Cyber Resilience Act artikel för artikel – en strukturerad genomgång

Cyber Resilience Act (CRA)

EU-förordning från 2024 som inför horisontella cybersäkerhetskrav för produkter med digitala element på EU-marknaden.

Produkt med digitala element (PDE)

En produkt som innehåller mjukvara eller uppkopplade komponenter och där cybersäkerhet är relevant för produktens funktion och säkerhet.

Horisontell reglering

Regler som gäller brett över många sektorer och produkttyper, till skillnad från sektorsspecifik lagstiftning.

Artikel 1 i CRA

Anger syftet med förordningen: att fastställa cybersäkerhetskrav för produkter med digitala element och säkerställa en hög säkerhetsnivå och en fungerande inre marknad.

Artikel 2 i CRA

Definierar tillämpningsområdet: vilka produkter och aktörer som omfattas, samt vissa undantag.

Ikraftträdande

Tidpunkten då en förordning formellt blir gällande rätt (ofta 20 dagar efter publicering i EU:s officiella tidning).

Artikel 1 – Föremål

Fastställer **vad CRA reglerar**: väsentliga cybersäkerhetskrav för produkter med digitala inslag, skyldigheter för ekonomiska aktörer och regler för marknadskontroll.

Artikel 1 – Mål

Syftar till att höja **cybersäkerhetsnivån** för digitala produkter i EU, skydda användare mot cyberangrepp och främja security by design/default.

Artikel 2 – Tillämpningsområde

Anger **vilka produkter och aktörer** som omfattas: produkter med digitala inslag som släpps ut på EU-marknaden eller tas i bruk av användare i EU.

Artikel 2 – Ett centralt undantag

Produkter som används uteslutande för **nationell säkerhet eller militära ändamål** omfattas normalt inte av CRA.

Produkt med digitala inslag

Programvara eller hårdvara med digitala komponenter och dataanslutning (direkt eller indirekt), där den digitala delen är väsentlig för funktionerna.

Tillverkare

Den som tillverkar eller låter tillverka en produkt och **släpper ut den på marknaden under sitt eget namn eller varumärke**.

Fri rörlighet (enligt artikel 4)

Principen att en produkt med digitala inslag som uppfyller CRA (inkl. CE‑märkning) ska kunna släppas ut på och användas på hela EU:s inre marknad utan ytterligare nationella cybersäkerhetskrav.

Offentlig upphandling (artikel 5)

Reglerar att offentliga aktörer inte får införa egna, avvikande cybersäkerhetskrav på produkter som redan uppfyller CRA, enbart av cybersäkerhetsskäl. Syftar till att bevara harmoniseringen och fri rörlighet.

Väsentliga cybersäkerhetskrav (artikel 6)

Övergripande krav på säker design, skydd av data och funktioner, sårbarhetshantering och information till användare. Bilaga I ger mer detaljerat, tekniskt innehåll.

Security by design

Att cybersäkerhet integreras i design- och utvecklingsprocessen från början, istället för att läggas på i efterhand.

Sårbarhetshantering

Processer och rutiner för att ta emot, analysera, åtgärda och distribuera lösningar för identifierade sårbarheter i en produkt, inklusive säkra uppdateringar.

Produkt med digitala inslag (CRA‑definition, översikt)

En produkt som innehåller mjukvara eller är sammankopplad med en sådan, inklusive både ren programvara och fysiska produkter där mjukvaran är en väsentlig del av funktionen. Begreppet är brett och utgör grunden för vilka produkter som omfattas av CRA.

Viktig produkt (artikel 7 + bilaga II)

En produkt med digitala inslag som listas i bilaga II. Den anses ha en betydande cybersäkerhetsrelevans, ofta som infrastruktur- eller säkerhetskomponent i företag och offentlig sektor, och omfattas av skärpta krav på bedömning av överensstämmelse.

Kritisk produkt (artikel 8 + bilaga III)

En produkt med digitala inslag som listas i bilaga III. Ett cyberangrepp mot den kan få mycket allvarliga eller systemiska konsekvenser för samhälle, ekonomi eller säkerhet. Den omfattas av de striktaste kraven på bedömning av överensstämmelse och tillsyn.

