Införande och programledning

Teknisk implementering och programledning för EU:s Cyber Resilience Act.

Behöver du någon som äger ditt CRA-program? Vi leder det tekniska arbetet tillsammans med ditt team och använder de verktyg som passar din teknikstack.

Boka ett kostnadsfritt CRA-roadmap-samtal
Ny för cyberresiliensförordningen? Läs vår kostnadsfria CRA-efterlevnadsguide
Så arbetar vi

Tre situationer, tre engagemang.

Varje engagemang matchar en specifik situation: att förbereda sig inför rapporteringsfristen den 11 september 2026, att driva det tvärfunktionella CRA-arbetet som ditt team inte har kapacitet att äga, eller att rusta sig inför den första rapporteringspliktiga sårbarheten eller det första myndighetsbrevet.

Omfattningen är fast och överenskommen i förväg. Längden diskuteras under roadmap-samtalet, eftersom faktiska tidsplaner beror på antalet produkter och hur mycket förarbete som redan finns.

Välj den som passar

CRA Technical Readiness Sprint

Engagemang med fast omfattning
För vem passar detta

Tillverkare utan intern CRA-ägare, med en till tre produktlinjer, som förbereder sig inför rapporteringsfristen den 11 september 2026.

Det här går du därifrån med
  • En skriftlig CRA-omfattningspromemoria per produktlinje, som täcker skyldigheterna i Artikel 13 och klassificeringsbeslut
  • En prioriterad gapanalys mot Bilaga I, med en åtgärdsplan som din tekniska ledare kan genomföra
  • En teknisk dokumentation i linje med Bilaga VII, godkänd av din tekniska ledare
  • En operativ process för sårbarhetshantering som ditt team kör löpande, inte en engångsskanning
  • En skriftlig runbook för sårbarhetsrapportering kopplad till tidsramarna i Artikel 14
Omfattning och pris fastställs under roadmap-samtalet.

CRA Programme Lead

Löpande retainer, takt överenskommen med ditt team
För vem passar detta

Företag där ingen äger det tvärfunktionella CRA-arbetet och där grundaren eller CTO:n bär det informellt.

Det här går du därifrån med
  • Tekniskt ägarskap av ditt CRA-program, med en arbetstakt överenskommen med dina produkt-, utvecklings- och säkerhetsteam
  • En levande skyldighetskalender kopplad till CRA-frister, som hålls aktuell i takt med att skyldigheter och standarder utvecklas
  • En teknisk dokumentation som hålls aktuell i takt med att dina produkter levereras, inte ett dokument som förfaller mellan revisioner
  • En operativ process för sårbarhetsrespons som din jouringenjör kan köra utan oklarheter
  • Regelbundna efterlevnadsgenomgångar mot skyldigheterna i Bilaga I, med eskaleringsvägar överenskomna i förväg
Omfattning och pris fastställs under roadmap-samtalet.

Plan för tillsynsmyndigheter och incidenthantering

Uppsättningsengagemang plus jourretainer
För vem passar detta

Team vars verkliga oro är den första rapporteringspliktiga sårbarheten eller det första brevet från ENISA eller en nationell myndighet.

Det här går du därifrån med
  • En skriftlig playbook för incidenthantering som din jouringenjör kan följa under rapporteringstiden i Artikel 14
  • Förberedda mallar för tidig varning och incidentanmälan för varje nationell CSIRT du behöver anmäla till
  • Ett jourfönster för svar som täcker rapporteringspliktiga incidenter under retainerperioden
  • En runbook för att ta fram ett komplett bevispaket när en marknadskontrollmyndighet begär det
Omfattning och pris fastställs under roadmap-samtalet.

Pris per engagemang

Vi publicerar inte prisintervall. Formen på ett CRA-engagemang beror på din roll enligt förordningen, den tekniska komplexiteten i dina produkter och hur mycket förarbete som redan finns. En startup med en komplex inbyggd produkt är ett annat engagemang än en tillverkare med ett dussin enklare SKU:er. Den exakta summan fastställs under ett 30-minuters roadmap-samtal, med ett skriftligt förslag med avgränsad omfattning inom 48 timmar.

