CRA-efterlevnadsordlista
Viktig terminologi för att förstå EU:s Cyber Resilience Act, säkerhetsstandarder för programvaruleveranskedjan och efterlevnadskrav.
Inga matchande termer hittades.
A
Anmält organ
Oberoende organ för bedömning av överensstämmelse utsett av en EU-medlemsstat för att bedöma om produkter uppfyller CRA:s lagkrav.
Annex VII
CRA Bilaga VII specificerar det minsta innehållet i EU:s försäkran om överensstämmelse som tillverkare måste upprätta för produkter med digitala element. Inkluderar produktidentifiering, tillverkarinformation, tillämpade standarder och underskrift av tillverkarens representant.
Artikel 13 - Tillverkares skyldigheter
CRA Artikel 13 fastställer de centrala tillverkarskyldigheterna: säkerhet genom design, SBOM-underhåll, sårbarhethantering, tillhandahållande av säkerhetsuppdateringar under hela produktens livscykel och underhåll av teknisk dokumentation i minst 10 år.
Artikel 14 - Rapporteringsskyldigheter
CRA Artikel 14 kräver att tillverkare rapporterar aktivt utnyttjade sårbarheter till ENISA inom 24 timmar (tidig varning), 72 timmar (detaljerad rapport) och 14 dagar (slutrapport). Allvarliga incidenter följer samma mönster men med en deadline för slutrapport på 30 dagar.
B
Bedömning av överensstämmelse
Process som verifierar att en produkt uppfyller CRA:s väsentliga cybersäkerhetskrav. Standardprodukter gör en självbedömning (Modul A). Viktiga produkter i Klass I kan också göra en självbedömning när harmoniserade standarder, gemensamma specifikationer eller en ordning för cybersäkerhetscertifiering tillämpas fullt ut; annars krävs bedömning av tredje part. Produkter i Klass II och kritiska produkter kräver bedömning av tredje part (Modul B+C eller Modul H) eller en europeisk ordning för cybersäkerhetscertifiering.
C
CE-märkning
Europeisk överensstämmelsemärkning som indikerar efterlevnad av EU-lagstiftning. Enligt CRA måste produkter med digitala element bära CE-märkning. Kräver slutförande av bedömning av överensstämmelse och EU-försäkran om överensstämmelse.
CRA - Cyber Resilience Act
EU-förordning 2024/2847 som fastställer obligatoriska cybersäkerhetskrav för produkter med digitala element (PDEs) som säljs i EU. Trädde i kraft den 10 december 2024. Huvudskyldigheter gäller från och med den 11 december 2027.
CSAF - Gemensamt ramverk för säkerhetsrådgivning
OASIS-standard för maskinläsbara säkerhetsrådgivningar. Möjliggör automatiserad behandling av sårbarhetsinformation. Används för samordnad sårbarhetsinformation (CVD) och ENISA-rapportering.
CSIRT - Computer Security Incident Response Teams
Utsedda cybersäkerhetsorgan som tillverkare måste meddela om aktivt utnyttjade sårbarheter och allvarliga incidenter enligt artikel 14 i CRA, och som samordnar med ENISA kring sårbarhetshantering på EU-nivå.
CVD - Samordnad sårbarhetsdisklosure
Process för att ansvarsfullt avslöja säkerhetsbrister för leverantörer. CRA-artikel 13(8) kräver att tillverkare upprättar och publicerar CVD-policyer.
CVE - Vanliga sårbarheter och exponeringar
Standardiserat identifierare för allmänt kända cybersäkerhetssårbarheter (t.ex. CVE-2024-12345). Hanteras av MITRE Corporation.
CVSS - Gemensamt poängsystem för sårbarheter
Industristandard för bedömning av sårbarhetens allvarlighetsgrad på en 0-10-skala. CVSS 4.0 är den senaste versionen. Kritisk (9,0-10,0), Hög (7,0-8,9), Medel (4,0-6,9), Låg (0,1-3,9).
CycloneDX
OWASP-standard för att skapa programvarubommar (SBOMs) och relaterade artefakter. Stöder SBOM, VEX, HBOM, SaaSBOM och mer. Version 1.5+ rekommenderas. Refererad av BSI TR-03183.
