Harmoniserade standarder är de tekniska specifikationer som omvandlar Cyber Resilience Act:s breda krav i Bilaga I till konkreta, testbara bestämmelser. Den här sidan förklarar vad de är och spårar varje utkast under Europeiska kommissionens standardiseringsbegäran M/606: produktkategorin, det organ som tar fram det, dess aktuella status och en länk till varje offentligt utkast.
Sammanfattning
- Ingen CRA-harmoniserad standard är ännu publicerad i Europeiska unionens officiella tidning (per den 4 juni 2026), så presumtionen om överensstämmelse enligt Artikel 27 är inte tillgänglig för någon produktkategori.
- ETSI:s produktutkast och de första CEN-standarderna har kommit längst. Utkasten till EN 304 6xx går att läsa offentligt nu, och flera CEN-standarder (den horisontella terminologidelen EN 40000, principdelen och sårbarhetshanteringsdelen, plus standarderna för säkra element EN 50764/50765/50766 och prEN 18330) har avslutat sin offentliga remiss och är under godkännande.
- Resten ligger tidigare: OT-profilerna i EN 50770, delen med generiska säkerhetskrav i EN 40000, EN 50767 och det onumrerade arbetet med identitet och kritisk hårdvara i CEN/TC 224 är fortfarande i fasen före remiss.
- Du behöver inte vänta. Läs det utkast som matchar din produkt för att förutse kraven och bygg det bevis enligt Bilaga I som CRA kräver oavsett vilken standard som gäller.
Vad en harmoniserad standard är
Cyber Resilience Act anger sina väsentliga säkerhetskrav i breda juridiska termer. En harmoniserad standard är en teknisk specifikation, framtagen av en europeisk standardiseringsorganisation på Europeiska kommissionens begäran, som omvandlar de kraven till konkreta, testbara bestämmelser. Vissa standarder är specifika för en produkttyp (till exempel routrar eller antivirusprogram), andra är horisontella och gäller över kategorier.
En harmoniserad standard får rättslig verkan först när kommissionen publicerar dess hänvisning i Europeiska unionens officiella tidning (EUT). Från den tidpunkten presumeras en produkt som överensstämmer med standarden uppfylla de krav som standarden täcker. I praktiken gör det två saker:
- det ger tillverkare ett erkänt, granskningsbart sätt att visa överensstämmelse, och
- för viktiga produkter i klass I låter en tillämpad publicerad harmoniserad standard tillverkaren självbedöma genom intern kontroll i stället för att anlita ett anmält organ. Den tar inte bort den tredjepartsbedömning som klass II- och kritiska produkter behöver, och vanliga produkter utanför dessa nivåer kan redan självbedöma på egen hand.
Status, per den 4 juni 2026: ingen CRA-harmoniserad standard har ännu godkänts eller fått sin hänvisning publicerad i Europeiska unionens officiella tidning. Varje standard i tabellerna nedan är fortfarande ett utkast, så presumtionen om överensstämmelse är inte tillgänglig för någon produktkategori. Godkännande (ratificering som en EN) och den separata hänvisningen i Europeiska unionens officiella tidning är två senare milstolpar, och inget har nått någon av dem. De första standarderna väntas levereras under andra halvåret 2026, med hänvisning att följa. Använd utkasten för att förutse kraven, inte som en färdig grund för överensstämmelse.
Hur standarderna tas fram
Kommissionen bad de två europeiska standardiseringsorganisationerna att ta fram dessa standarder genom standardiseringsbegäran M/606:
- ETSI (tekniska kommittén CYBER, CYBER-EUSR) tar fram standarderna för de flesta kategorier av viktig programvara och anslutna produkter. Dessa bär referenserna EN 304 6xx och har kommit längst. Deras utkast är offentliga i ETSI:s öppna remissmapp CYBER-EUSR, med projekthistorik i ETSI Labs STAN4CRA-arkiven, och länkas individuellt nedan.
- CEN och CENELEC tar fram de horisontella standarderna (EN 40000-serien), profilerna för operativ teknik (EN 50770-serien), halvledarstandarderna (EN 5076x) och arbetet med identitet och säkra element i CEN/TC 224. Dessa har ingen enskild offentlig mapp. Status följs via DIN/DKE:s matris över CRA-standardiseringsprojekt, CEN/CENELEC:s standardsökning och STAN4CRA:s tekniska arbete.