Vi arbetar med dina befintliga verktyg

Varje engagemang är verktygsoberoende. Vi leder det tekniska arbetet inom din teknikstack, oavsett om det är öppen källkod (CycloneDX, SPDX, Grype, Trivy), kommersiella verktyg du redan betalar för eller interna system som ditt team har byggt. Där CRA Evidence-plattformen passar erbjuder vi den, men den är aldrig ett krav och aldrig leveransen. Leveranserna är efterlevnadsresultaten.

Därför fungerar det

Vi byggde CRA Evidence mot hela texten i Förordning (EU) 2024/2847, Bilagorna I till VIII och de 41 harmoniserade standarder som omfattas av kommissionens standardiseringsbegäran M/606. Plattformen kopplar varje skyldighet till bevis, arbetsflöde och rapportering. Samma koppling driver varje engagemang.

CRA Evidence byggdes av ingenjörer med bakgrund inom infrastruktur och molnsäkerhet på europeiska teknikföretag. Plattformen och varje engagemang speglar den operativa bakgrunden.

Vi tar oss an ett begränsat antal nya CRA-program varje kvartal för att hålla leveranskvaliteten hög. Varje engagemang leds av samma seniora personer som bygger plattformen.

Det här händer under 30-minuterssamtalet

Ett arbetssamtal, inte en säljpitch. Det täcker tre saker, i tur och ordning:

1
Din roll enligt förordningen. Tillverkare, importör och distributör har olika skyldigheter. Att få det rätt avgör vilket engagemang som passar.
2
Vilket engagemang som passar, eller om enbart plattformen är rätt val. Alla företag behöver inte stöd med införande. Om enbart plattformen är det bättre valet säger vi det.
3
Ett avgränsat förslag inom 48 timmar. Efter samtalet får du ett skriftligt förslag med omfattning, leveranser och pris för din specifika situation.

Omfattning och begränsningar

CRA Evidence tillhandahåller en efterlevnadsplattform och tekniska införandetjänster. Vi är tydliga med vad vi är och vad vi inte är.

Vi är inte ett anmält organ. Vi utför inte bedömning av överensstämmelse enligt Artikel 32 i Förordning (EU) 2024/2847, och våra tjänster utgör varken en bedömning av överensstämmelse eller en certifiering av dina produkter. Om din produkt kräver bedömning av överensstämmelse av tredje part måste du anlita ett ackrediterat anmält organ.

Vi är inte en advokatbyrå. Vi ger inte juridisk rådgivning. För tolkning av regelverket, juridiska bedömningar av produktklassificering eller frågor om avtalsmässig efterlevnad arbetar vi vid sidan av din juridiska rådgivare.

Vi är en kommersiell leverantör av CRA Evidence-plattformen. Våra införandetjänster är oberoende av plattformen: vi arbetar inom de verktyg som passar din situation, inklusive öppen källkod, kommersiell programvara från tredje part som du redan betalar för och vår egen plattform där den passar bäst. Om dina behov tillgodoses bättre av verktyg eller tjänster utanför vår produkt säger vi det.

Vanliga frågor

Båda, och de är oberoende av varandra. CRA Evidence är en SaaS-plattform för efterlevnad av cyberresiliensförordningen som du kan använda som självbetjäning, och vi levererar också praktiska införandetjänster som leds av infrastrukturingenjörer. Tjänsterna är verktygsoberoende: vi arbetar inom din befintliga teknikstack med öppen källkod, kommersiella verktyg du redan betalar för eller vår plattform om det passar bäst. Det finns tre engagemang med fast omfattning: en Technical Readiness Sprint för tillverkare som förbereder sig inför rapporteringsfristen den 11 september 2026, en Programme Lead-retainer för löpande tekniskt ägarskap av ditt CRA-program och en plan för tillsynsmyndigheter och incidenthantering för sårbarhetsrapportering och marknadskontrollbrev.

Vi publicerar inte prisintervall eftersom omfattningen beror på för många faktiska variabler: din roll enligt förordningen, den tekniska komplexiteten i varje produkt, hur många produkter du levererar, hur mycket internt förarbete som redan finns och vilka verktyg du redan använder. En startup med en komplex inbyggd produkt är ett annat engagemang än en tillverkare med ett dussin enklare SKU:er. Den exakta summan fastställs under ett 30-minuters roadmap-samtal, med ett skriftligt förslag med avgränsad omfattning i din inkorg inom 48 timmar.

