Om ditt namn eller varumärke finns på en produkt med digitala element som släpps ut på EU-marknaden behandlar cyberresiliensförordningen dig normalt som tillverkare. Den här sidan förklarar de viktigaste CRA-tillverkarplikterna: säker utformning, teknisk dokumentation, bedömning av överensstämmelse, CE-märkning, skyldigheter under supportperioden, sårbarhetshantering och obligatorisk rapportering.
Sammanfattning
- Är du tillverkaren? Du är normalt tillverkare när du utvecklar, tillverkar eller beställer produkten och släpper ut den på marknaden under ditt eget namn eller varumärke. Varumärket är det avgörande testet; leverantörsavtalet flyttar inte CRA-rollen i sig.
- Vad måste vara klart före marknadsplacering? Cybersäkerhetsriskbedömning, mappning av väsentliga cybersäkerhetskrav, teknisk dokumentation, bedömning av överensstämmelse, EU-försäkran om överensstämmelse, CE-märkning, tillverkar- och kontaktuppgifter samt användarinstruktioner.
- Vad fortsätter efter marknadsplacering? Sårbarhetshantering, säkerhetsuppdateringar, redovisning av supportperioden, korrigerande åtgärder, samarbete med marknadskontrollmyndigheter och bevarande av dokumentation. Säkerhetsuppdateringar förblir tillgängliga i minst 10 år efter utgivning eller under återstoden av supportperioden, beroende på vilket som är längst.
- Vad måste rapporteras? Aktivt utnyttjade sårbarheter och allvarliga incidenter, routade via ENISA:s gemensamma rapporteringsplattform i kadensen 24h / 72h / slutrapport. De två strömmarna har olika frister för slutrapport, vilket beskrivs i rapporteringsavsnittet nedan.
- När gäller det? Rapportering av sårbarheter och incidenter börjar 11 sep. 2026; resten av tillverkarregimen följer därefter. Se genomförandetidslinjen nedan för hela milstolpekedjan.
- Sanktionsexponering: överträdelser i högsta nivån kan nå 15 000 000 EUR eller 2,5 % av total global årsomsättning, beroende på vilket belopp som är högst. Mikroföretag och småföretag får en smal lättnad som enbart avser fristerna för 24h tidig varning. Se sanktioner och tillsyn för bötesstegen artikel för artikel.
Fyra siffror som ramar in tillverkarens exponering: 21 väsentliga krav fördelade mellan produkt och process, två rapporteringsfrister per ström, högsta bötesnivå.
Vem är tillverkare enligt CRA?
I praktiken är CRA-tillverkaren varumärkesägaren eller produktaktören som ansvarar för att släppa produkten på marknaden under sitt namn eller varumärke. Definitionen omfattar aktörer som utvecklar, tillverkar eller låter utforma, utveckla eller tillverka en produkt, och sedan marknadsför den under sitt eget namn eller varumärke, mot betalning, monetarisering eller kostnadsfritt.
Outsourcing flyttar inte rollen: om en OEM eller kontraktstillverkare bygger produkten men ditt namn finns på den är du fortfarande tillverkare. Om produkten inte ligger under ditt namn eller varumärke kan du i stället vara importör, distributör, auktoriserad representant eller väsentlig modifierare. För hela rollbeslutsträdet, se vem som måste följa CRA.
Centrala tillverkarplikter
Tillverkarens skyldigheter faller i fyra kluster: säker design och riskbedömda produktegenskaper; sårbarhetshanteringsprocesser som drivs under hela supportperioden; artefakter före marknadsplacering som måste finnas innan produkten släpps ut (teknisk dokumentation, bedömning av överensstämmelse, EU-försäkran om överensstämmelse, CE-märkning); samt skyldigheter efter marknadsplacering (korrigerande åtgärder, samarbete med marknadskontroll, redovisning av supportperioden, meddelande om upphörande). Tabellen nedan kopplar varje plikt till den specifika punkt i Artikel 13 som förankrar den.