D
Distributör
Varje enhet i leveranskedjan, annan än tillverkaren eller importören, som gör en produkt med digitala element tillgänglig på EU-marknaden. Distributörer måste verifiera att produkten bär CE-märkning och åtföljs av EU:s försäkran om överensstämmelse innan den görs tillgänglig. Om en distributör modifierar produkten blir den en tillverkare enligt CRA.
E
ENISA - Europeiska unionens cybersäkerhetsbyrå
EU-byrå med ansvar för cybersäkerhetspolicy och incidentsamordning. Enligt artikel 14 i CRA rapporterar tillverkare aktivt utnyttjade sårbarheter och allvarliga incidenter till ENISA och det samordnande CSIRT via en enda rapporteringsplattform, med en tidig varning inom 24 timmar och en uppföljande anmälan inom 72 timmar. Rapporteringsskyldigheten börjar den 11 september 2026.
EPSS - System för förutsägelse av exploateringsrisk
FIRST.org-modell som beräknar sannolikheten (0-100 %) att en sårbarhet utnyttjas i verkligheten inom de närmaste 30 dagarna. Används för riskbaserad sårbarhetsprioritering. Högre EPSS = högre prioritet för åtgärd.
EU-försäkran om överensstämmelse
Formellt dokument som anger att en produkt uppfyller tillämplig EU-lagstiftning inklusive CRA. Måste undertecknas av tillverkaren eller behörig representant. Krävs för CE-märkning.
EU:s maskinförordning - Förordning (EU) 2023/1230
EU-förordning som ersätter Maskindirektivet 2006/42/EG och gäller från den 20 januari 2027. Kräver cybersäkerhetsbevis i det tekniska underlaget (Bilaga III §1.1.9 — skydd mot manipulation) för maskiner med digitala element. Produkter med digitala element måste samtidigt följa denna förordning och CRA.
H
Harmoniserade standarder
Europeiska standarder antagna av erkända standardiseringsorgan (CEN, CENELEC, ETSI) och refererade i EU:s officiella tidning. Produkter som uppfyller harmoniserade standarder drar nytta av en presumtion om överensstämmelse med motsvarande väsentliga CRA-krav, vilket förenklar bedömningen av överensstämmelse.
HBOM - Hardware Bill of Materials
Maskinläsbart lager av hårdvarukomponenter i en produkt, inklusive processorer, minne, integrerade kretsar och firmware. Kompletterar SBOM för fullständig produkttransparens.
I
Importör
En EU-etablerad enhet som placerar en produkt med digitala element från en tillverkare utanför EU på den europeiska marknaden. Importörer måste verifiera att tillverkaren har genomfört bedömningen av överensstämmelse, att CE-märkning är tillämpad och att teknisk dokumentation är tillgänglig. De delar ansvar för produkter som inte uppfyller kraven.
K
KEV - Kända utnyttjade sårbarheter
CISA:s auktoritativa katalog över sårbarheter som aktivt utnyttjas i verkligheten. Högsta prioritet för åtgärd. Federala myndigheter måste åtgärda KEV-sårbarheter inom angivna tidsramar.
Kritisk produkt (Bilaga IV) - CRA-bilaga IV
Produkter med digitala element som utför väsentliga cybersäkerhetsfunktioner för andra produkter, nätverk eller tjänster. Listade i CRA Bilaga IV inkluderar dessa maskinvarusäkerhetsmoduler (HSM), smartkortläsare, säkra element och maskinvaruenheter med säkerhetsboxar. Kritiska produkter kräver europeisk cybersäkerhetscertifiering under ett tillämpligt system, eller — där inget system finns — tredjepartsbedömning av överensstämmelse av ett anmält organ.
N
NVD - National Vulnerability Database
Amerikansk statlig databas med sårbarhetsdatadata underhållen av NIST. Byggd på CVE-identifierare. Tillhandahåller CVSS-poäng, CPE-information och CWE-klassificeringar.
O
OSV.dev - Öppen källkod sårbarhetsdatabas
Databas för sårbarheter i öppen källkod underhållen av Google. Aggregerar säkerhetsrådgivningar från GitHub (GHSA), Go, Rust, PyPI och 15+ ekosystem till ett enda sökbart API. CRA Evidence använder OSV.dev som en sekundär sårbarhetskälla vid sidan av NVD för att fånga rådgivningar som ekosystemspecifika databaser spårar innan de får CVE-ID.
