kanske inte behandlar de löpande processskyldigheterna. Kontrollera de täckta kraven innan du förlitar dig på det.
Om jag skaffar ett EUCC-certifikat nu, kommer det att räknas för CRA när vägen aktiveras?
Inte automatiskt. Den akt som skulle erkänna system för CRA-överensstämmelse är inte antagen, och lagen förutser extra villkor för certifikat som utfärdats innan vägen aktiveras. Ett certifikat du har nu är stark förberedelse och bevismaterial för de krav det täcker, men om det ger CRA-presumtion senare, och för vilka krav, beror på den akten och på ditt certifikats omfattning. Behandla det som ett försprång, inte en garanterad genväg.
Har några EUCC-certifikat utfärdats, och var kan jag se dem?
Ja. Certifieringsorgan har utfärdat EUCC-certifikat sedan april 2025, och ENISA publicerar den officiella, filterbara listan. De visar att systemet fungerar, men de bär ännu inte CRA-presumtion om överensstämmelse: det väntar fortfarande på den delegerade akten.