| Skyldighet | Kärnpunkt | Källa |
|---|---|---|
| Utforma och tillverka mot väsentliga krav | Väsentliga krav är obligatoriska, modulerade av cybersäkerhetsriskbedömningen. | Artikel 13.1 |
| Cybersäkerhetsriskbedömning | Dokumenterad, uppdaterad under hela supportperioden, ingår i den tekniska dokumentationen. | Artikel 13.2 |
| Tillbörlig aktsamhet avseende komponenter | Inkluderar fria och öppen källkods-komponenter. Iaktta tillbörlig aktsamhet vid integrering av komponenter; när tillverkaren får kännedom om en sårbarhet i en komponent ska den dokumenteras, rapporteras uppströms till komponentunderhållaren och åtgärdas i den egna produkten. | Artikel 13.5; Artikel 13.6 |
| Supportperiod | Minst 5 år, eller den förväntade användningstiden om kortare. Dokumenteras i den tekniska dokumentationen. Inkluderar skyldigheter avseende sårbarhetshantering och CVD-policy. | Artikel 13.8 |
| Tillgång till säkerhetsuppdateringar | Varje säkerhetsuppdatering förblir tillgänglig i minst 10 år efter utgivning, eller under återstoden av supportperioden, beroende på vilket som är längst. | Artikel 13.9 |
| Väsentligt modifierade programvaruversioner | Regeln om sårbarhetsåtgärdande får tillämpas endast på den senaste versionen där användarna har fri tillgång till den. Offentliga arkiv över versioner som inte stöds tillåts med riskvarningar. | Artikel 13.10, Artikel 13.11 |
| Teknisk dokumentation före marknadsplacering + bedömning av överensstämmelse + CE, serietillverkningskontroll | Upprätta den tekniska dokumentationen. Genomför bedömningen av överensstämmelse eller låt den genomföras. Upprätta EU-försäkran om överensstämmelse och anbringa CE. Upprätthåll förfaranden så att serietillverkning förblir överensstämmande. | Artikel 13.12 |
| Bevarande | Teknisk dokumentation och EU-försäkran om överensstämmelse till marknadskontrollmyndigheternas förfogande i minst 10 år eller under supportperioden, beroende på vilket som är längst. | Artikel 13.13 |
| Produktidentifiering + tillverkaridentifiering | Typ-, parti- eller serienummer. Tillverkarens namn, firmanamn eller varumärke, postadress, digital kontakt, även återgivna i informationen som medföljer produkten. | Artikel 13.15, Artikel 13.16 |
| Gemensam kontaktpunkt | Låter användarna välja sitt föredragna kommunikationsmedel. Får inte begränsas till automatiserade verktyg. | Artikel 13.17 |
| Medföljande användarinformation | Information och instruktioner på ett språk som lätt förstås av användare och marknadskontroll, tillgängliga online under samma bevarandetid. | Artikel 13.18 |
| Slutdatum för supportperiod | Anges vid köptillfället, inklusive åtminstone månad och år. Visa slutmeddelande för supportperioden för användarna där det är tekniskt genomförbart. | Artikel 13.19 |
| Leverans av EU-försäkran om överensstämmelse | Antingen fullständig EU-försäkran eller förenklad EU-försäkran med den exakta internetadress där den fullständiga försäkran kan nås. | Artikel 13.20 |
| Korrigerande åtgärder efter marknadsplacering + samarbete | Dra tillbaka, återkalla eller åter bringa i överensstämmelse vid kännedom om bristande överensstämmelse. Lämna all information till marknadskontroll på motiverad begäran. | Artikel 13.21, Artikel 13.22 |
| Verksamhetens upphörande | Informera marknadskontrollen och, med alla tillgängliga medel, användarna innan upphörandet får verkan. | Artikel 13.23 |
| SBOM-format + bedömningar av beroenden | Kommissionen får specificera SBOM-format genom genomförandeakter. ADCO får genomföra unionsomfattande bedömningar av beroenden. | Artikel 13.24, Artikel 13.25 |
Väsentliga cybersäkerhetskrav
Tillverkare måste uppfylla två uppsättningar väsentliga cybersäkerhetskrav: produktsäkerhetskrav och krav på sårbarhetshantering. Den första uppsättningen styr hur produkten utformas, utvecklas och produceras. Den andra styr de processer som tillverkaren måste driva under supportperioden.
