Cyberresilienslagen (CRA) är EU:s första cybersäkerhetslag för produkter. Från och med den 11 december 2027 måste allt du säljer in i EU som kör programvara eller har ett chip levereras med inbyggd säkerhet, en SBOM, en EU-försäkran om överensstämmelse och en process för hantering av sårbarheter som löper under hela supportperioden. Den här sidan förklarar vad lagen kräver, när den biter och vad som händer om du ignorerar den.
Sammanfattning
- CRA är i kraft, men du har tid. Förordning (EU) 2024/2847 trädde i kraft den 10 december 2024 och tillämpas i sin helhet från och med den 11 december 2027 (artikel 71.2).
- Rapportering startar 15 månader tidigare. Från och med den 11 september 2026 måste tillverkare rapportera allvarliga incidenter och aktivt utnyttjade sårbarheter till ENISA och sin CSIRT (artikel 14).
- Efterlevnad producerar fyra artefakter. En SBOM, en EU-försäkran om överensstämmelse, en teknisk akt enligt bilaga VII och en dokumenterad process för hantering av sårbarheter. Den uppsättningen är hur "CRA-redo" ser ut.
- Böterna är på riktigt. Upp till 15 000 000 EUR eller 2,5 % av total global årsomsättning, beroende på vilket belopp som är högst, för de värsta överträdelserna (artikel 64.2).
- Det är inte GDPR och inte NIS2. CRA reglerar cybersäkerheten hos själva produkten, inte personuppgifter och inte den operativa säkerheten hos väsentliga enheter.
- Dina skyldigheter beror på din roll och produktklass. Tillverkare, importör, distributör eller förvaltare av öppen källkod; standard, viktig klass I eller II eller kritisk. Nästa sida sorterar det.
De fyra siffrorna som definierar CRA: när den tillämpas, när rapportering startar, högsta bötenivå och minsta supportperiod för säkerhetsuppdateringar.
Vad cyberresilienslagen reglerar
CRA är förordning (EU) 2024/2847. Artikel 1 omfattar fyra områden:
| Vad CRA täcker | Var det finns i förordningen |
|---|---|
| Regler för att släppa produkter med digitala element på EU-marknaden | Kapitel I, artiklarna 1 till 7 |
| Väsentliga cybersäkerhetskrav för utformning, utveckling och produktion | Bilaga I, del I, med tillverkarskyldigheter i artikel 13 |
| Hantering av sårbarheter så länge produkten stöds | Bilaga I, del II, artikel 13.8 och artikel 14 |
| Marknadskontroll och tillsyn av reglerna | Kapitel VII, artiklarna 52 till 66 |
I praktiken inför CRA en CE-märkningsregim för cybersäkerhet. En produkt med digitala element (hårdvara, programvara eller en fjärrdatabehandlingskomponent som tillhandahålls av tillverkaren) får inte släppas på EU-marknaden om inte tillverkaren kan visa att den uppfyller bilaga I och driver en process för hantering av sårbarheter under hela supportperioden.
CRA är horisontell: den skär över produktkategorier i stället för att sitta inuti en enda sektor. Där en produkt redan omfattas av en sektorsspecifik cybersäkerhetsregim (medicintekniska produkter, motorfordon, civil luftfart, marin utrustning eller försvar), skär artikel 2 ut överlappet så att samma produkt inte regleras två gånger för samma risk.
När CRA tillämpas: nyckeldatumen
| Datum | Vad som tillämpas | Källa |
|---|---|---|
| 10 december 2024 | Förordningen träder i kraft (tjugonde dagen efter offentliggörande i EUT) | Artikel 71.1 |
| 11 juni 2026 | Kapitel IV (artiklarna 35 till 51) om anmälan av organ för bedömning av överensstämmelse tillämpas | Artikel 71.2 |
| 11 september 2026 | Rapporteringsskyldigheter enligt artikel 14 tillämpas för allvarliga incidenter och aktivt utnyttjade sårbarheter, inklusive för produkter som redan finns på marknaden | Artiklarna 71.2 och 69.3 |
| 11 december 2027 | Förordningen tillämpas i sin helhet på alla produkter med digitala element som släpps på EU-marknaden från och med detta datum | Artikel 71.2 |
Produkter som släpps på EU-marknaden före den 11 december 2027 omfattas inte av den fulla förordningen om de inte, från och med det datumet, genomgår en väsentlig modifiering (artikel 69.2). Rapporteringsskyldigheten enligt artikel 14 tillämpas dock på alla produkter inom tillämpningsområdet på marknaden från och med den 11 september 2026, oavsett när de släpptes ut (artikel 69.3).
