Sammanfattning
Denna ordlista täcker väsentlig EU CRA-terminologi: SBOM (Software Bill of Materials), CycloneDX, SPDX, VEX (Vulnerability Exploitability eXchange), VKB (sårbarhetsdatabas), CSAF, CVE, EPSS, KEV, TR-03183, ENISA-rapportering, CE-märkning, harmoniserade standarder, anmälda organ, riskbedömning, krav på teknisk fil och bedömning av överensstämmelse. Använd denna referens när du förbereder CRA-efterlevnad inför december 2027-deadline.
CRA-efterlevnadsordlista
Viktig terminologi för att förstå EU:s Cyber Resilience Act, säkerhetsstandarder för programvaruleveranskedjan och efterlevnadskrav.
A
Annex VII
CRA Bilaga VII specificerar det minsta innehållet i EU:s försäkran om överensstämmelse som tillverkare måste upprätta för produkter med digitala element. Inkluderar produktidentifiering, tillverkarinformation, tillämpade standarder och underskrift av ett auktoriserat ombud.
Artikel 13 - Tillverkares skyldigheter
CRA Artikel 13 fastställer de centrala tillverkarskyldigheterna: säkerhet genom design, SBOM-underhåll, sårbarhethantering, tillhandahållande av säkerhetsuppdateringar under hela produktens livscykel och underhåll av teknisk dokumentation i minst 10 år.
Artikel 14 - Rapporteringsskyldigheter
CRA Artikel 14 kräver att tillverkare rapporterar aktivt utnyttjade sårbarheter till ENISA inom 24 timmar (tidig varning), 72 timmar (detaljerad rapport) och 14 dagar (slutrapport). Allvarliga incidenter följer samma mönster men med en deadline för slutrapport på 30 dagar.
C
CE-märkning
Europeisk överensstämmelsemärkning som indikerar efterlevnad av EU-lagstiftning. Enligt CRA måste produkter med digitala element bära CE-märkning. Kräver slutförande av bedömning av överensstämmelse och EU-försäkran om överensstämmelse.
Bedömning av överensstämmelse
Process för att verifiera att en produkt uppfyller CRA:s väsentliga krav på cybersäkerhet. Standardprodukter kan använda egenbedömning (Modul A), medan Viktig klass I, Klass II och Kritiska produkter kräver tredjepartsbedömning av anmälda organ.
CRA - Cyber Resilience Act
EU-förordning 2024/2847 som fastställer obligatoriska cybersäkerhetskrav för produkter med digitala element (PDEs) som säljs i EU. Trädde i kraft den 10 december 2024. Huvudskyldigheter gäller från och med den 11 december 2027.
CSAF - Gemensamt ramverk för säkerhetsrådgivning
OASIS-standard för maskinläsbara säkerhetsrådgivningar. Möjliggör automatiserad behandling av sårbarhetsinformation. Används för samordnad sårbarhetsinformation (CVD) och ENISA-rapportering.
CSIRT - Computer Security Incident Response Teams
Utsedda cybersäkerhetsorgan som tillverkare måste meddela om aktivt utnyttjade sårbarheter och betydande incidenter enligt CRA artikel 14, och som samordnar med ENISA om EU-nivårespons på sårbarheter.
CVD - Samordnad sårbarhetsdisklosure
Process för att ansvarsfullt avslöja säkerhetsbrister för leverantörer. CRA-artikel 13(8) kräver att tillverkare upprättar och publicerar CVD-policyer.
CVE - Vanliga sårbarheter och exponeringar
Standardiserat identifierare för allmänt kända cybersäkerhetssårbarheter (t.ex. CVE-2024-12345). Hanteras av MITRE Corporation.
CVSS - Gemensamt poängsystem för sårbarheter
Industristandard för bedömning av sårbarhetens allvarlighetsgrad på en 0-10-skala. CVSS 4.0 är den senaste versionen. Kritisk (9,0-10,0), Hög (7,0-8,9), Medel (4,0-6,9), Låg (0,1-3,9).
CycloneDX
OWASP-standard för att skapa programvarubommar (SBOMs) och relaterade artefakter. Stöder SBOM, VEX, HBOM, SaaSBOM och mer. Version 1.5+ rekommenderas. Refererad av BSI TR-03183.
Kritisk produkt — CRA-bilaga IV
Produkter med digitala element som utför väsentliga cybersäkerhetsfunktioner för andra produkter, nätverk eller tjänster. Listade i CRA Bilaga IV inkluderar dessa maskinvarusäkerhetsmoduler (HSM), smartkortläsare, säkra element och maskinvaruenheter med säkerhetsboxar. Kritiska produkter kräver europeisk cybersäkerhetscertifiering under ett tillämpligt system, eller — där inget system finns — tredjepartsbedömning av överensstämmelse av ett anmält organ.
