Vad är Cyber Resilience Act?

Vad innebär Cyber Resilience Act, rättsakten om cyberresiliens, för företag som utvecklar produkter med mjukvara? EU:s nya regelverk ställer tydligare krav på cybersäkerhet i produkter med digitala element, från utveckling och dokumentation till uppdateringar och långsiktigt underhåll. I den här artikeln går vi igenom vad Cyber Resilience Act är, vilka företag som påverkas och varför det är smart att börja förbereda sig i god tid.

CRA EU:S nya regelverk

Cyber Resilience Act är EU:s nya regelverk för cybersäkerhet i produkter med digitala element. Regelverket omfattar varje hårdvara och mjukvara ni sätter på EU-marknaden och som på något sätt kan kopplas upp, uppdateras eller hantera data. Syftet är att höja den grundläggande säkerhetsnivån, minska antalet sårbarheter och se till att produkter är säkrare både när de lanseras och under hela sin livslängd.

För företag som utvecklar elektronikprodukter med mjukvara är det här ett regelverk som man inte kan bortse från. EU Cyber Resilience Act påverkar inte bara hur produkter tas fram, utan också hur säkerhet dokumenteras, underhålls och följs upp över tid. För många utvecklingsföretag blir det därför en fråga som berör både utveckling, produktansvar och affär.

Två medarbetare från Codiax framför en datorskärm.

Därför har EU infört Cyber Resilience Act

Bakgrunden är att många digitala produkter länge har släppts på marknaden med bristande säkerhet, otydlig information och svagt stöd för säkerhetsuppdateringar. EU vill ändra på det genom att ställa tydligare krav på tillverkare och andra aktörer i leveranskedjan. Tanken är att säkerhet inte ska “läggas på” i efterhand, utan byggas in från början.

Det gör också att användare och inköpare får bättre förutsättningar att förstå om en produkt faktiskt håller en rimlig säkerhetsnivå. I praktiken är målet både att minska riskerna och att göra marknaden mer transparent.

Kort sagt innebär Cyber Resilience Act att:

Tillverkare måste bygga in cybersäkerhet redan från början

Produkter måste kunna uppdateras och underhållas säkert under sin livscykel

Sårbarheter måste hanteras och i vissa fall rapporteras

Vissa produkter kan behöva granskas av en oberoende part innan de säljs

Produkter som uppfyller kraven får CE-märkning

Syftet är att göra det enklare för konsumenter och företag att välja säkrare digitala produkter och minska riskerna för cyberhot.

Vad omfattas av regelverket CRA?

Cyber Resilience Act gäller produkter med digitala element. Det kan vara allt från programvara och uppkopplade enheter till mer avancerade lösningar inom industri, medtech, fordonssystem eller andra typer av inbyggda system. Om en produkt innehåller digital funktionalitet och kan påverkas av cybersäkerhetsrisker är den sannolikt relevant i sammanhanget.

För Codiax målgrupper är det särskilt relevant eftersom många produkter bygger på Linuxbaserade system, Embedded Linux och olika typer av egenutvecklad mjukvara. Här blir det snabbt tydligt att CRA inte bara är en juridisk fråga, utan något som påverkar hela produktutvecklingen. Att förstå cyber resilience act handlar därför inte bara om att översätta regelverket, utan om att förstå vad det betyder i praktiken för utvecklingsteam som bygger och underhåller produkter.

Vad innebär Cyber Resilience Act i praktiken?

I praktiken innebär Cyber Resilience Act att säkerhet måste in tidigt i utvecklingsprocessen. Tillverkare behöver arbeta mer strukturerat med riskbedömningar, säkerhetskrav, teknisk dokumentation och sårbarhetshantering. Det räcker alltså inte att en produkt fungerar tekniskt. Det behöver också gå att bevisa att produkten har utvecklats med cybersäkerhet i åtanke.

Produkter som omfattas av regelverket ska uppfylla grundläggande cybersäkerhetskrav, och vissa produktkategorier omfattas av strängare processer för att bedöma överensstämmelse innan de får säljas på EU-marknaden. Produkter som uppfyller kraven ska CE-märkas.

Vad betyder det för utvecklingsföretag?

För utvecklingsföretag betyder det ofta att arbetssätt, dokumentation och ansvarsfördelning behöver bli tydligare. Det gäller särskilt i miljöer där många komponenter ingår, till exempel FOSS, Linuxdistributioner, BSP-anpassningar och tredjepartsberoenden. Den slutsatsen ligger nära hur CRA beskriver livscykelansvar och dokumentationskrav.

Säkerhet blir en del av livscykeln

CRA handlar inte bara om lanseringen av en produkt. Regelverket ställer också krav på hur sårbarheter hanteras under supportperioden, vilket gör säkerhetsarbetet till en löpande del av produktansvaret.

Vilka företag påverkas?

De främsta skyldigheterna ligger hos tillverkaren, alltså den aktör som sätter produkten på marknaden i eget namn. Men även importörer och distributörer påverkas av regelverket. CRA flyttar ansvaret från utvecklingsbordet direkt till ledningsgruppen. För företag som utvecklar elektronikprodukter med mjukvara blir det här särskilt viktigt. Många sådana produkter är beroende av komplexa Linuxsystem, öppen källkod, uppdateringshantering och långsiktigt underhåll. Därför blir EU Cyber Resilience Act relevant långt innan en produkt når marknaden.

Hur påverkas open source och Linuxbaserade system?

