Teknisk implementering och programledning för EU:s Cyber Resilience Act

Behöver du någon som äger ditt CRA-program? Vi leder det tekniska arbetet tillsammans med ditt team och använder de verktyg som passar din teknikstack.

CRA-rapporteringsskyldigheter börjar den 11 september 2026. Planera ditt program nu.

Boka ett kostnadsfritt CRA-roadmap-samtal
Ny för cyberresiliensförordningen? Läs vår kostnadsfria CRA-efterlevnadsguide
Så arbetar vi

Tre vanliga utgångspunkter. Varje uppdrag anpassas efter din situation.

Det här är de tre situationer vi ser oftast: att förbereda dig inför rapporteringsfristen den 11 september 2026, att ta över det tvärfunktionella CRA-arbete som ditt team inte har kapacitet att äga, eller att göra dig redo för den första rapporteringspliktiga sårbarheten eller det första myndighetsbrevet. De flesta uppdrag är en blandning, och många liknar inte den här listan alls. Vi anpassar oss efter den situation du faktiskt befinner dig i.

Omfattningen är fast och överenskommen i förväg. Längden diskuteras under roadmap-samtalet, eftersom faktiska tidsplaner beror på antalet produkter och hur mycket förarbete som redan finns.

Var team oftast börjar

CRA-sprint för teknisk beredskap

För vem passar detta

Tillverkare utan intern CRA-ägare, med en till tre produktlinjer, som måste vara redo för rapportering enligt Artikel 14 från den 11 september 2026 samtidigt som de bygger den tekniska dokumentationen och kontrollerna i Bilaga I som krävs för full CRA-tillämpning den 11 december 2027.

Det här får du
  • En skriftlig CRA-omfattningspromemoria per produktlinje, som täcker skyldigheterna i Artikel 13 och klassificeringsbeslut
  • En prioriterad gapanalys mot Bilaga I, med en åtgärdsplan som din tekniska ledare kan genomföra
  • CRA teknisk dokumentation enligt Bilaga VII, signerad av din engineering-lead
  • En operativ process för sårbarhetshantering som ditt team kör löpande, inte en engångsskanning
  • En skriftlig runbook för sårbarhetsrapportering kopplad till tidsramarna i Artikel 14

CRA-programledning

För vem passar detta

Företag där ingen äger det tvärfunktionella CRA-arbetet och där grundaren eller CTO:n bär det informellt.

Det här tar vi ägarskap för
  • Ägarskap för CRA-programmet, där CRA Evidence samordnar arbetet mellan produkt, utveckling, säkerhet och ledning
  • Implementeringsstöd för tekniska kontroller, bevisluckor och omfattningsfrågor som blockerar framdrift
  • En levande skyldighetskalender kopplad till CRA-frister, produktreleaser, standarder och öppna ansvarspunkter
  • En teknisk dokumentation som vi håller aktuell när dina produkter levereras, så att bevis inte blir inaktuella mellan revisioner
  • Operativt ägarskap för sårbarhetsrespons, med genomgångar mot skyldigheterna i Bilaga I och överenskomna eskaleringsvägar

Plan för tillsynsmyndigheter och incidenthantering

För vem passar detta

Team vars verkliga oro är den första rapporteringspliktiga sårbarheten eller det första brevet från ENISA eller en nationell myndighet.

Det här ingår
  • En skriftlig playbook för incidenthantering som din jouringenjör kan följa under rapporteringstiden i Artikel 14
  • Förberedda mallar för tidig varning och incidentanmälan för varje nationell CSIRT du behöver anmäla till
  • Ett jourfönster för svar som täcker rapporteringspliktiga incidenter under retainerperioden
  • En runbook för att ta fram ett komplett bevispaket när en marknadskontrollmyndighet begär det
Inte med på listan?

Ser din situation annorlunda ut?

Många team passar inte prydligt in i någon av de tre, och det är helt okej. De flesta uppdrag blir till slut en blandning, och vissa är något helt annat. Berätta vad du faktiskt brottas med, så formar vi ett uppdrag efter det. I roadmap-samtalet reder vi ut rätt upplägg, eller om självbetjäning är ett bättre val.