Cybersäkerhetsriskbedömning
Tillverkare genomför en cybersäkerhetsriskbedömning för att avgöra vilka väsentliga cybersäkerhetskrav som binder den specifika produkten. Bedömningen dokumenteras en gång och hålls aktuell under hela supportperioden. Den lever inne i den tekniska dokumentationen, och där ett krav inte är tillämpligt bär bedömningen den skriftliga motiveringen.
Produktsäkerhetskrav
Före marknadsplacering ska produkten utformas, utvecklas och produceras så att den ger en lämplig cybersäkerhetsnivå baserad på risk. Tillverkarens cybersäkerhetsriskbedömning avgör vilka kontroller i listan nedan som gäller, och där en kontroll inte är tillämplig måste den tekniska dokumentationen innehålla en tydlig motivering.
- (a) Tillhandahålls utan kända exploaterbara sårbarheter
- (b) Säker konfiguration som standard; återställning till ursprungligt tillstånd tillgänglig (skräddarsydda produkter till företagsanvändare kan komma överens om annat)
- (c) Sårbarheter åtgärdas via säkerhetsuppdateringar; automatiska uppdateringar installeras inom en lämplig tidsram som standard, med möjlighet att avstå och skjuta upp, där det är tillämpligt
- (d) Skydd mot obehörig åtkomst (autentisering, identitets- eller åtkomsthantering, rapportering om eventuell obehörig åtkomst)
- (e) Konfidentialitet för lagrade, överförda och behandlade data, inklusive kryptering i vila eller under överföring med toppmoderna mekanismer
- (f) Integritetsskydd för data, kommandon, program, konfiguration; rapportering om korruption
- (g) Dataminimering: behandla endast data som är adekvata, relevanta och begränsade till det avsedda ändamålet
- (h) Tillgänglighet för väsentliga och grundläggande funktioner, även efter en incident; motståndskraft mot överbelastningsangrepp
- (i) Minimera negativ inverkan på tillgänglighet av tjänster som tillhandahålls av andra enheter eller nätverk
- (j) Begränsa angreppsytor, inklusive externa gränssnitt
- (k) Minska incidentpåverkan via mekanismer och tekniker för att begränsa exploatering
- (l) Tillhandahåll säkerhetsinformation genom att registrera och övervaka relevant intern aktivitet, med möjlighet för användaren att avstå
- (m) Låt användaren säkert och enkelt ta bort alla data och inställningar; säkerställ säker dataöverföring där det är tillämpligt
Förbehållet "där det är tillämpligt" på flera av punkterna ovan styrs av riskbedömningen, inte av tillverkarens preferens.
Krav på sårbarhetshantering
Separat från produktsäkerhetskontrollerna måste tillverkaren driva sårbarhetshanteringsprocesser under supportperioden: komponentdokumentation, SBOM, testning, åtgärdande, samordnad sårbarhetsredovisning, rapporteringskanaler, säker uppdateringsdistribution och användarråd.
- (1) Identifiera och dokumentera sårbarheter och komponenter, inklusive en programvarustyckslista (SBOM) i ett allmänt använt maskinläsbart format som täcker minst beroenden på toppnivå
- (2) Hantera och åtgärda sårbarheter utan dröjsmål genom säkerhetsuppdateringar. Där det är tekniskt genomförbart, separera säkerhetsuppdateringar från funktionsuppdateringar
- (3) Tillämpa effektiva och regelbundna tester och granskningar av produktsäkerheten
- (4) När en säkerhetsuppdatering finns tillgänglig, dela och offentliggör information om åtgärdade sårbarheter (beskrivning, berörda produkter, påverkan, allvarlighetsgrad, åtgärdsanvisningar). Får skjuta upp offentliggörande i vederbörligen motiverade fall tills användarna kan tillämpa korrigeringen
- (5) Inrätta och tillämpa en policy för samordnad sårbarhetsredovisning (CVD)
- (6) Underlätta delning av information om potentiella sårbarheter (inklusive i tredjepartskomponenter) genom att tillhandahålla en kontaktadress för sårbarhetsrapporter
- (7) Mekanismer för att säkert distribuera uppdateringar så att sårbarheter åtgärdas i rätt tid och, där det är tillämpligt, automatiskt
- (8) Sprid säkerhetsuppdateringar utan dröjsmål. Kostnadsfritt om inte annat överenskommits med en företagsanvändare för skräddarsydda produkter. Med rådgivande meddelanden till användarna
Kraven på sårbarhetshantering ovan gäller från marknadsplacering genom hela supportperioden. Säkerhetsuppdateringar förblir tillgängliga i minst 10 år efter utgivning eller under återstoden av supportperioden, beroende på vilket som är längst.
