Secify.com

Cyberresiliensförordningen - ett nytt ramverk för cybersäkerhet i EU

27 februari, 2025
Uppskattad lästid: 3 min

I den här artikeln kommer vi att utforska den nya Cyberresiliensförordningen (Cyber Resilience Act, CRA) – ett regelverk som syftar till att stärka cybersäkerheten i produkter med digitala element inom hela EU. Vi går igenom varför förordningen har införts, vilka krav den ställer, vilka företag och produkter som berörs samt hur ni kan förbereda er för att säkerställa efterlevnad. Oavsett om ni är tillverkare, leverantörer eller användare av digitala produkter är det viktigt att förstå vad CRA innebär och hur den kan påverka er verksamhet.

Under hösten 2024 släppte vi en lägesbild för svensk industrisektor där vi bl.a. tittade på geopolitiska faktorer, leveranskedjeutmaningar, tekniska sårbarheter, och mycket annat. Det blev tydligt att svensk industrisektor har kommit otroligt långt i utvecklingen – svensk industri har kommit långt i digitaliseringen, och innovationerna är många. Baksidan av myntet stavas cybersäkerhet, där industrisektorn har en historisk skuld som det börjar bli hög tid att betala av på. För att möta utmaningarna och stärka säkerheten trädde Cyberresiliensförordningen (på engelska Cyber Resilience Act, förkortat CRA) i kraft i december 2024. Regelverket är från början en förordning från EU som antagits till svensk lagstiftning och innebär en milstolpe för att förbättra cybersäkerheten i uppkopplade produkter. I den här artikeln går vi igenom vad CRA innebär, syftet med regelverket, vilka det berör, och hur man bör agera.

En dator som infekteras och plockas isär av angripare

Varför behövs CRA?

Cyberangrepp har blivit allt vanligare och mer sofistikerade även inom industrisektorn, och produkter med digitala komponenter är särskilt sårbara och kan dessutom ha en stor påverkan i samhället. Med en ökande integration av digitala system i allt från hushållsapparater till kritisk infrastruktur har behovet av en enhetlig reglering för cybersäkerhet blivit akut. CRA svarar på detta genom att skapa tydliga krav på cybersäkerhet som gäller inom hela EU.
Förordningen har tre huvudsakliga syften:

  1. Förbättra cybersäkerheten: Säkerställa att digitala produkter skyddas mot sårbarheter och cyberangrepp.
  2. Förenkla för tillverkare och användare: Införa enhetliga regler för cybersäkerhet inom hela EU.
  3. Stärka EU:s inre marknad: Skapa lika villkor för företag och öka förtroendet för digitala produkter.

Vad omfattar förordningen?

I förordningen framgår att den gäller för ”produkter med digitala element”. Dessa definieras som fysiska produkter som antingen innehåller digitala komponenter eller är integrerade med digitala tjänster. Förordningen ställer krav på tillverkare att säkerställa att dessa produkter är cybersäkra under hela sin livscykel. Dessa krav omfattar bland annat:

  • Design för cybersäkerhet: Produkter måste vara cybersäkra redan från början, det vill säga ”by design”.
  • Säkerhetsuppdateringar: Tillverkare måste säkerställa att man tillhandahåller uppdateringar under produktens hela livscykel.
  • Teknisk dokumentation: Tillverkare måste nu upprätta och underhålla teknisk information om produkternas säkerhetsfunktioner.
  • Rapporteringsplikt: Allvarliga sårbarheter måste rapporteras till relevant tillsynsmyndighet inom 24 timmar. Om användarens säkerhet påverkas måste även användarna informeras.

Genom CRA införs krav för utformning, utveckling, produktion och försäljning av digitala produkter och förordningen är utformad för att undvika överlappande krav i olika rättsakter inom EU.
Nytt är att produkter ska förses med en CE-märkning för att visa att de uppfyller kraven i CRA.
Cyber Resilience Act kommer att gälla för alla produkter som direkt eller indirekt är anslutna till en annan enhet, alternativt till ett nät. Här ska noteras att det finns vissa undantag för produkter som redan omfattas av cybersäkerhetskrav i befintliga EU-regler, till exempel medicintekniska produkter, luftfartsprodukter och bilar. För bristande efterlevnad kommer sanktioner och straffrättsliga påföljder att utdelas.
CRA delar in produkter i tre säkerhetskategorier:

  1. Allmänna produkter: Ingen betydande risk vid bristande cybersäkerhet.
  2. Viktiga produkter: Säkerhetsbrister kan leda till allvarliga konsekvenser.
  3. Kritiska produkter: Utgör centrala delar av kritisk infrastruktur och leveranskedjor.

