Vad är CRA? Cyber Resilience Act (EU) 2024/2847

Publicerad 6 maj 2026 Uppdaterad 15 juni 2026

Cyberresilienslagen (CRA) är EU:s första cybersäkerhetslag för produkter. Från och med den 11 december 2027 måste allt du säljer in i EU som kör programvara eller har ett chip levereras med inbyggd säkerhet, en SBOM, en EU-försäkran om överensstämmelse och en process för hantering av sårbarheter som löper under hela stödperioden. Den här sidan förklarar vad lagen kräver, när den biter och vad som händer om du ignorerar den.

Sammanfattning

  • CRA är i kraft, men du har tid. Förordning (EU) 2024/2847 trädde i kraft den 10 december 2024 och tillämpas i sin helhet från och med den 11 december 2027.
  • Rapportering startar 15 månader tidigare. Från och med den 11 september 2026 måste tillverkare rapportera allvarliga incidenter och aktivt utnyttjade sårbarheter till ENISA och sin CSIRT.
  • Efterlevnad producerar fyra artefakter. En SBOM, en EU-försäkran om överensstämmelse, teknisk dokumentation och en dokumenterad process för hantering av sårbarheter. Den uppsättningen är hur "CRA-redo" ser ut.
  • Böterna är på riktigt. Upp till 15 000 000 EUR eller 2,5 % av total global årsomsättning, beroende på vilket belopp som är högst, för de värsta överträdelserna.
  • Det är inte GDPR och inte NIS2. CRA reglerar cybersäkerheten hos själva produkten, inte personuppgifter och inte den operativa säkerheten hos väsentliga enheter.
  • Dina skyldigheter beror på din roll och produktklass. Tillverkare, importör, distributör eller förvaltare av öppen källkod; standard, viktig klass I eller II eller kritisk. Sidan Vem måste följa CRA reder ut det steg för steg.
11 dec 2027
Full tillämpning
Förordning 2024/2847
11 sep 2026
Rapportering startar
Allvarliga incidenter och utnyttjade sårbarheter
€15M / 2,5%
Högsta bötenivå
Beroende på vilket som är högst
5 år
Minsta supportperiod
Om förväntad användning inte är kortare

De fyra siffrorna som definierar CRA: när den tillämpas, när rapportering startar, högsta bötenivå och minsta supportperiod för säkerhetsuppdateringar.

Vad cyberresilienslagen reglerar

Cyberresilienslagen, eller CRA, är förordning (EU) 2024/2847. Den inför obligatoriska cybersäkerhetskrav för produkter med digitala element som placeras på EU-marknaden och gäller både hårdvara och programvara. Tillverkare måste visa att deras produkter är utformade och byggda på ett säkert sätt, levereras med en SBOM och en EU-försäkran om överensstämmelse och driver en process för hantering av sårbarheter under hela stödperioden.

CRA är också horisontell. Den skär över produktkategorier i stället för att sitta inuti en enda sektor. Där en produkt redan omfattas av en sektorsspecifik cybersäkerhetsregim (medicintekniska produkter, motorfordon, civil luftfart, marin utrustning eller försvar), skär CRA ut överlappet så att samma produkt inte regleras två gånger för samma risk.

I praktiken gör CRA fyra saker:

  • Regler för att släppa produkter med digitala element på EU-marknaden
  • Väsentliga cybersäkerhetskrav för utformning, utveckling och produktion
  • Hantering av sårbarheter så länge produkten stöds
  • Marknadskontroll och tillsyn av reglerna

När CRA tillämpas: nyckeldatumen

CRA Genomförandetidslinje 2024–2027 Cyber Resilience Act: tillverkarskyldigheter och ekosystemmilstolpar
10 dec 2024 CRA träder i kraft
11 jun 2026 Anmälan AO (medlemsstat)
11 sep 2026 Sårbarhetsrapportering börjar startar 2026-09-11
!
11 dec 2027 Full efterlevnad krävs
Harmoniserade standarder (EN 40000-serien): ännu inte citerade i EUT (tidigast Q4 2026)
Offentlig remiss / kommentarshantering
Q4 2026 Tidigaste EUT-hänvisning (vertikaler: troligen 2027)
  • Passerad milstolpe
  • Kommande tillämpning
  • Slutdatum
  • Ekosystem-milstolpe
CRA-genomförandemilstolpar. Förordningen trädde i kraft den 10 december 2024; rapportering av incidenter och sårbarheter tillämpas från och med den 11 september 2026; den fulla regimen tillämpas från och med den 11 december 2027.
Datum Vad som tillämpas
10 december 2024 Förordningen träder i kraft, 20 dagar efter offentliggörande i EU:s officiella tidning
11 juni 2026 Regler om anmälan av organ för bedömning av överensstämmelse börjar tillämpas
11 september 2026 Rapporteringen startar. Tillverkare måste rapportera allvarliga incidenter och aktivt utnyttjade sårbarheter, även för produkter som redan finns på marknaden
11 december 2027 Förordningen tillämpas i sin helhet på varje produkt med digitala element som släpps på EU-marknaden