Tillbörlig aktsamhet avseende komponenter
Tillbörlig aktsamhet avseende komponenter gäller oavsett om komponenten är kommersiell eller fri och öppen källkod. Tillverkaren dokumenterar de komponentsårbarheter som hen får kännedom om, åtgärdar dem i den egna produkten och delar relevant information med komponentens upprätthållare (inklusive, där så är lämpligt, relevant kod eller dokumentation i maskinläsbart format). Dokumentationsytan är SBOM och akten med teknisk dokumentation.
Artefakter före marknadsplacering: vad som måste finnas innan produkten släpps på marknaden
Fyra artefakter måste finnas innan produkten släpps på marknaden. Var och en är förankrad i en specifik CRA-artikel och producerar en specifik regelefterlevnadshandling: filen som tillverkaren behåller, bedömningen som genomförs, försäkran som undertecknas, märket som anbringas.
| Artefakt | Vad den innehåller eller kräver |
|---|---|
| Teknisk dokumentation | Produktbeskrivning, information om utformning och utveckling, cybersäkerhetsriskbedömningen, tillämpade harmoniserade standarder eller gemensamma specifikationer, vald rutt och resultat för bedömning av överensstämmelse, EU-försäkran om överensstämmelse och processen för sårbarhetshantering. Bevaras i minst 10 år eller under supportperioden, beroende på vilket som är längst. |
| Bedömning av överensstämmelse | Modul A självbedömning för produkter i standardklass och för viktiga klass I där harmoniserade standarder, gemensamma specifikationer eller en cybersäkerhetscertifieringsordning tillämpas fullt ut. Viktiga klass II använder vägar via anmält organ (modul B+C eller H) eller en europeisk cybersäkerhetscertifieringsordning på tillitsnivå minst ’väsentlig’. Kritiska produkter använder en europeisk cybersäkerhetscertifieringsordning när den är tillämplig. I övriga fall används vägar via anmält organ. |
| EU-försäkran om överensstämmelse | Antingen den fullständiga EU-försäkran som levereras med produkten eller en förenklad EU-försäkran med den exakta internetadressen för den fullständiga försäkran. Innehållet i försäkran: tillverkarens namn och adress, produktidentifiering, försäkran om överensstämmelse med de väsentliga cybersäkerhetskraven, tillämpade standarder med referensnummer och datum, namn och nummer på det anmälda organet där så är tillämpligt, certifikatreferens, datum, underskrift, undertecknarens namn och funktion. |
| CE-märkning | Anbringas synligt, läsbart och outplånligt på produkten; på grund av arten av produkt med digitala element får höjden på den CE-märkning som fästas på produkten understiga 5 mm, förutsatt att den förblir synlig och läsbar. Där produktens art inte tillåter detta, på förpackningen och EU-försäkran om överensstämmelse. Där ett anmält organ medverkar i bedömning av överensstämmelse enligt modul H (fullständig kvalitetssäkring) följer dess fyrsiffriga identifieringsnummer efter CE-märket. |
Valet av modul för bedömning av överensstämmelse är det enskilt mest följdriktiga beslutet i detta avsnitt. Tabellen och beslutsdiagrammet nedan ger detaljen rad för rad.
