Cyber Resilience Act (CRA)

Cyber Resilience Act (CRA), tidigare förordning (EU) 2024/2847, inför obligatoriska cybersäkerhetskrav för produkter med digitala enheter som släpps ut på EU-marknaden. Den gäller både hårdvara och mjukvara och täcker cybersäkerhetsansvar under hela produktens livscykel, från design och utveckling till hantering av sårbarheter, säkerhetsuppdateringar, teknisk dokumentation och incidentrapportering.

Cyber Resilience Act träder i kraft fullt ut den 11 december 2027, varefter produkter med digitala element måste uppfylla CRA:s cybersäkerhetskrav innan de kan släppas ut på EU-marknaden.

Enligt CRA blir efterlevnad av cybersäkerhetskrav en del av CE-märkningsramverket för produkter som säljs inom den Europeiska unionen.

CRA är viktig eftersom den flyttar cybersäkerhet från en rekommenderad praxis till ett lagstadgat krav för ett brett utbud av uppkopplade och programvarubaserade produkter som kommer in på EU-marknaden.

För tillverkare innebär det att cybersäkerhet måste hanteras mycket tidigare och mycket mer systematiskt. Det räcker inte längre att reagera på risker efter lansering. Företag måste kunna visa att cybersäkerhet har beaktats under produktdesignen, integrerats i utvecklingsprocesser, dokumenterats på lämpligt sätt och upprätthållits under hela supportperioden.

CRA inför också löpande skyldigheter kopplade till sårbarhetshantering och incidenterrapportering, vilket gör detta till en livscykelfråga snarare än ett engångsgodkännande.

CRA trädde i kraft den 10 december 2024. De olika kraven har dock börjat gälla vid olika tidpunkter.

• Från och med den 11 september 2026 måste tillverkare börja rapportera sårbarheter och allvarliga incidenter.
• Från och med den 11 december 2027 blir CRA fullt tillämplig. Alla produkter som omfattas måste uppfylla cybersäkerhetskraven innan de kan släppas ut på EU-marknaden.

Observera att rapporteringsskyldigheterna från september 2026 gäller för täckta produkter som fortfarande är inom sin supportperiod, inklusive äldre produkter som redan finns på EU-marknaden.

CRA gäller alla tillverkare som lanserar uppkopplade, digitala produkter på EU-marknaden, oavsett var tillverkaren är belägen. Tillverkare utanför EU måste fortfarande följa regelverket och de kan utse en auktoriserad representant inom EU.

Importörer och distributörer som är verksamma inom EU har också skyldigheter enligt förordningen. För globala tillverkare innebär detta att CRA-beredskap inte bara är en europeisk fråga. Det är en fråga som påverkar alla företag som säljer till EU.

Medicinsk utrustning, fordonsutrustning och flygutrustning kan vara undantagna på grund av separata krav inom dessa produktkategorier.

CRA gäller produkter med digitala komponenter, det vill säga hårdvaru- eller mjukvaruprodukter vars avsedda eller rimligen förutsebara användning innebär en direkt eller indirekt logisk eller fysisk dataanslutning till en annan enhet eller ett annat nätverk.

Det inkluderar anslutna hårdvaruenheter, mjukvaruprodukter, inbäddad mjukvara eller firmware, produkter anslutna till moln- eller fjärrtjänster som krävs för att produkten ska fungera, och både industriella och konsumentanslutna produkter. Exempel inkluderar:

Om dina produkter inkluderar mjukvara, firmware, anslutning eller är beroende av moln- eller fjärrtjänster för att fungera, är CRA något ni bör fördjupa er i. Förordningen är avsiktligt bred och är inte begränsad till en enda vertikal marknad.

Vissa har liknat Cyber ​​Resilience Act vid cybersäkerhetskraven i Radio Equipment Directive (RED). En betydande skillnad är dock att till skillnad från RED är CRA inte begränsad till radioutrustning. Den gäller mer allmänt för produkter som ansluter direkt eller indirekt till en annan enhet eller ett annat nätverk.

Enligt Cyber ​​Resilience Act (CRA) delas produkter in i riskbaserade kategorier som avgör hur de ska granskas och bedömas i relation till kraven.

De flesta produkter tillhör kategorin standard (allmän), vilket vanligtvis tillåter tillverkare göra en egen bedömning. För produkter med högre risk definierar CRA särskilda kategorier baserat på vilka konsekvenser en cybersäkerhetsbrist kan få.

Klass I-produkter inkluderar digitala verktyg som operativsystem, webbläsare, routrar, lösenordshanterare och smarta hemsäkerhetsenheter. Dessa produkter har en betydande roll i vår digitala vardag, men kan i många fall hanteras genom förenklade bedömningsvägar när de uppfyller krav i harmoniserade standarder.

Klass II-produkter representerar infrastrukturkomponenter med högre risk, inklusive brandväggar, detekteringssystem för intrång och hypervisorer. På grund av sin kritiska roll i att skydda system och nätverk kräver dessa produkter tredjepartsbedömning av ett anmält organ.

Kritiska produkter på den högsta nivån inkluderar teknologier som är avgörande för säkerhet och tillit, såsom hårdvarusäkerhetsmoduler, smartkort och säkra element. Dessa produkter förväntas genomgå ett europeiskt cybersäkerhetscertifieringssystem där detta finns tillgängligt. Om ett sådant system inte finns på plats krävs bedömning genom ett anmält organ.