Boka ett kostnadsfritt CRA-roadmap-samtal →

Pris per engagemang

Vi publicerar inte prisintervall. Formen på ett CRA-engagemang beror på din roll enligt förordningen, den tekniska komplexiteten i dina produkter och hur mycket förarbete som redan finns. En startup med en komplex inbyggd produkt är ett annat engagemang än en tillverkare med ett dussin enklare SKU:er. Den exakta summan fastställs under ett 30-minuters roadmap-samtal, med ett skriftligt förslag med avgränsad omfattning inom 48 timmar.

Vi arbetar med dina befintliga verktyg

Varje engagemang är verktygsoberoende. Vi leder det tekniska arbetet inom din teknikstack, oavsett om det är öppen källkod (CycloneDX, SPDX, Grype, Trivy), kommersiella verktyg du redan betalar för eller interna system som ditt team har byggt. Där CRA Evidence-plattformen passar erbjuder vi den, men den är aldrig ett krav och aldrig leveransen. Leveranserna är efterlevnadsresultaten.

Därför fungerar det

Vi byggde CRA Evidence mot hela texten i Förordning (EU) 2024/2847, Bilagorna I till VIII och de 41 harmoniserade standarder som omfattas av kommissionens standardiseringsbegäran M/606. Plattformen kopplar varje skyldighet till bevis, arbetsflöde och rapportering. Samma koppling driver varje engagemang.

CRA Evidence byggdes av ingenjörer som har levererat produkter, drivit sårbarhetsprogram och underhållit tekniska bevis vid europeiska teknikbolag. Plattformen och varje uppdrag återspeglar den operativa bakgrunden.

Vi tar oss an ett begränsat antal nya CRA-program varje kvartal för att hålla leveranskvaliteten hög. Varje engagemang leds av samma seniora personer som bygger plattformen.

Det här händer under 30-minuterssamtalet

Ett arbetssamtal, inte en säljpitch. Det täcker tre saker, i tur och ordning:

1
Din roll enligt förordningen. Skyldigheter för tillverkare och importörer skiljer sig åt. Rena distributörsfall passar oftast bättre för självbetjäningsvägledning, och att få det rätt avgör vilket engagemang som passar.
2
Vilket engagemang som passar, eller om enbart plattformen är rätt val. Alla företag behöver inte stöd med införande. Om enbart plattformen är det bättre valet säger vi det.
3
Ett avgränsat förslag inom 48 timmar. Efter samtalet får du ett skriftligt förslag med omfattning, leveranser och pris för din specifika situation.

Omfattning och begränsningar

CRA Evidence tillhandahåller en efterlevnadsplattform och tekniska införandetjänster. Vi är tydliga med vad vi är och vad vi inte är.

Vi är inte ett anmält organ. Vi utför inte bedömning av överensstämmelse enligt Artikel 32 i Förordning (EU) 2024/2847, och våra tjänster utgör varken en bedömning av överensstämmelse eller en certifiering av dina produkter. Om din produkt kräver bedömning av överensstämmelse av tredje part måste du anlita ett ackrediterat anmält organ.

Vi är inte en advokatbyrå. Vi ger inte juridisk rådgivning. För tolkning av regelverket, juridiska bedömningar av produktklassificering eller frågor om avtalsmässig efterlevnad arbetar vi vid sidan av din juridiska rådgivare.

Vi är en kommersiell leverantör av CRA Evidence-plattformen. Våra införandetjänster är oberoende av plattformen: vi arbetar inom de verktyg som passar din situation, inklusive öppen källkod, kommersiell programvara från tredje part som du redan betalar för och vår egen plattform där den passar bäst. Om dina behov tillgodoses bättre av verktyg eller tjänster utanför vår produkt säger vi det.

Vanliga frågor

Båda, och de är oberoende av varandra. CRA Evidence är en SaaS-plattform för efterlevnad av cyberresiliensförordningen som du kan använda som självbetjäning, och vi levererar också praktiska införandetjänster som leds av infrastrukturingenjörer. Tjänsterna är verktygsoberoende: vi arbetar inom din befintliga teknikstack med öppen källkod, kommersiella verktyg du redan betalar för eller vår plattform om det passar bäst. Tre uppdrag täcker de vanligaste situationerna: en Sprint för teknisk beredskap för tillverkare som förbereder sig inför rapporteringsfristen den 11 september 2026, en Programledning-retainer för löpande tekniskt ägarskap av ditt CRA-program och en plan för tillsynsmyndigheter och incidenthantering för sårbarhetsrapportering och marknadskontrollbrev. De flesta uppdrag är en blandning av dessa, och när din situation inte matchar något formar vi ett skräddarsytt uppdrag.