| Modul | När |
|---|---|
| A intern produktionskontroll | Produkter i standardklass; viktiga klass I där harmoniserade standarder, gemensamma specifikationer eller en europeisk cybersäkerhetscertifieringsordning på tillitsnivå minst "väsentlig" finns och tillämpas fullt ut |
| B + C EU-typkontroll + produktionskontroll | Väg för viktiga klass II. Klass I där ingen relevant harmoniserad standard, gemensam specifikation eller europeisk cybersäkerhetscertifieringsordning tillämpas. Kritiska produkter när de går via bedömning av anmält organ. |
| H fullständig kvalitetssäkring | Alternativ för viktiga produkter. Kritiska produkter när de går via bedömning av anmält organ. |
Se guiden för teknisk dokumentation, guiden för bedömning av överensstämmelse, guiden för produktklassificering och guiden för försäkran om överensstämmelse för detaljer om varje artefakt.
Rapportering av sårbarheter och allvarliga incidenter
Tillverkare har två rapporteringsströmmar. Båda routas simultant till den CSIRT som utsetts till samordnare och till ENISA via den gemensamma rapporteringsplattformen. De två strömmarna delar 24h/72h-kadensen men har olika frister för slutrapport, en ofta missförstådd punkt.
Tjugofyratimmars-klockan för tidig varning gäller endast aktivt utnyttjade sårbarheter. Den allvarliga incidenten har sitt eget rekvisit och sin egen 24h/72h/1-månad-kadens.
| Ström | 24h tidig varning | 72h anmälan | Slutrapport |
|---|---|---|---|
| Aktivt utnyttjad sårbarhet | Inom 24h från kännedom | Inom 72h från kännedom | 14 dagar efter att en korrigerande eller riskreducerande åtgärd finns tillgänglig |
| Allvarlig incident | Inom 24h från kännedom | Inom 72h från kännedom | En månad efter 72h-anmälan |
Klockan för slutrapport vid sårbarhet startar när korrigeringen är klar, inte när kännedom uppstod; gapet kan vara veckor eller månader. Klockan för slutrapport vid allvarlig incident är fast vid 72h-anmälan, så i praktiken dag 33 från kännedom. Se klusterguiden för sårbarhetsrapportering för det operativa arbetsflödet, routingreglerna för samordnande CSIRT (inklusive reservkaskaden för tillverkare utanför EU), användarinformationsskyldigheten och mekaniken för den gemensamma rapporteringsplattformen.
Supportperiod och eftermarknadsskyldigheter
Huvudsiffrorna (minst 5 års supportperiod, 10 års tillgång till säkerhetsuppdateringar) finns i pliktklustertabellen ovan. Fastställandekriterier, redovisning av slutdatum vid köptillfället, plikten att meddela end-of-support och reglerna för väsentligt modifierade programvaruversioner behandlas i klusterguiden för supportperiod.
Två eftermarknadsskyldigheter för tillverkare lever vid sidan av supportperiodregimen och har ingen egen klustersida. Vid kännedom om att produkten inte längre uppfyller de väsentliga cybersäkerhetskraven vidtar tillverkaren omedelbart korrigerande åtgärder, eller drar tillbaka eller återkallar efter behov, och tillhandahåller på motiverad begäran från en marknadskontrollmyndighet all information som behövs för att visa överensstämmelse på ett språk som myndigheten förstår. En tillverkare som upphör med verksamheten informerar de relevanta marknadskontrollmyndigheterna innan upphörandet får verkan, och informerar användarna med alla tillgängliga medel och i den utsträckning det är möjligt.
Tillverkare eller väsentlig modifierare?
Väsentlig modifiering är en separat väg in i skyldigheter på tillverkarnivå. Den gäller när en tredje part modifierar en produkt efter marknadsplacering och tillhandahåller den modifierade produkten på marknaden. Artikel 22 säger:
"En fysisk eller juridisk person, annan än tillverkaren, importören eller distributören, som utför en väsentlig ändring av en produkt med digitala element och tillhandahåller den produkten på marknaden ska anses som tillverkare vid tillämpningen av denna förordning."