Ett utkast rör sig genom arbetsgruppsversioner och en offentlig CEN-remiss (för ETSI en öppen remiss och en godkännandeomröstning), därefter ratificering som en EN. CEN-CENELEC kan hoppa över en separat formell omröstning och publicera direkt efter en positiv remiss. Ratificering är ändå inte mållinjen: kommissionen måste sedan hänvisa till referensen i Europeiska unionens officiella tidning, och bara den hänvisningen utlöser presumtionen om överensstämmelse. Per juni 2026 har flera CEN-utkast avslutat sin offentliga remiss (terminologidelen, principdelen och sårbarhetshanteringsdelen i EN 40000, samt standarderna för säkra element) och ETSI:s EN 304 627 är i slutligt utkast. Inget är ratificerat eller hänvisat. De första standarderna väntas levereras under andra halvåret 2026, med hänvisning i Europeiska unionens officiella tidning att följa enligt en tidsplan som kommissionen ännu inte har bekräftat.
Hur du läser statusen
| Status | Innebörd |
|---|---|
| Under utveckling | Arbetsobjektet är aktivt, inget offentligt utkast har bekräftats i våra källor. |
| Moget utkast | Ett offentligt moget utkast finns (länkat i tabellen). |
| Slutligt utkast | Ett slutligt utkast finns, nära den formella omröstningen. |
| Remiss avslutad | Utkastet har gått igenom sin offentliga CEN-remiss (en kommenterings- och omröstningsrunda) och färdigställs för godkännande. Texten är inte fri: en utkastkopia kan vanligen köpas från ett nationellt standardiseringsorgan som DIN, men det finns ingen fri offentlig PDF, vilket är skälet till att dessa rader visar "n/a" för utkastet. |
| Godkänd (EN ratificerad) | Antagen som en EN av CEN-CENELEC eller ETSI, men ännu inte hänvisad i Europeiska unionens officiella tidning, så ingen presumtion om överensstämmelse ännu. |
| Publicerad i EUT | Hänvisning i Europeiska unionens officiella tidning, presumtionen om överensstämmelse gäller. |
Tabellerna nedan är grupperade efter CRA-överensstämmelsenivå. Horisontella standarder gäller varje produkt. De produktspecifika standarderna delas upp i Viktiga klass I, Viktiga klass II och Kritiska, eftersom nivån avgör överensstämmelsevägen. Standardreferensen visar vem som tar fram den: EN 304 6xx = ETSI; EN 40000 = CEN-CLC/JTC 13; EN 50770 = CLC/TC 65X OT-profiler som löper parallellt med ETSI-standarderna för samma funktioner; EN 5076x = CLC/TC 47X; EN 18330 = CEN/TC 224.
Ingen standard har nått "Godkänd (EN ratificerad)" eller "Publicerad i EUT". Statusen speglar det senaste offentliga underlaget per det datum som anges högst upp på den här sidan.
Horisontella standarder
EN 40000-serien, framtagen av CEN-CLC/JTC 13, gäller varje produkt med digitala element, utöver eventuell produktspecifik standard i avsnitten nedan.
| M/606 | Standard | Ämne | Status |
|---|---|---|---|
| n/a | EN 40000-1-1 | Vokabulär och terminologi | Remiss avslutad |
| 1 | EN 40000-1-2 | Principer för cyberresiliens | Remiss avslutad |
| 2-14 | EN 40000-1-4 | Generiska säkerhetskrav | Under utveckling |
| 15 | EN 40000-1-3 | Sårbarhetshantering | Remiss avslutad |
Viktiga produkter: klass I
Dessa täcker kategorierna i Bilaga III klass I. En tillämpad publicerad harmoniserad standard låter en tillverkare i klass I självbedöma genom intern kontroll. Utan en sådan måste överensstämmelse visas på annat sätt.