Produkter som släpps på EU-marknaden före den 11 december 2027 omfattas inte av den fulla förordningen om de inte, från och med det datumet, genomgår en väsentlig modifiering. Rapporteringsskyldigheten tillämpas dock på alla produkter inom tillämpningsområdet på marknaden från och med den 11 september 2026, oavsett när de släpptes ut.

Hur CRA-efterlevnad ser ut

Fyra artefakter gör tillsammans en produkt CRA-redo. Vilka som åligger dig beror på din roll och produktens klass för bedömning av överensstämmelse; se Vem som måste följa CRA.

Artefakt Svar i klartext
SBOM En lista över vad som finns i din produkt, i CycloneDX eller SPDX, hållen aktuell under stödperioden.
EU-försäkran om överensstämmelse Din undertecknade förklaring att "den här produkten uppfyller reglerna", med uppgift om vilken bedömningsväg som använts. En per produkt, sparad i minst tio år, eller under stödperioden om den är längre.
Teknisk dokumentation Bevismappen bakom försäkran: riskbedömning, konstruktions- och utvecklingsinformation, hantering av sårbarheter och bevis för bedömningen av överensstämmelse.
Process för hantering av sårbarheter Hur du hittar, åtgärdar och släpper säkerhetsuppdateringar under hela stödperioden: utlämningspolicy, triage, åtgärder och gratis patchar.

CRA-böter och tillsyn

CRA fastställer tre bötenivåer. För företag tillämpas beloppet baserat på omsättningsprocenten om det är högre än det fasta EUR-taket.

Nivå Utlösande överträdelse Högsta böter
Nivå 1 Bristande efterlevnad av de väsentliga cybersäkerhetskraven, eller av tillverkar- och rapporteringsskyldigheterna 15 000 000 EUR eller 2,5 % av total global årsomsättning för föregående räkenskapsår, beroende på vilket belopp som är högst
Nivå 2 Brott mot andra operatörs- och överensstämmelseskyldigheter: kontroller av importörer och distributörer, CE- och dokumentationskrav, samarbete med myndigheter och regler för anmälda organ 10 000 000 EUR eller 2 % av total global årsomsättning, beroende på vilket belopp som är högst
Nivå 3 Tillhandahållande av oriktig, ofullständig eller vilseledande information till anmälda organ och marknadskontrollmyndigheter 5 000 000 EUR eller 1 % av total global årsomsättning, beroende på vilket belopp som är högst

När böterna fastställs måste marknadskontrollmyndigheterna beakta överträdelsens art, allvarlighetsgrad och varaktighet, upprepade överträdelser och operatörens storlek, inklusive om det är ett mikroföretag, SME eller start-up. Förvaltare av öppen källkod är undantagna från böter på nivå 2 och nivå 3. Utöver böter kan marknadskontrollmyndigheter även förelägga om korrigerande åtgärder, begränsa försäljning, återkalla produkter som inte uppfyller kraven och förbjuda ytterligare tillgängliggörande på EU-marknaden.

För hela genomgången av bötenivåer, återkallelser och underlag som en myndighet kan begära, se CRA-böter och tillsyn.

Vad CRA inte är

CRA sitter bredvid flera andra EU-lagar som också rör cybersäkerhet. Tre vanliga förväxlingar:

  • CRA är inte GDPR. GDPR (förordning 2016/679) skyddar personuppgifter. CRA skyddar produktens cybersäkerhet. En produkt kan vara GDPR-relevant, CRA-relevant, båda eller ingendera.
  • CRA är inte NIS2. NIS2 (direktiv 2022/2555) reglerar den operativa cybersäkerheten hos väsentliga och viktiga enheter. CRA reglerar utformnings- och livscykelcybersäkerheten hos de produkter dessa enheter köper och använder.
  • CRA ersätter inte sektorslagar. Medicintekniska produkter (MDR, IVDR), motorfordon (förordning 2019/2144), luftfart (förordning 2018/1139) och marin utrustning (direktiv 2014/90/EU) behåller sina cybersäkerhetsregimer; CRA skär ut dem. Maskinförordningen 2023/1230 och radioutrustningsdirektivet överlappar med CRA i smala avseenden som förklaras i guiden för överlapp mellan CRA och maskinförordningen.