Vi publicerar inte prisintervall eftersom omfattningen beror på för många faktiska variabler: din roll enligt förordningen, den tekniska komplexiteten i varje produkt, hur många produkter du levererar, hur mycket internt förarbete som redan finns och vilka verktyg du redan använder. En startup med en komplex inbyggd produkt är ett annat engagemang än en tillverkare med ett dussin enklare SKU:er. Den exakta summan fastställs under ett 30-minuters roadmap-samtal, med ett skriftligt förslag med avgränsad omfattning i din inkorg inom 48 timmar.

Nej på båda punkterna. CRA Evidence är inte ett anmält organ. Vi utför inte bedömning av överensstämmelse enligt Artikel 32 i Förordning (EU) 2024/2847, och våra tjänster utgör inte en certifiering av dina produkter. Om din produkt kräver bedömning av överensstämmelse av tredje part måste du anlita ett ackrediterat anmält organ. CRA Evidence är heller inte en advokatbyrå. För tolkning av regelverket och juridiska bedömningar arbetar vi vid sidan av din egen juridiska rådgivare.

Big Four-firmor levererar strategisk och juridisk rådgivning men bygger eller driver sällan de tekniska systemen som gör CRA-compliance hållbar. CRA Evidence-uppdrag leds av ingenjörer som arbetar tillsammans med ditt team för att skriva den tekniska filen, sätta upp en sårbarhetsprocess och integrera bevisgenerering i dina befintliga pipelines. Leveranserna är operativa, körs i din stack, inte ett bildspel.

CTO:er, VP Engineering, ansvariga för produktsäkerhet och efterlevnadsansvariga hos tillverkare eller importörer som släpper ut produkter med digitala element på EU-marknaden. Samtalet är mest värdefullt när du redan vet att du har CRA-skyldigheter men ingen i ditt team har kapacitet att äga det tvärfunktionella arbetet. Om du fortfarande reder ut om CRA gäller dig, börja med den kostnadsfria CRA Applicability Check.

Alla branscher, alla storlekar. CRA gäller över hela linjen, oavsett om du är en 15-personers startup som skickar din första uppkopplade produkt eller en tillverkare med dussintals produktlinjer. Uppdrag är mest användbara när CRA-skyldigheterna är verkliga men inget internt team äger det tvärfunktionella arbetet ännu.

Ja. Plattform och tjänster är oberoende av varandra. Du kan köra CRA Evidence-plattformen som självbetjäning med en kostnadsfri 14-dagars testperiod och rollbaserad prissättning, utan att någonsin anlita oss för konsultation. Tjänster riktar sig till företag där ingen internt äger det tvärfunktionella CRA-arbetet, eller där den första rapporteringspliktiga sårbarheten eller det första myndighetsbrevet är en konkret oro. Och tjänsterna kräver inte heller vår plattform: engagemanget fungerar med vilka verktyg som än passar din teknikstack. Se prissättning för självbetjäningsplaner.

Ja. Cyberresiliensförordningen gäller för varje företag som släpper ut produkter med digitala element på EU-marknaden, oavsett var företaget har sitt huvudkontor. Om du skickar produkter till EU omfattas du och vi kan hjälpa dig. Uppdrag levereras på engelska.

11 september 2026 är det datum från vilket skyldigheterna att rapportera sårbarheter och incidenter enligt Artikel 14 i Förordning (EU) 2024/2847 börjar gälla. Tillverkare måste kunna anmäla aktivt utnyttjade sårbarheter och allvarliga incidenter till ENISA och berörd nationell CSIRT inom 24 timmar, med en uppföljande anmälan efter 72 timmar och en slutrapport efter 14 dagar för sårbarheter eller inom en månad för allvarliga incidenter. Hela CRA blir tillämplig den 11 december 2027. Se vår CRA-efterlevnadsguide för hela tidslinjen.
Nästa steg

Om ett av de här engagemangen passar, berätta vilket. Om ditt CRA-implementeringsbehov är annorlunda, berätta vad du behöver hjälp med.

Du får ett avgränsat skriftligt förslag i din inkorg, utan påtryckningar att gå vidare.

Kontakta oss

Vill du hellre boka en tid direkt? Boka ett 30-minuters roadmap-samtal.