| M/606 | Standard | Produktkategori | Status | Senaste offentliga utkast |
|---|---|---|---|---|
| 16 | Referens ännu inte tilldelad | Identitetshantering, hantering av privilegierad åtkomst, autentiseringsläsare | Under utveckling | n/a |
| 17a/b | EN 304 617 | Inbäddade och fristående webbläsare | Moget utkast | V0.1.1 · Apr 2026 |
| 18 | EN 304 618 | Lösenordshanterare | Under utveckling | Ännu inte offentligt |
| 19 | EN 304 619 | Antivirus / antimalware | Moget utkast | V0.0.26 · Apr 2026 |
| 20a | EN 304 620 | Virtuella privata nätverk (VPN) | Moget utkast | V0.1.9 · Apr 2026 |
| 20b | prEN 50770-4 | OT-VPN | Under utveckling | n/a |
| 21a | EN 304 621 | Nätverkshanteringssystem | Moget utkast | V0.1.3 · Apr 2026 |
| 21b | prEN 50770-2 | OT-nätverkshanteringssystem | Under utveckling | n/a |
| 22a | EN 304 622 | SIEM | Under utveckling | Ännu inte offentligt |
| 22b | prEN 50770-6 | OT-SIEM | Under utveckling | n/a |
| 23 | EN 304 623 | Starthanterare | Moget utkast | V0.1.1 · May 2026 |
| 24 | EN 304 624 | PKI / programvara för certifikatutfärdande | Under utveckling | Ännu inte offentligt |
| 25a | EN 304 625 | Fysiska och virtuella nätverksgränssnitt | Moget utkast | V0.0.14 · Apr 2026 |
| 25b | prEN 50770-3 | OT fysiska och virtuella nätverksgränssnitt | Under utveckling | n/a |
| 26 | EN 304 626 | Operativsystem | Moget utkast | V0.2.0 · Apr 2026 |
| 27a | EN 304 627 | Routrar, modem, switchar | Slutligt utkast | V1.0.0 · Jun 2026 |
| 27b | prEN 50770-5 | OT routrar, modem, switchar | Under utveckling | n/a |
| 28-29 | EN 50765 | Mikroprocessorer och mikrokontroller med säkerhetsfunktioner | Remiss avslutad | n/a |
| 30 | EN 50767 | ASIC och FPGA med säkerhetsfunktioner | Under utveckling | n/a |
| 31 | EN 304 631 | Virtuella assistenter för smarta hem | Moget utkast | V0.2.1.4 · Apr 2026 |
| 32 | EN 304 632 | Smarta hem-produkter med säkerhetsfunktioner (t.ex. övervakningskameror) | Moget utkast | V0.2.1.4 · Apr 2026 |
| 33 | EN 304 633 | Internetanslutna leksaker | Moget utkast | V0.2.3.3 · Apr 2026 |
| 34 | EN 304 634 | Personliga bärbara enheter | Moget utkast | V0.2.6 · Apr 2026 |
Viktiga produkter: klass II
Klass II-produkter behöver alltid tredjepartsbedömning (anmält organ). En harmoniserad standard låser inte upp självbedömning för dem.
| M/606 | Standard | Produktkategori | Status | Senaste offentliga utkast |
|---|---|---|---|---|
| 35 | EN 304 635 | Hypervisorer och container-körtidssystem | Moget utkast | V0.0.15 · Apr 2026 |
| 36a | EN 304 636 | Brandväggar / IDS / IPS | Moget utkast | V0.1.0 · Apr 2026 |
| 36b | prEN 50770-1 | OT-brandväggar / IDS / IPS | Under utveckling | n/a |
| 37-38 | EN 50766 | Manipuleringssäkra mikroprocessorer och mikrokontroller | Remiss avslutad | n/a |
Kritiska produkter
Kritiska produkter (Bilaga IV) måste använda ett europeiskt cybersäkerhetscertifieringssystem där ett sådant är obligatoriskt, annars samma tredjepartsvägar som klass II. En harmoniserad standard tar inte bort det kravet.
| M/606 | Standard | Produktkategori | Status |
|---|---|---|---|
| 39 | Referens ännu inte tilldelad | Hårdvaruenheter med säkerhetsboxar | Under utveckling |
| 40 | Referens ännu inte tilldelad | Gateways för smarta mätare (CEN-CLC/JTC 13 WG 6) | Under utveckling |
| 41a | EN 50764 | Plattformar för smartkort och säkra element | Remiss avslutad |
| 41b | EN 18330 / prEN 18330 | Smartkort och säkra element, applikationslager | Remiss avslutad |
Vanliga frågor
Gäller någon CRA-harmoniserad standard ännu?
Nej. Per den 4 juni 2026 har ingen CRA-harmoniserad standard godkänts (ratificerats som en EN) eller fått sin hänvisning publicerad i Europeiska unionens officiella tidning, så presumtionen om överensstämmelse enligt Artikel 27 är inte tillgänglig för någon produktkategori. Varje standard som listas här är fortfarande ett utkast. De horisontella EN 40000-utkasten (offentlig remiss avslutad) och ETSI:s EN 304 6xx-utkast har kommit längst, men godkännande och den separata hänvisningen i Europeiska unionens officiella tidning är senare steg. De första standarderna väntas levereras under andra halvåret 2026, med hänvisning att följa ett datum som kommissionen ännu inte har bekräftat.