D
Standard-produktkategori
Produkter med digitala element som inte faller under kategorierna Viktig eller Kritisk som definieras i CRA Bilagorna III och IV. Standardprodukter kan genomgå bedömning av överensstämmelse genom intern kontroll (egenbedömning) av tillverkaren enligt CRA Bilaga VIII, utan tredjepartsinblandning. Detta täcker den stora majoriteten av konsument- och kommersiell programvara och hårdvara.
Distributör
Varje enhet i leveranskedjan, annan än tillverkaren eller importören, som gör en produkt med digitala element tillgänglig på EU-marknaden. Distributörer måste verifiera att produkten bär CE-märkning och åtföljs av EU:s försäkran om överensstämmelse innan den görs tillgänglig. Om en distributör modifierar produkten blir den en tillverkare enligt CRA.
E
ENISA - Europeiska unionens cybersäkerhetsbyrå
EU-byrå ansvarig för cybersäkerhetspolicy och incidentsamordning. Enligt CRA måste tillverkare rapportera aktivt utnyttjade sårbarheter till ENISA inom 24 timmar och allvarliga incidenter inom 72 timmar. Rapporteringsskyldigheten börjar den 11 september 2026.
EPSS - System för förutsägelse av exploateringsrisk
FIRST.org-modell som beräknar sannolikheten (0-100 %) att en sårbarhet utnyttjas i verkligheten inom de närmaste 30 dagarna. Används för riskbaserad sårbarhetsprioritering. Högre EPSS = högre prioritet för åtgärd.
EU-försäkran om överensstämmelse
Formellt dokument som anger att en produkt uppfyller tillämplig EU-lagstiftning inklusive CRA. Måste undertecknas av tillverkaren eller behörig representant. Krävs för CE-märkning.
H
HBOM - Hardware Bill of Materials
Maskinläsbart lager av hårdvarukomponenter i en produkt, inklusive processorer, minne, integrerade kretsar och firmware. Kompletterar SBOM för fullständig produkttransparens.
Harmoniserade standarder
Europeiska standarder antagna av erkända standardiseringsorgan (CEN, CENELEC, ETSI) och refererade i EU:s officiella tidning. Produkter som uppfyller harmoniserade standarder drar nytta av en presumtion om överensstämmelse med motsvarande väsentliga CRA-krav, vilket förenklar bedömningen av överensstämmelse.
I
Importör
En EU-etablerad enhet som placerar en produkt med digitala element från en tillverkare utanför EU på den europeiska marknaden. Importörer måste verifiera att tillverkaren har genomfört bedömningen av överensstämmelse, att CE-märkning är tillämpad och att teknisk dokumentation är tillgänglig. De delar ansvar för produkter som inte uppfyller kraven.
Viktig produkt (klass I) — CRA-bilaga III, del I
Produkter med digitala element som utför en cybersäkerhetsrelevant funktion eller bär förhöjd risk. Klass I inkluderar identitetshanteringssystem, VPN, nätverkshanteringsverktyg, SIEM-system, starthanterare och andra kategorier listade i CRA Bilaga III Del I. Tillverkare måste antingen tillämpa harmoniserade standarder som täcker alla väsentliga krav (möjliggör egenbedömning), eller genomgå tredjepartsbedömning av överensstämmelse av ett anmält organ.
Viktig produkt (klass II) — CRA-bilaga III, del II
Produkter med digitala element som utför kritiska cybersäkerhetsfunktioner och bär betydande risk. Klass II inkluderar operativsystem, hypervisorer, brandväggar, intrångsdetekteringssystem, mikrokontrollers, industriella automationssystem och andra kategorier listade i CRA Bilaga III Del II. Dessa produkter kräver alltid tredjepartsbedömning av överensstämmelse av ett anmält organ, oavsett om harmoniserade standarder finns.
K
KEV - Kända utnyttjade sårbarheter
CISA:s auktoritativa katalog över sårbarheter som aktivt utnyttjas i verkligheten. Högsta prioritet för åtgärd. Federala myndigheter måste åtgärda KEV-sårbarheter inom angivna tidsramar.
M
Tillverkare
Den enhet som utvecklar eller producerar en produkt med digitala element och placerar den på EU-marknaden under eget namn eller varumärke. Tillverkare bär de primära CRA-skyldigheterna: genomföra riskbedömningar, underhålla SBOM:er, hantera sårbarheter, tillhandahålla säkerhetsuppdateringar i minst fem år och rapportera utnyttjade sårbarheter till ENISA.