Att förstå var en produkt passar in i denna struktur är ett viktigt tidigt steg, eftersom det direkt påverkar efterlevnadsprocessen, dokumentationskraven och tidplanen för marknadslansering.

Tillverkare måste säkerställa att produkter är säkra redan från designstadiet och som standard, utvecklade med säkra metoder, levererade med åtgärdade kända sårbarheter, skyddade mot obehörig åtkomst, utformade för att minimera attackytor samt försedda med säkerhetsuppdateringar.

Tillverkare måste även utföra en riskbedömning för cybersäkerhet, upprätthålla en materiallista gällande programvara, implementera processer för hantering av sårbarheter, förbereda teknisk dokumentation och rapportera aktivt utnyttjade sårbarheter och allvarliga incidenter inom definierade tidsramar. Källdokumenten är tydliga med att dessa är löpande skyldigheter under hela produktens livscykel, inte bara före lansering på marknaden.

Enligt Cyber ​​Resilience Act är tillverkare skyldiga att utarbeta och underhålla omfattande teknisk dokumentation som visar att de följer förordningen. Som ett minimum bör denna dokumentation innehålla en tydlig produktbeskrivning, tillsammans med information om konstruktion och design som förklarar hur produkten fungerar och hur cybersäkerhet hanteras. En dokumenterad riskbedömning för cybersäkerhet är avgörande, stödd av en Software Bill of Materials (SBOM) som identifierar relevanta komponenter och hur de samverkar.

Tillverkare måste också definiera och dokumentera sin policy för säkerhetsuppdateringar, sin process för hantering av sårbarheter och sina rutiner för incidentrapportering. Dessutom krävs tekniska bevis som visar överensstämmelse med de väsentliga cybersäkerhetskraven som anges i bilaga I, tillsammans med eventuella tillämpliga testrapporter eller resultat av överensstämmelsesbedömningar.

Dokumentation inriktad mot användaren måste också tas upp, inklusive vägledning om säker konfiguration, detaljer om produktens supportperiod och information om hur uppdateringar kommer att levereras.

Denna dokumentation är inte statisk. Den måste aktivt underhållas och uppdateras under hela produktens livscykel allt eftersom ändringar görs, sårbarheter identifieras och säkerhetsuppdateringar distribueras.

Det rekommenderas alltid att påbörja förberedelserna i god tid innan regelverket börjar tillämpas fullt ut. Några praktiska första steg är att fastställa produktklassificering, genomföra en gap-analys mot CRA-kraven, utföra riskbedömningar för cybersäkerhet, etablera eller vidareutveckla rutiner för sårbarhetshantering och incidentrapportering, ta fram teknisk dokumentation samt planera för rätt väg till överensstämmelsesbedömning och CE-märkningskrav.

Eftersom rapporteringsskyldigheterna börjar i september 2026 bör förberedelserna inte skjutas upp till 2027.

Tillverkare måste ha en strukturerad strategi för att uppfylla kraven i CRA. Intertek stödjer dig genom varje steg.

1. Produktklassificering
   Bedöm om din produkt faller under kategorierna Standard, Klass I/II eller Kritisk och bekräfta lämplig väg för överensstämmelsebedömning.
2. Gap-analys gentemot CRA-kraven
   Utvärdera dina nuvarande processer, produktens säkerhetsnivå och dokumentation mot CRA-krav för att identifiera luckor och definiera en tydlig åtgärdsplan.
3. Cybersäkerhetsriskbedömning (stöd och granskning)
   Stödja utvecklingen av din cybersäkerhetsriskbedömning och granska den för överensstämmelse med CRA:s väsentliga krav och livscykelförväntningar.
4. Säkerhetstestning och validering
   Testa produkter mot tillämpliga standarder och CRA-krav, inklusive sårbarhetsbedömningar och penetrationstester.
5. Teknisk dokumentation (granskning och support)
   Granska teknisk dokumentation för fullständighet och överensstämmelse med CRA-krav och stödja dess utveckling, inklusive SBOM, riskbedömningsresultat och livscykelprocesser.
6. Stöd för överensstämmelsebedömning och CE-märkning
   Stöd för egenbedömning eller bedömning via anmält organ beroende på produktens klassificering, samt säkerställande av full överensstämmelse med förordningen.

Intertek stödjer tillverkare genom hela processen med att uppfylla kraven i Cyber ​​Resilience Act (CRA), från initial produktklassificering och gap-analys till säkerhetstestning, teknisk dokumentation och stöd för överensstämmelsebedömning. Vi erbjuder även ett brett utbud av cybersäkerhetstjänster, inklusive arbete relaterat till IEC 62443, EN 18031, ETSI EN 303 645, IEC 81001-5-1, sårbarhetsbedömningar, penetrationstester, granskningar av säker arkitektur, hotmodellering, Common Criteria, utvärdering av kryptografiska moduler enligt FIPS 140-3, AI red teaming och motståndskraft mot ransomware.

Denna erfarenhet (och expertis i världsklass) kan hjälpa tillverkare att uppfylla skyldigheterna enligt Cyber ​​Resilience Act (CRA) samtidigt som de anpassar cybersäkerhetsprogram till andra standarder och marknadskrav.