P
PDE - Produkt med digitala element
En produkt med digitala element är hård- eller mjukvara som tillhandahålls på EU-marknaden och vars avsedda eller rimligen förutsebara användning innefattar en direkt eller indirekt dataanslutning till en annan enhet eller ett annat nät. Den rättsliga definitionen finns i artikel 3.1 i CRA. CRA skiljer på fyra former: programvaruprodukter (artikel 3.4), hårdvaruprodukter (artikel 3.5), komponenter som släpps ut på marknaden separat (artikel 3.6, inklusive fast programvara och SDK:er) och lösningar för fjärrdatabehandling som tillhandahålls av tillverkaren (artikel 3.2, moln- eller fjärrtjänster som är nödvändiga för att produkten ska kunna utföra sina funktioner). En ren moln-SaaS utan installerbar klient faller i regel utanför CRA; en hybridprodukt där tillverkarens molntjänst är nödvändig för att produkten ska fungera omfattas via artikel 3.2. Det avgörande kriteriet är dataanslutningen, och artikel 3.8, 3.9 och 3.10 skiljer på logiska, fysiska och indirekta anslutningar.
prEN 50742
Europeiskt standardutkast för maskinsäkerhet som täcker krav på skydd mot manipulation. Tillhandahåller tekniska specifikationer för implementering av §1.1.9 i Maskinförordningen (EU) 2023/1230. Definierar två efterlevnadsvägar: en fristående metod och integration med IEC 62443 för tillverkare som redan arbetar inom det industriella cybersäkerhetsramverket. När den väl publiceras som harmoniserad standard skapar överensstämmelse en presumtion om överensstämmelse med Maskinförordningens cybersäkerhetskrav. Publicering förväntas i slutet av 2026.
PURL - Paket-URL
Standardiserat format för att identifiera programvarupaket i olika ekosystem (t.ex. pkg:npm/lodash@4.17.21). Används i SBOMs för att unikt identifiera komponenter.
R
RDPS - Lösningar för fjärrdatabehandling
Moln- eller SaaS-funktionalitet som behandlar data på distans som en del av en produkt med digitala element. Den omfattas av produktens CRA-bedömning av överensstämmelse om den uppfyller ett test i tre delar: data behandlas 'på distans', produkten skulle förlora en kärnfunktion utan den, och den är utformad av eller under tillverkarens ansvar. Tredjeparts-SaaS som inte uppfyller detta test måste ändå behandlas som en komponent enligt aktsamhetskravet i artikel 13.5.
Riskbedömning
Systematisk process för att identifiera, analysera och utvärdera cybersäkerhetsrisker kopplade till en produkt med digitala element. Krävs enligt CRA Artikel 13(2) och måste dokumenteras i den tekniska filen. Täcker hot, sårbarheter, potentiell påverkan och riskminskningsåtgärder under hela produktens livscykel.
S
SBOM - Software Bill of Materials
Formellt, maskinläsbart lager av programvarukomponenter och beroenden, inklusive versioner, licenser och relationer. Krävs av CRA-artikel 13(4) för sårbarhetshantering och transparens i leveranskedjan.
SCA - Analys av programvarusammansättning
Analys av programvarusammansättning (SCA) identifierar komponenter från öppen källkod och tredje part, versioner, licenser och kända sårbarheter i en programvaruprodukt. Den används ofta för att generera SBOM:er, hålla dem aktuella över utgåvor och mata sårbarhetsövervakning enligt CRA artikel 13.
SPDX - Utbyte av programvarupaketdata
ISO/IEC 5962:2021-standard för kommunikation av programvarubommsinformation. Utvecklad av Linux Foundation. Version 2.2.1+ rekommenderas för CRA-efterlevnad.
Standardprodukt
Produkter med digitala element som inte faller under kategorierna Viktig eller Kritisk som definieras i CRA Bilagorna III och IV. Standardprodukter kan genomgå bedömning av överensstämmelse genom intern kontroll (egenbedömning) av tillverkaren enligt CRA Bilaga VIII, utan tredjepartsinblandning. Detta täcker den stora majoriteten av konsument- och kommersiell programvara och hårdvara.