Måste jag vänta på en harmoniserad standard för att följa CRA?
Nej. En harmoniserad standard är en väg att visa överensstämmelse, inte den enda. CRA-skyldigheterna gäller enligt förordningens egen tidslinje oavsett om en standard finns eller inte. Du kan uppfylla de väsentliga kraven i Bilaga I direkt och redovisa hur i din tekniska dokumentation. En publicerad standard ger helt enkelt ett erkänt, granskningsbart sätt att visa överensstämmelse med de krav den täcker, och för viktiga klass I-produkter öppnar den självbedömningsvägen med intern kontroll.
Vad ger "presumtion om överensstämmelse" mig egentligen?
Enligt Artikel 27 presumeras en produkt som överensstämmer med en harmoniserad standard vars hänvisning är publicerad i Europeiska unionens officiella tidning uppfylla de krav i Bilaga I som standarden täcker. I praktiken ger det dig en försvarbar, erkänd grund för ditt påstående om överensstämmelse, och för viktiga klass I-produkter låter det dig självbedöma genom intern kontroll i stället för att anlita ett anmält organ. Det ändrar inte den tredjepartsbedömning som klass II- och kritiska produkter kräver enligt Artikel 32.
Var kan jag läsa utkasten till standarderna?
Det beror på vem som tar fram den. ETSI:s EN 304 6xx-utkast publiceras kostnadsfritt i ETSI:s öppna remissmapp CYBER-EUSR, länkade per standard i tabellerna ovan. CEN/CENELEC-utkasten (EN 40000, EN 50770, EN 5076x och arbetet i CEN/TC 224) är annorlunda: det finns ingen fri offentlig mapp. Du kan se att ett utkast finns och köpa en kopia från ett nationellt standardiseringsorgan (DIN, NEN, AFNOR, BSI och så vidare), men texten publiceras inte kostnadsfritt, och när ett utkasts offentliga remiss avslutas upphör även den fria kommentaråtkomsten. Det är skälet till att dessa rader visar "n/a" för det senaste offentliga utkastet.
Kan jag förlita mig på ett moget eller slutligt utkast innan det publiceras?
Använd det för att förutse kraven, inte som en färdig rättslig grund. Ett moget eller slutligt utkast ligger vanligen nära den slutliga lydelsen, men det kan fortfarande ändras vid den formella omröstningen eller i kommissionens bedömning, och presumtionen om överensstämmelse gäller inte förrän hänvisningen syns i Europeiska unionens officiella tidning. Att läsa det nu är ändå det snabbaste sättet att förbereda dig.
Vad är skillnaden mellan EN 304 6xx- och EN 40000-standarderna?
EN 304 6xx-standarderna, framtagna av ETSI, är produktspecifika: var och en riktar in sig på en kategori som webbläsare, operativsystem eller routrar. EN 40000-serien, framtagen av CEN-CLC/JTC 13, är horisontell: den anger principer, generiska säkerhetskrav och regler för sårbarhetshantering som gäller över kategorier. En enskild produkt kan behöva läsa både en horisontell standard och den för sin kategori.
Täcker någon av dessa standarder kritiska produkter, inte bara viktiga?
Ja. De flesta av de spårade standarderna täcker viktiga produkter, men några täcker kritiska: plattformsstandarden för säkra element (EN 50764), plus arbetet med hårdvaruenheter med säkerhetsboxar, gateways för smarta mätare och smartkort. Kritiska produkter måste använda ett europeiskt cybersäkerhetscertifieringssystem där ett sådant är obligatoriskt, annars samma tredjepartsvägar som klass II-produkter. Avsnittet om kritiska produkter flaggar dem separat. En harmoniserad standard låter inte en kritisk produkt hoppa över den bedömningen så som den kan för en viktig klass I-produkt.
När publiceras standarderna i Europeiska unionens officiella tidning?
Det finns inget bekräftat publiceringsdatum för någon CRA-harmoniserad standard. ETSI:s EN 304 6xx-utkast ligger närmast, flera i moget eller slutligt utkast, men var och en måste fortfarande klara sin formella omröstning och kommissionens bedömning innan en hänvisning kan ges. Behandla statuskolumnen här som det aktuella läget och kontrollera standardiseringsorganens spårare som länkas ovan för rörelse.