Vad händer nu?

CRA började gälla i december 2024, men medlemsstaterna och framför allt de organisationer det berör ges tid att anpassa sig. Från december 2025 gäller ett krav på tillverkare att börja rapportera om sårbarheter i produkter. Från december 2026 gäller sedan full tillämpning av samtliga krav i CRA.

I Sverige pågår just nu en utredning om hur EU-förordningen ska tillämpas i svensk lag; utredningen ska lämnas över till regeringen senast 15 december 2025. I utredningsdirektivet har regeringen särskilt begärt att utredaren ska titta på stödåtgärder för små och medelstora företag som påverkas av förordningen.

Det här kan du göra redan nu om du misstänker att du omfattas

Om ni misstänker att ert företag omfattas av CRA är det klokt att börja förbereda er i god tid för att säkerställa att ni uppfyller de kommande kraven. Här är konkreta åtgärder som hjälper er igång:

  1. Identifiera berörda produkter
    Börja med att kartlägga vilka av era produkter som kan tänkas omfattas av CRA. Fokus ligger på uppkopplade enheter, IoT-produkter och mjukvarubaserade lösningar som kan utgöra en potentiell säkerhetsrisk. För varje produkt bör ni göra en riskanalys och dokumentera hur cybersäkerhet hanteras för produkten i nuläget. Glöm inte att även tredjepartsprogramvara kan påverkas och därmed kräva åtgärder.
  2. Genomför en intern säkerhetsrevision
    En säkerhetsgranskning är ett viktigt första steg. Undersök om era produkter uppfyller kraven i grundläggande säkerhetsstandarder och om det finns sårbarheter – t.ex. i kodbasen eller nätverksanslutningarna. Analysera hur säkerhetshanteringen ser ut genom hela produktens livscykel – från design till drift. Identifierade risker för åtgärdas omgående och granskningen bör dokumenteras för att kunna visa på efterlevnad.
  3. Säkerställ effektiva uppdaterings- och supportrutiner
    Ett av kraven i CRA är att ni måste kunna erbjuda säkerhetsuppdateringar under produktens livslängd, vilket kan vara i flera år efter att produkten har släppts på marknaden. Se över era befintliga rutiner för att hantera uppdateringar och patchar. Har ni en process för att snabbt reagera på nya säkerhetshot? Om inte, kan det vara dags att etablera en sådan.
  4. Utbilda och informera personalen
    CRA innebär att många funktioner inom organisationen måste arbeta tillsammans – från IT- och utvecklingsavdelningar till juridik och produktledning. Se till att utbilda personalen om de nya reglerna och vad de innebär i praktiken. Genom utbildning ökar medvetenheten och förmågan att upptäcka och hantera säkerhetshot förbättras.
  5. Bygg en långsiktig strategi för cybersäkerhet
    CRA är inte en engångsinsats. Se detta som en möjlighet att stärka företagets motståndskraft mot framtida hot. Investera i säkra utvecklingsmöjligheter, etablera en säkerhetskultur och bygg system som är robusta och hållbara.

Genom att agera proaktivt och följa dessa steg kan ni minska risken för dyra sanktioner och stärka förtroendet hos både kunder och samarbetspartners. Tidiga insatser kan göra stor skillnad – inte bara för att uppfylla lagkrav, utan också för att skydda verksamheten mot framtida cyberhot.

2025-02-27T16:21:42+01:00
Cecilia Nilsson

Skrivet av: Cecilia Nilsson

Cecilia jobbar som dataskyddsjurist på Secify. Hon har tidigare arbetat som myndighetsjurist och dataskyddsombud i statlig sektor.

Cecilia Nilssons senaste inlägg

NYHETSBREV

Konsulttjänster

Säkerhetstester

Managerade tjänster

Intelligens

Secify

Secify logo vit

Secify erbjuder rådgivning och säkerhetslösningar inom cybersäkerhet, informationssäkerhet och dataskydd. Vi som arbetar här har lång erfarenhet och djupa kunskaper inom vårt område. Tillsammans kan vi leverera heltäckande lösningar för att skydda dina anställda och din verksamhet.

Jönköping (huvudkontor)
Östra Storgatan 28c, 553 21 Jönköping

Stockholm
Warfvinges väg 45, 112 51 Stockholm

Halmstad
Tre Hjärtans väg 2, 302 41 Halmstad

Växjö
Storgatan 82A, 352 27, Växjö

Cirklar secifyprofil dekoration
Cookiepolicy

Orgnr: 559078-8062 | 020-66 99 00 | Kontakta oss

Till toppen