T
Teknisk fil
Komplett dokumentationspaket som visar CRA-efterlevnad. Inkluderar riskbedömning, SBOM, säkerhetsdesigndokumentation, procedurer för sårbarhetshantering, testresultat och EU-försäkran om överensstämmelse. Måste bevaras i 10 år eller produktens livstid.
Tillverkare
Den enhet som utvecklar eller producerar en produkt med digitala element och placerar den på EU-marknaden under eget namn eller varumärke. Tillverkare bär de primära CRA-skyldigheterna: genomföra riskbedömningar, underhålla SBOM:er, hantera sårbarheter, tillhandahålla säkerhetsuppdateringar i minst fem år och rapportera utnyttjade sårbarheter till ENISA.
Tillverkarens representant - Artikel 18
Enligt artikel 18.1 i Förordning (EU) 2024/2847 (cyberresiliensförordningen) får tillverkaren genom skriftlig fullmakt utse en juridisk eller fysisk person etablerad i unionen till tillverkarens representant. Utseendet är frivilligt enligt cyberresiliensförordningen, till skillnad från artikel 11 i MDR eller artikel 5 i RED, som båda kräver en representant för tillverkare utanför EU. Enligt artikel 18.3 innehar tillverkarens representant EU-försäkran om överensstämmelse och den tekniska dokumentationen för att kunna uppvisa dem för marknadskontrollmyndigheterna i minst tio år (eller under stödperioden, beroende på vilken period som är längst), lämnar information på motiverad begäran och samarbetar om åtgärder som vidtas för att undanröja risker. Artikel 18.2 undantar de materiella cybersäkerhetsskyldigheterna i artikel 13 från fullmakten. Skild från importörsrollen enligt artikel 19. Se förklaringen av artikel 18 på /sv/tillverkarens-representant-cra.
TR-03183
Tyska BSI:s tekniska riktlinje som ger detaljerade krav för SBOM-skapande och hantering. Används allmänt som bästa praxis för CRA-artikel 13-efterlevnad. Specificerar minimala SBOM-fält, format och uppdateringskrav.
V
VEX - Utbyte om sårbarhetsutnyttjbarhet
Dokument som kommunicerar utnyttjandebarhetsstatusen för sårbarheter i en specifik produkt. Anger om ett CVE påverkar din produkt. Hjälper nedströmsanvändare att minska varningströtthet.
Viktig produkt (klass I) - CRA-bilaga III, del I
Produkter med digitala element som utför en cybersäkerhetsrelevant funktion eller bär förhöjd risk. Klass I inkluderar identitetshanteringssystem, VPN, nätverkshanteringsverktyg, SIEM-system, starthanterare och andra kategorier listade i CRA Bilaga III Del I. Tillverkare måste antingen tillämpa harmoniserade standarder som täcker alla väsentliga krav (möjliggör egenbedömning), eller genomgå tredjepartsbedömning av överensstämmelse av ett anmält organ.
Viktig produkt (klass II) - CRA-bilaga III, del II
Produkter med digitala element som utför kritiska cybersäkerhetsfunktioner och bär betydande risk. Klass II inkluderar operativsystem, hypervisorer, brandväggar, intrångsdetekteringssystem, mikrokontrollers, industriella automationssystem och andra kategorier listade i CRA Bilaga III Del II. Dessa produkter kräver alltid tredjepartsbedömning av överensstämmelse av ett anmält organ, oavsett om harmoniserade standarder finns.
VKB - Sårbarhetsdatabas
En kontinuerligt uppdaterad sårbarhetsdatabas som aggregerar advisories från flera källor — t.ex. NVD/cvelistV5, OSV.dev, GitHub Advisories, CISA KEV och EPSS — till en enda sökbar kunskapsbas. Istället för att skanna beroenden på begäran mot en enda källa underhåller en VKB en lokal spegel av alla kända sårbarheter och matchar dem mot programvarukomponenter allt eftersom nya CVE:er publiceras. Detta minskar detekteringsfördröjningen från timmar eller dagar till minuter, och korsreferensering av flera källor minskar risken för missade advisories.
Redo att bli CRA-klar?
CRA Evidence hjälper dig att hantera SBOMs, spåra sårbarheter och generera revisionsfärdig dokumentation.