Regimen för väsentlig modifiering utesluter uttryckligen tillverkare, importörer och distributörer. Den gäller tredje parter utanför rollkedjan: systemintegratörer, mervärdesåterförsäljare, företags-IT-avdelningar som modifierar leverantörsprodukter före vidaredistribution. Tillämpningsområdet är skarpt: modifieraren behandlas som tillverkare för den del av produkten som påverkas av den väsentliga modifieringen, eller för hela produkten om modifieringen påverkar produktens cybersäkerhet som helhet. En "väsentlig modifiering" är en ändring efter marknadsplacering som påverkar överensstämmelsen med de väsentliga cybersäkerhetskraven eller modifierar det avsedda ändamål för vilket produkten bedömdes.
| Fall | Klassificering |
|---|---|
| Originalteknik, originalvarumärke | Tillverkare |
| Originalvarumärke, tredje part lägger till firmware-funktioner efter marknadsplacering som ändrar angreppsytan | Den ursprungliga tillverkaren kvarstår. Den tredje parten är också tillverkare för den modifierade delen i egenskap av väsentlig modifierare. |
| White-label-rebranding av en icke-EU-produkt av en EU-enhet | EU-enhet är tillverkaren via rebrand-bryggan för importörer och distributörer. Detta är inte ett fall av väsentlig modifierare som tredje part. Om ni började som EU-importör, se guiden för importörsklustret för vad som ändras när ni går över till tillverkarregimen. |
| EU-integratör paketerar kompatibla produkter utan att modifiera deras inre delar | Distributör, inte väsentlig modifierare. Se guiden för distributörsklustret för distributörens skyldigheter. |
| Företags-IT installerar en anpassad firmware-build på leverantörens enheter och säljer sedan vidare | Väsentlig modifierare. Behandlas som tillverkare för den modifierade produkten. |
Den praktiska konsekvensen av att fångas av regimen för väsentlig modifiering: fullständiga tillverkarplikter för den modifierade delen eller hela produkten, inklusive en ny teknisk akt, en ny EU-försäkran om överensstämmelse, ny CE under modifierarens ansvar och rapporteringskadensen ovan.
Genomförandetidslinje
- Passerad milstolpe
- Kommande tillämpning
- Slutdatum
- Ekosystem-milstolpe
Vanliga fallgropar
| Påstående | Varför det inte håller |
|---|---|
| "Vi är inte egentligen tillverkare; en OEM i ett annat land bygger den." | Varumärkesägaren är tillverkaren, oavsett vem som bygger produkten. Att lägga ut byggandet flyttar inte skyldigheten. |
| "Vår säkerhetspolicy är tillräckligt bra; vi behöver inte göra någon bedömning av väsentliga krav." | Cybersäkerhetsriskbedömningen är obligatorisk och måste leva inne i den tekniska dokumentationen. |
| "Våra kunder ber inte om en SBOM, så vi gör ingen." | En SBOM i ett allmänt använt maskinläsbart format krävs och täcker minst beroenden på toppnivå. Kundens intresse är irrelevant. |
| "Vår chattbot är den gemensamma kontaktpunkten." | Användarna måste kunna välja sitt föredragna kommunikationsmedel. Kanalen får inte begränsas till automatiserade verktyg. |
| "Fem år från produktlanseringen räcker gott för supportperioden." | Supportperioden räknas från varje enhets marknadsplacering, inte från produktlanseringen. Enheter som släpps år 4 bär supportskyldigheter in i år 9. |
| "Fristen på 14 dagar för slutrapport gäller också incidenter." | Nej. Sårbarheter får 14 dagar efter att en korrigerande åtgärd finns tillgänglig; allvarliga incidenter får en månad efter 72h-anmälan. |
| "Vårt SLA täcker redan sårbarheter; vi behöver inte rapportera till ENISA." | Rapporteringen går till den samordnande CSIRT-en och ENISA simultant, via den gemensamma rapporteringsplattformen. Kund-SLA:er ersätter inte plikten. |
| "Vi har försäkring för intrång." | Administrativa böter är inte försäkringsbara i de flesta medlemsstater. Risköverföring kan inte ersätta efterlevnad. |
| "Rapportering gäller bara när vi har en EU-enhet." | Tillverkare utanför EU routas genom en CSIRT-kaskad baserad på var den auktoriserade representanten, importören, distributören eller användaren finns. Rapporteringsplikten startar den 11 sep. 2026 oavsett. |
| "Vi skjuter upp offentliggörandet av varje sårbarhet till nästa kvartalsrelease." | Uppskov tillåts endast i vederbörligen motiverade fall tills användarna kan tillämpa korrigeringen. Rutinmässig kvartalsbatchning kvalificerar inte. |
CRA per EU-land
Skyldigheterna ovan är desamma i varje medlemsstat. Det som skiljer sig per land är den institutionella kedjan: vilken myndighet som utövar tillsyn, vilken CSIRT som tar emot dina rapporter och vilket språk din användarriktade dokumentation måste levereras på. Flera nationella utnämningar är ännu inte klara, så varje genomgång markerar vad som är bekräftat och vad som fortfarande väntas.