Hur CRA-efterlevnad ser ut
Fyra artefakter gör tillsammans en produkt CRA-redo. Vilka som åligger dig beror på din roll och produktens klass för bedömning av överensstämmelse; se Vem som måste följa CRA.
| Artefakt | Svar i klartext | Var det krävs |
|---|---|---|
| SBOM (detaljer) | En lista över vad som finns i din produkt, i CycloneDX eller SPDX, hållen aktuell under supportperioden. | Bilaga I, del I |
| EU-försäkran om överensstämmelse (detaljer) | Din undertecknade förklaring att "den här produkten uppfyller reglerna", med uppgift om vilken bedömningsväg som använts. En per produkt, sparad i tio år. | Artikel 28, bilaga V |
| Teknisk dokumentation enligt bilaga VII (detaljer) | Bevismappen bakom försäkran: riskbedömning, konstruktions- och utvecklingsinformation, hantering av sårbarheter och bevis för bedömningen av överensstämmelse. | Bilaga VII |
| Process för hantering av sårbarheter (detaljer) | Hur du hittar, åtgärdar och släpper säkerhetsuppdateringar under hela supportperioden: utlämningspolicy, triage, åtgärder och gratis patchar. | Bilaga I, del II |
Sanktioner enligt artikel 64
Artikel 64 fastställer tre bötenivåer. Det högre av det absoluta taket eller procentandelen av global omsättning tillämpas.
| Nivå | Utlösande överträdelse | Högsta böter |
|---|---|---|
| Nivå 1 | Bristande efterlevnad av de väsentliga cybersäkerhetskraven i bilaga I, eller av skyldigheterna i artiklarna 13 och 14 | 15 000 000 EUR eller 2,5 % av total global årsomsättning för föregående räkenskapsår, beroende på vilket belopp som är högst |
| Nivå 2 | Bristande efterlevnad av skyldigheterna i artiklarna 18 till 23, 28, 30.1 till 30.4, 31.1 till 31.4, 32.1 till 32.3, 33.5, 39, 41, 47, 49 och 53 | 10 000 000 EUR eller 2 % av total global årsomsättning, beroende på vilket belopp som är högst |
| Nivå 3 | Tillhandahållande av oriktig, ofullständig eller vilseledande information till anmälda organ och marknadskontrollmyndigheter | 5 000 000 EUR eller 1 % av total global årsomsättning, beroende på vilket belopp som är högst |
Marknadskontrollmyndigheterna tar hänsyn till överträdelsens art, allvarlighetsgrad och varaktighet, upprepade överträdelser och operatörens storlek, och tillämpar lättare granskning på mikroföretag, småföretag och nystartade företag (artikel 64.5 och 64.10). Förvaltare av öppen källkod är undantagna från böter på nivå 2 och nivå 3 (artikel 64.10 b). Utöver böter kan marknadskontrollmyndigheter även förelägga om korrigerande åtgärder, begränsa försäljning, återkalla produkter som inte uppfyller kraven och förbjuda ytterligare tillgängliggörande på EU-marknaden (artikel 54).
Vad CRA inte är
CRA sitter bredvid flera andra EU-lagar som också rör cybersäkerhet. Tre vanliga förväxlingar:
- CRA är inte GDPR. GDPR (förordning 2016/679) skyddar personuppgifter. CRA skyddar produktens cybersäkerhet. En produkt kan vara GDPR-relevant, CRA-relevant, båda eller ingendera.