N
NVD - National Vulnerability Database
Amerikansk statlig databas med sårbarhetsdatadata underhållen av NIST. Byggd på CVE-identifierare. Tillhandahåller CVSS-poäng, CPE-information och CWE-klassificeringar.
Anmält organ
Oberoende organ för bedömning av överensstämmelse utsett av ett EU-medlemsland för att bedöma om produkter uppfyller regulatoriska krav. Krävs för tredjepartsbedömning av överensstämmelse för Viktig klass I, Klass II och Kritiska produkter enligt CRA Bilagorna III och IV.
O
OSV.dev - Öppen källkod sårbarhetsdatabas
Databas för sårbarheter i öppen källkod underhållen av Google. Aggregerar säkerhetsrådgivningar från GitHub (GHSA), Go, Rust, PyPI och 15+ ekosystem till ett enda sökbart API. CRA Evidence använder OSV.dev som en sekundär sårbarhetskälla vid sidan av NVD för att fånga rådgivningar som ekosystemspecifika databaser spårar innan de får CVE-ID.
P
PDE - Produkt med digitala element
Alla programvaru- eller hårdvaruprodukter med en anslutning (direkt eller indirekt) till en annan enhet eller ett nätverk. Kärnan i CRA-förordningens tillämpningsområde. Inkluderar IoT-enheter, industriell utrustning, konsumentelektronik och fristående programvara.
PURL - Paket-URL
Standardiserat format för att identifiera programvarupaket i olika ekosystem (t.ex. pkg:npm/lodash@4.17.21). Används i SBOMs för att unikt identifiera komponenter.
R
RDPS - Lösningar för fjärrdatabehandling
Cloud or SaaS functionality that processes data remotely as part of a product with digital elements. Falls within the product's CRA conformity assessment scope if it meets a three-part test: data is processed 'at a distance', the product would lose a core function without it, and it is designed by or under the responsibility of the manufacturer. Third-party SaaS that does not meet this test must still be treated as a component under Article 13(5) due diligence.
Riskbedömning
Systematisk process för att identifiera, analysera och utvärdera cybersäkerhetsrisker kopplade till en produkt med digitala element. Krävs enligt CRA Artikel 13(2) och måste dokumenteras i den tekniska filen. Täcker hot, sårbarheter, potentiell påverkan och riskminskningsåtgärder under hela produktens livscykel.
S
SBOM - Software Bill of Materials
Formellt, maskinläsbart lager av programvarukomponenter och beroenden, inklusive versioner, licenser och relationer. Krävs av CRA-artikel 13(4) för sårbarhetshantering och transparens i leveranskedjan.
SPDX - Utbyte av programvarupaketdata
ISO/IEC 5962:2021-standard för kommunikation av programvarubommsinformation. Utvecklad av Linux Foundation. Version 2.2.1+ rekommenderas för CRA-efterlevnad.
T
Teknisk fil
Komplett dokumentationspaket som visar CRA-efterlevnad. Inkluderar riskbedömning, SBOM, säkerhetsdesigndokumentation, procedurer för sårbarhetshantering, testresultat och EU-försäkran om överensstämmelse. Måste bevaras i 10 år eller produktens livstid.
TR-03183
Tyska BSI:s tekniska riktlinje som ger detaljerade krav för SBOM-skapande och hantering. Används allmänt som bästa praxis för CRA-artikel 13-efterlevnad. Specificerar minimala SBOM-fält, format och uppdateringskrav.
V
VKB - Sårbarhetsdatabas
En kontinuerligt uppdaterad sårbarhetsdatabas som aggregerar advisories från flera källor — t.ex. NVD/cvelistV5, OSV.dev, GitHub Advisories, CISA KEV och EPSS — till en enda sökbar kunskapsbas. Istället för att skanna beroenden på begäran mot en enda källa underhåller en VKB en lokal spegel av alla kända sårbarheter och matchar dem mot programvarukomponenter allt eftersom nya CVE:er publiceras. Detta minskar detekteringsfördröjningen från timmar eller dagar till minuter, och korsreferensering av flera källor minskar risken för missade advisories.
VEX - Utbyte om sårbarhetsutnyttjbarhet
Dokument som kommunicerar utnyttjandebarhetsstatusen för sårbarheter i en specifik produkt. Anger om ett CVE påverkar din produkt. Hjälper nedströmsanvändare att minska varningströtthet.
Redo att bli CRA-klar?
CRA Evidence hjälper dig att hantera SBOMs, spåra sårbarheter och generera revisionsfärdig dokumentation.