Nej på båda punkterna. CRA Evidence är inte ett anmält organ. Vi utför inte bedömning av överensstämmelse enligt Artikel 32 i Förordning (EU) 2024/2847, och våra tjänster utgör inte en certifiering av dina produkter. Om din produkt kräver bedömning av överensstämmelse av tredje part måste du anlita ett ackrediterat anmält organ. CRA Evidence är heller inte en advokatbyrå. För tolkning av regelverket och juridiska bedömningar arbetar vi vid sidan av din egen juridiska rådgivare.

Big Four-byråerna levererar strategisk och juridisk rådgivning, men de bygger eller driftar sällan de tekniska system som gör CRA-efterlevnaden hållbar. CRA Evidence-engagemang leds av ingenjörer inom infrastruktur och molnsäkerhet som arbetar tillsammans med ditt utvecklingsteam för att skriva den tekniska dokumentationen, etablera en process för sårbarhetshantering och integrera bevisgenerering i dina befintliga pipelines. Leveranserna är operativa och körs inom din teknikstack, inte en presentation.

CTO:er, VP Engineering, ansvariga för produktsäkerhet och efterlevnadsansvariga hos EU-tillverkare, importörer och distributörer av produkter med digitala element. Samtalet är mest värdefullt när du redan vet att du har CRA-skyldigheter men ingen i ditt team har kapacitet att äga det tvärfunktionella arbetet. Om du fortfarande reder ut om CRA gäller dig, börja med den kostnadsfria CRA Applicability Check.

Cyberresiliensförordningen gäller alla tillverkare, importörer eller distributörer som tillhandahåller produkter med digitala element på EU-marknaden, inom alla branscher och oavsett företagsstorlek. Våra engagemang är mest värdefulla när CRA-skyldigheterna är verkliga men inget internt team äger det tvärfunktionella arbetet, oavsett om det är en startup på 15 personer som levererar sin första uppkopplade produkt eller en större tillverkare med dussintals produktlinjer. Om du är osäker på om din situation passar, boka roadmap-samtalet så säger vi som det är.

Ja. Plattform och tjänster är oberoende av varandra. Du kan köra CRA Evidence-plattformen som självbetjäning med en kostnadsfri 14-dagars testperiod och rollbaserad prissättning, utan att någonsin anlita oss för konsultation. Tjänster riktar sig till företag där ingen internt äger det tvärfunktionella CRA-arbetet, eller där den första rapporteringspliktiga sårbarheten eller det första myndighetsbrevet är en konkret oro. Och tjänsterna kräver inte heller vår plattform: engagemanget fungerar med vilka verktyg som än passar din teknikstack. Se prissättning för självbetjäningsplaner.

Cyberresiliensförordningen gäller alla företag som tillhandahåller produkter med digitala element på EU-marknaden, oavsett var företaget har sitt huvudkontor. Tjänsteengagemang levereras för närvarande på engelska till företag i Europeiska unionen. Tillverkare, importörer och distributörer utanför EU med exponering mot EU-marknaden är välkomna att boka ett roadmap-samtal för att diskutera passformen.

11 september 2026 är det datum från vilket skyldigheterna att rapportera sårbarheter och incidenter enligt Artikel 14 i Förordning (EU) 2024/2847 börjar gälla. Tillverkare måste kunna anmäla aktivt utnyttjade sårbarheter och allvarliga incidenter till ENISA och berörd nationell CSIRT inom 24 timmar, med en uppföljande anmälan efter 72 timmar och en slutrapport efter 14 dagar. Hela CRA blir tillämplig den 11 december 2027. Se vår CRA-efterlevnadsguide för hela tidslinjen.
Nästa steg

Om din situation passar ett av de tre engagemangen, eller om du är osäker på var den passar, berätta för oss så återkommer vi inom 48 timmar.

Du får ett avgränsat skriftligt förslag i din inkorg, utan påtryckningar att gå vidare.

Ta kontakt

Vill du hellre boka en tid direkt? Boka ett 30-minuters roadmap-samtal.