- CRA är inte NIS2. NIS2 (direktiv 2022/2555) reglerar den operativa cybersäkerheten hos väsentliga och viktiga enheter. CRA reglerar utformnings- och livscykelcybersäkerheten hos de produkter dessa enheter köper och använder.
- CRA ersätter inte sektorslagar. Medicintekniska produkter (MDR, IVDR), motorfordon (förordning 2018/858), luftfart (förordning 2018/1139) och marin utrustning (direktiv 2014/90/EU) behåller sina cybersäkerhetsregimer; CRA skär ut dem i artikel 2. Maskinförordningen 2023/1230 och radioutrustningsdirektivet överlappar med CRA i smala avseenden som förklaras i guiden för överlapp mellan CRA och maskinförordningen.
Vanliga frågor
När gäller CRA egentligen min produkt?
Det beror på när produkten släpps på EU-marknaden. Den fulla förordningen tillämpas på alla produkter med digitala element som släpps på marknaden från och med den 11 december 2027. Produkter som släpps före det datumet omfattas inte retroaktivt om de inte genomgår en väsentlig modifiering efter den 11 december 2027, i vilket fall de räknas som en ny produkt (artiklarna 71.2 och 69.2).
Vad förändras den 11 september 2026, innan den fulla regimen gäller?
Rapporteringen enligt artikel 14 startar. Från och med det datumet måste tillverkare av produkter inom tillämpningsområdet rapportera allvarliga incidenter och aktivt utnyttjade sårbarheter till ENISA och relevant CSIRT, även för produkter som redan finns på marknaden. Resten av förordningen gäller inte ännu, men rapporteringsskyldigheten gör det (artikel 69.3).
Är CRA detsamma som GDPR eller NIS2?
Nej. GDPR skyddar personuppgifter. NIS2 reglerar den operativa säkerheten hos väsentliga och viktiga enheter (energioperatörer, sjukhus, molnleverantörer och så vidare). CRA reglerar cybersäkerheten hos själva produkten: hur den är utformad, vilka sårbarheter den levereras med och hur tillverkaren hanterar sårbarheter under supportperioden. Samma företag kan omfattas av alla tre samtidigt, men skyldigheterna sitter på olika objekt: data, organisationer och produkter.
Gäller CRA fri och öppen källkods-programvara?
Endast när den tillhandahålls i samband med en kommersiell verksamhet. Rent icke-kommersiella öppen källkods-projekt ligger utanför tillämpningsområdet. Där ett projekt monetariseras (betald support, kommersiell distribution, inbäddat i en produkt som släpps på marknaden) tillämpas CRA. Artikel 24 skapar en lättare regim för förvaltare av öppen källkod (stiftelser och liknande enheter som upprätthåller öppen källkods-projekt på en hållbar basis), som bär vissa styrningsskyldigheter men inte de fulla tillverkarskyldigheterna (artiklarna 2.2 och 24; undantag från böter i artikel 64.10 b).
Vad händer med produkter som redan finns på marknaden den 11 december 2027?
De behåller sitt befintliga marknadstillträde och tvingas inte retroaktivt genom CRA:s bedömning av överensstämmelse. En redan befintlig produkt dras in i den fulla förordningen endast om den, efter den 11 december 2027, genomgår en väsentlig modifiering, i vilket fall den behandlas som en ny produkt som släpps på marknaden. Rapporteringsskyldigheten tillämpas på dessa äldre produkter från och med den 11 september 2026, och säkerhetsuppdateringar som följer av befintliga supportåtaganden fortsätter (artikel 69.2; rapporteringsskyldighet i artikel 69.3).
Vem upprätthåller CRA och var kommer böterna ifrån?
Varje medlemsstat utser en eller flera marknadskontrollmyndigheter, samordnade genom samarbetsgruppen för administrativt samarbete (ADCO) och med stöd av ENISA. Myndigheterna kan begära teknisk dokumentation, kräva korrigerande åtgärder, begränsa eller återkalla produkter som inte uppfyller kraven och påföra böter enligt artikel 64. Kommissionen kan agera för produkter med EU-omfattande inverkan. ENISA driver den gemensamma rapporteringsplattformen för incidenter och sårbarheter enligt artikel 14.