För många företag är det här en central fråga. En stor del av dagens produkter bygger helt eller delvis på öppen källkod. CRA har därför fått mycket uppmärksamhet i open source-världen. Grundprincipen är att fri och öppen programvara inte behandlas på samma sätt i alla situationer, utan att mycket beror på hur den görs tillgänglig och i vilket sammanhang den används.

För företag som bygger produkter ovanpå FOSS, Embedded Linux eller andra Linuxbaserade system betyder det att det inte räcker att luta sig mot att en komponent är allmänt tillgänglig. Den färdiga produkten behöver fortfarande uppfylla relevanta krav.

CVE-hantering blir ännu viktigare

För utvecklingsföretag blir det därför viktigt att ha kontroll över komponenter, kända CVE:er, uppdateringsflöden och dokumentation. Här blir Codiax kompetens inom inbyggd Linux och CVE-hantering särskilt relevant i praktiken.

Läs mer i vår artikel om CVE

När börjar Cyber Resilience Act gälla?

Regelverket trädde i kraft den 10 december 2024. Men de huvudsakliga skyldigheterna börjar tillämpas den 11 december 2027. Vissa delar börjar dock gälla tidigare. Reglerna kring rapportering av aktivt utnyttjade sårbarheter och allvarliga incidenter börjar gälla den 11 september 2026.

Det innebär att företag inte bör vänta till 2027 med att börja förbereda sig. För många organisationer kan arbetet behöva starta betydligt tidigare, särskilt om processer för sårbarhetshantering, dokumentation eller produktunderhåll inte redan finns på plats.

Läs mer hos EU Kommissionen

Vad gäller för rapportering?

Från och med den 11 september 2026 behöver tillverkare rapportera aktivt utnyttjade sårbarheter och allvarliga incidenter som påverkar säkerheten i deras produkter. Rapporteringen ska ske via EU:s gemensamma rapporteringsstruktur och följer bestämda tidsramar.

Processer behöver vara på plats i tid

Det här ställer krav på att företag faktiskt kan upptäcka, bedöma och hantera sårbarheter i tid. Bland kraven FINNS bland annat att produkter ska vara så säkra som möjligt från start, ha secure by default, kunna få säkerhetsuppdateringar, skydda data och tillgänglighet, minska attackytan och ha tydliga processer för sårbarhetshantering, inklusive SBOM, tester, disclosure policy och kontaktväg för rapporterade sårbarheter. För bolag som arbetar med långa produktlivscykler och avancerade Linuxsystem blir det därför extra viktigt att ha ordning på både tekniska beroenden och interna processer.

Ett krav – men också en möjlighet

Företag som har bra kontroll på sina Linuxsystem, sina beroenden och sin CVE-hantering står ofta bättre rustade när kunder börjar ställa mer detaljerade krav på säkerhet, dokumentation och efterlevnad. På så sätt kan CRA bli både ett krav och en möjlighet.

Få hjälp med arbete och processer som berörs av Cyber Resilience Act

Är ni osäkra på hur Cyber Resilience Act påverkar er produkt eller utvecklingsprocess? Vänta inte till september!
Codiax hjälper företag som bygger produkter med mjukvara att få bättre struktur, kontroll och trygghet i arbetet framåt.

Kontakta Codiax

Vanliga frågor om Cyber Resilience Act

Vilka företag påverkas av EU-regelverket Cyber Resilience Act?
Regelverket är särskilt viktigt för företag som utvecklar, tillverkar, importerar eller distribuerar produkter med mjukvara. Det gäller till exempel verksamheter inom medtech, industri, fordon och andra områden där inbyggda system är vanliga.
Varför är CRA viktig för utvecklingsföretag?
För utvecklingsföretag som bygger produkter inom exempelvis medtech, fordonssystem, industri eller avancerad elektronik är CRA viktig eftersom den flyttar cybersäkerhet närmare själva produkten. Säkerhetsarbetet blir alltså inte något som bara hör hemma i IT-miljön eller på policynivå. Det blir en viktig del av utvecklingskedjan, från arkitektur och BSP till uppdateringar, support och långsiktigt underhåll.
Gäller Cyber Resilience Act även programvara?
Ja, CRA omfattar inte bara fysisk hårdvara utan även programvara och andra produkter med digitala element. För många företag betyder det att cybersäkerhet behöver bli en tydligare del av hela utvecklingsprocessen
Gäller Cyber Resilience Act bara IoT-produkter?
Nej, inte bara. Regelverket är särskilt relevant för uppkopplade produkter och IoT-enheter, men omfattar också andra typer av produkter med digitala komponenter som säljs på EU-marknaden.
Är open source undantaget från CRA?
Inte alltid. Viss fri och öppen programvara kan vara undantagen, men det beror på hur den används, distribueras och om den ingår i ett kommersiellt sammanhang. Därför är det viktigt att titta på den färdiga produkten, inte bara på enskilda komponenter.
När börjar Cyber Resilience Act gälla i EU?
Regelverket trädde i kraft i december 2024, men olika delar börjar tillämpas vid olika tidpunkter. Därför är det klokt att inte vänta för länge med att se över processer, dokumentation och sårbarhetshantering.
Varför är Cyber Resilience Act viktig?
Den är viktig eftersom den gör cybersäkerhet till en tydligare del av produktansvaret. För företag som utvecklar avancerade produkter med mjukvara handlar det inte bara om efterlevnad, utan också om att stå bättre rustad inför kundkrav, upphandlingar och framtida underhåll. Läs mer på EU-kommissionens hemsida.