- Frankrike: ANSSI som anmälande myndighet, ANFR för marknadskontroll, rapportering via CERT-FR.
- Tyskland: BSI som kombinerad marknadskontroll- och anmälande myndighet, rapportering via CERT-Bund.
- Italien: ACN som enda nationell myndighet, med ackreditering från ACCREDIA.
- Nederländerna: rapportering via NCSC och planerad marknadskontroll av RDI.
- Polen: routing via CSIRT NASK och ackreditering från PCA.
- Spanien: rapportering via INCIBE-CERT och uppdelningen mellan CCN och ENAC för anmälda organ.
Vanliga frågor
Vilka är tillverkarens viktigaste skyldigheter enligt CRA?
Fyra pliktkluster. Rapportering av sårbarheter och incidenter startar 11 sep. 2026; den fulla regimen tillämpas 11 dec. 2027.
- Före marknadsplacering. Riskbedömning, konstruktion mot väsentliga cybersäkerhetskrav, teknisk dokumentation, bedömning av överensstämmelse, EU-försäkran om överensstämmelse, CE-märkning.
- Under hela supportperioden. Sårbarhetshantering, SBOM, åtgärdande, samordnad sårbarhetsredovisning, säkra uppdateringar. Minst fem år per enhet.
- Gemensam kontaktpunkt. Icke-automatiserad kanal som är tillgänglig för användare.
- Rapportering av sårbarheter och incidenter. Kadens 24h, 72h och slutrapport till samordnande CSIRT och ENISA via den gemensamma rapporteringsplattformen.
Vad är en tillverkare enligt CRA?
Varumärkesägaren. En tillverkare är den enhet som utvecklar eller beställer en produkt (inklusive via en utlagd fabrik) och sedan marknadsför den under sitt eget namn eller varumärke, mot betalning eller kostnadsfritt. Varumärket på produkten avgör vem som är tillverkare, inte var produktionslinjen finns. Förvaltare av öppen källkod är en separat, lättare kategori. Ren konsumentåterförsäljning utan eget varumärke är distribution, inte tillverkning.
Är jag tillverkare eller importör?
Det beror på vems varumärke som finns på produkten.
- Ditt eget namn eller varumärke på produkten. Tillverkarspåret gäller, oavsett var produkten byggs. Den fulla uppsättningen skyldigheter enligt tillverkarregimen.
- Någon annans varumärke (icke-EU-person) på en produkt du släpper ut på unionsmarknaden. Importörspåret. Endast verifieringsuppsättningen.
Tillverkare jämfört med auktoriserad representant: vad är skillnaden?
Den auktoriserade representanten är ett dokumentombud, inte en ersättningstillverkare. Att utse en representant är frivilligt.
- Vad representanten gör, genom skriftligt mandat. Håller EU-försäkran om överensstämmelse och den tekniska dokumentationen till marknadskontrollens förfogande, svarar på motiverade förfrågningar och samarbetar vid tillsynsåtgärder.