Vanliga frågor

När gäller CRA egentligen min produkt?

Det beror på när produkten släpps på EU-marknaden. Den fulla förordningen tillämpas på alla produkter med digitala element som släpps på marknaden från och med den 11 december 2027. Produkter som släpps före det datumet omfattas inte retroaktivt om de inte genomgår en väsentlig modifiering efter den 11 december 2027, i vilket fall de räknas som en ny produkt.

Vad förändras den 11 september 2026, innan den fulla regimen gäller?

Rapporteringen startar. Från och med det datumet måste tillverkare av produkter inom tillämpningsområdet rapportera allvarliga incidenter och aktivt utnyttjade sårbarheter till ENISA och relevant CSIRT, även för produkter som redan finns på marknaden. Resten av förordningen gäller inte ännu, men rapporteringsskyldigheten gör det.

Är CRA detsamma som GDPR eller NIS2?

Nej. GDPR skyddar personuppgifter. NIS2 reglerar den operativa säkerheten hos väsentliga och viktiga enheter (energioperatörer, sjukhus, molnleverantörer och så vidare). CRA reglerar cybersäkerheten hos själva produkten: hur den är utformad, vilka sårbarheter den levereras med och hur tillverkaren hanterar sårbarheter under stödperioden. Samma företag kan omfattas av alla tre samtidigt, men skyldigheterna sitter på olika objekt: data, organisationer och produkter.

Gäller CRA fri och öppen källkods-programvara?

Endast när den tillhandahålls i samband med en kommersiell verksamhet. Rent icke-kommersiella öppen källkods-projekt ligger utanför tillämpningsområdet. Där ett projekt monetariseras (betald support, kommersiell distribution, inbäddat i en produkt som släpps på marknaden) tillämpas CRA. För förvaltare av öppen källkod gäller en lättare regim (stiftelser och liknande enheter som upprätthåller öppen källkods-projekt på en hållbar basis), som bär vissa styrningsskyldigheter men inte de fulla tillverkarskyldigheterna, och undantar förvaltare från böter på nivå 2 och nivå 3.

Vad händer med produkter som redan finns på marknaden den 11 december 2027?

De behåller sitt befintliga marknadstillträde och tvingas inte retroaktivt genom CRA:s bedömning av överensstämmelse. En redan befintlig produkt dras in i den fulla förordningen endast om den, efter den 11 december 2027, genomgår en väsentlig modifiering, i vilket fall den behandlas som en ny produkt som släpps på marknaden. Rapporteringsskyldigheten tillämpas på dessa äldre produkter från och med den 11 september 2026, och säkerhetsuppdateringar som följer av befintliga supportåtaganden fortsätter.

Vem upprätthåller CRA och var kommer böterna ifrån?

Varje medlemsstat utser en eller flera marknadskontrollmyndigheter, samordnade genom samarbetsgruppen för administrativt samarbete (ADCO) och med stöd av ENISA. Myndigheterna kan begära teknisk dokumentation, kräva korrigerande åtgärder, begränsa eller återkalla produkter som inte uppfyller kraven och påföra böter. Kommissionen kan agera för produkter med EU-omfattande inverkan. ENISA driver den gemensamma rapporteringsplattformen för allvarliga incidenter och utnyttjade sårbarheter.

Var du börjar

  1. Kör tillämplighetstestet: läs Vem måste följa cyberresilienslagen för tillämpningsområdestestet och rolldefinitionerna för tillverkare, importör och distributör.
  2. Identifiera din roll och produktklass. Tillverkare bär den tyngsta bördan; importörer och distributörer bär verifieringsskyldigheter; förvaltare av öppen källkod har en lättare regim.
  3. Bygg de fyra artefakterna i den här ordningen: SBOM, teknisk dokumentation, process för sårbarhetshantering, EU-försäkran om överensstämmelse.
  4. Välj rutten för bedömning av överensstämmelse baserat på om din produkt är standard, viktig klass I eller II, eller kritisk, och om harmoniserade standarder eller ett anmält organ behövs.
  5. Återvänd till CRA-efterlevnadshubben och arbeta dig igenom de fyra korten: SBOM, överensstämmelse och dokumentation, hantering av sårbarheter och rapportering, samt stödperiod.