- Vad som stannar hos tillverkaren. Konstruktion, riskbedömning, sårbarhetshantering, bedömning av överensstämmelse, serietillverkningsskyldigheter och utsläppandet av produkten på marknaden.
Finns det undantag för små och medelstora tillverkare?
De materiella skyldigheterna gäller oavsett storlek. Inget undantag från skyldigheterna som sådana.
- SMF-lättnad, smal. Mikroföretag och småföretag är undantagna från böter som specifikt är kopplade till fristerna för 24h tidig varning, och inget mer.
- Straffmätningsfaktor. Myndigheterna ska ta vederbörlig hänsyn till storleken på den som begått överträdelsen (inklusive SMF och nystartade företag) när bötesbeloppen fastställs.
- Kategorin förvaltare av öppen källkod, separat. Förvaltare av öppen källkod har ett bredare undantag från administrativa böter men är inte SMF.
När gäller CRA:s tillverkarskyldigheter?
Två förskjutna datum.
- Rapportering av sårbarheter och incidenter. Startar 11 sep. 2026. Tillverkare som släpper produkter på EU-marknaden behöver ha kapacitet för 24h-, 72h- och slutrapportering på plats vid det datumet, även om det fullständiga överensstämmelseprogrammet fortfarande byggs upp.
- Resten av tillverkarregimen. Startar 11 dec. 2027. Omfattar hela uppsättningen tillverkarplikter: de väsentliga cybersäkerhetskraven, bedömning av överensstämmelse, EU-försäkran om överensstämmelse, CE-märkning och teknisk dokumentation.
Vad är supportperioden och hur fastställs den?
Minst fem år från varje enhets marknadsplacering, eller den förväntade användningstiden om kortare.
- Hur tillverkaren fastställer perioden. Beaktar rimliga användarförväntningar, produktens art och avsedda ändamål, unionsrätt om livslängder, supportperioder för jämförbara produkter, driftsmiljöns tillgänglighet, supportperioder för integrerade tredjepartskomponenter, ADCO:s riktlinjer och kommissionens riktlinjer. Analysen går in i den tekniska dokumentationen.
- Redovisning vid köptillfället. Slutdatum åtminstone i månad-och-år-format.
- Tillgång till säkerhetsuppdateringar efter periodens slut. Varje utgiven säkerhetsuppdatering förblir tillgänglig i minst 10 år efter utgivning, eller under resten av supportperioden om den är längre.
Vad är skillnaden mellan en "aktivt utnyttjad sårbarhet" och en "allvarlig incident"?
Olika definitioner, olika frister för slutrapport. Båda strömmarna delar 24h tidig varning och 72h anmälan.
- Aktivt utnyttjad sårbarhet. En sårbarhet för vilken det finns tillförlitliga bevis för att en illvillig aktör har utnyttjat den utan systemägarens tillstånd. Slutrapport: 14 dagar efter att en korrigerande eller riskreducerande åtgärd finns tillgänglig.
- Allvarlig incident. En incident som antingen (a) negativt påverkar, eller kan påverka, produktens förmåga att skydda tillgänglighet, autenticitet, integritet eller konfidentialitet hos känsliga eller viktiga data eller funktioner, eller (b) har lett, eller kan leda, till att skadlig kod införs eller exekveras i produkten eller i en användares nätverk. Slutrapport: en månad efter 72h-anmälan.
Påverkar komponenter med öppen källkod i vår produkt våra tillverkarskyldigheter?
Ja. Tillverkaren utövar tillbörlig aktsamhet för varje integrerad tredjepartskomponent, inklusive icke-kommersiella komponenter med öppen källkod.
- Sårbarhet i en komponent. Rapportera till den enhet som upprätthåller komponenten och åtgärda i den egna produkten.
- Dela korrigeringar uppströms. Har tillverkaren utvecklat en korrigering delas relevant kod eller dokumentation med komponentens upprätthållare där det är lämpligt, i maskinläsbart format där så är tillämpligt.
- SBOM-täckning. Minst beroenden på toppnivå.
- Förvaltare av öppen källkod är en separat kategori. Lättare regim, inte tillverkarregimen.