Bilaga II (CRA)

Bilaga som innehåller kategorier av **viktiga** produkter med digitala inslag. Används för att avgöra om en produkt faller i den viktiga riskklassen och därmed omfattas av strängare bedömningsförfaranden än vanliga produkter.

Bilaga III (CRA)

Bilaga som innehåller kategorier av **kritiska** produkter med digitala inslag. Dessa produkter har högst riskprofil och är föremål för de mest omfattande och ofta obligatoriskt tredjepartsbaserade bedömningsförfarandena.

Bedömning av överensstämmelse (conformity assessment)

Processen där tillverkaren (och vid behov ett anmält organ) visar och dokumenterar att en produkt uppfyller de krav som ställs i CRA, särskilt artikel 6 och bilaga I. Metoden beror på om produkten är vanlig, viktig eller kritisk.

Intressent (stakeholder) i CRA‑sammanhang

En aktör som påverkas av eller kan påverka hur CRA utformas och genomförs, t.ex. tillverkare, standardiseringsorgan, forskare, konsumentorganisationer och myndigheter.

Artikel 9 – huvudsyfte

Att säkerställa strukturerad **intressentkonsultation** när kommissionen och andra EU‑organ utvecklar och preciserar regler kopplade till CRA.

Artikel 10 – huvudsyfte

Att medlemsstaterna och kommissionen ska **främja cybersäkerhetskompetens**, särskilt kopplat till produkter med digitala inslag, så att CRA kan genomföras effektivt.

ENISA:s roll kopplat till artiklarna 9–10

Bidrar med teknisk expertis i intressentdialogen (artikel 9) och stöder utbildning, riktlinjer och övningar för att bygga cybersäkerhetskompetens (artikel 10).

Koppling till nationella cybersäkerhetsstrategier

Medlemsstaterna förväntas integrera CRA‑relaterad kompetensuppbyggnad i sina nationella strategier, i linje med bl.a. NIS2‑direktivets krav.

Cybersäkerhetsriskbedömning (enligt CRA)

En systematisk analys av tillgångar, hot, sårbarheter, sannolikhet och konsekvens för en produkt med digitala element, där resultatet används för att välja och motivera säkerhetsåtgärder i linje med bilaga I.

Artikel 6 (CRA)

Artikel i CRA som kopplar tillverkarens skyldighet att säkerställa att produkten uppfyller de väsentliga cybersäkerhetskraven i bilaga I, baserat på en genomförd riskbedömning.

Bilaga I (CRA)

Bilaga som innehåller de väsentliga cybersäkerhetskraven för produkter med digitala element, t.ex. krav på skydd mot obehörig åtkomst, säkra uppdateringar, robusthet och hantering av sårbarheter.

Stödperiod (support period)

Den tidsperiod under vilken tillverkaren åtar sig att tillhandahålla säkerhetsuppdateringar och hantera sårbarheter för produkten, i linje med dess förväntade livslängd och användningsområde.

Teknisk dokumentation (artikel 31/bilaga VII)

Samlad dokumentation som visar hur produkten uppfyller CRA:s krav, inklusive produktbeskrivning, riskbedömning, design- och säkerhetslösningar, stödperiod och spårbarhet mot kraven i bilaga I.

Secure by design och secure by default

Principer som innebär att säkerhet byggs in i produkten från början (designfasen) och att standardinställningar är säkra utan att användaren behöver göra avancerade val.

Sårbarhetshanteringsprocess

En strukturerad, dokumenterad process för att ta emot, bedöma, åtgärda och kommunicera sårbarheter i en produkt under hela dess livscykel.

Aktivt utnyttjad sårbarhet

En sårbarhet där det finns bevis eller starka indikationer på att angripare faktiskt använder den i attacker mot system eller användare.

Allvarlig incident (CRA-kontekst)

En cybersäkerhetshändelse kopplad till produkten som betydligt påverkar konfidentialitet, integritet eller tillgänglighet hos data eller tjänster, eller säkerheten i nätverk och informationssystem.

CSIRT

Computer Security Incident Response Team – nationellt eller sektorsspecifikt team som tar emot incidentrapporter, koordinerar respons och sprider varningar.

ENISA

EU:s cybersäkerhetsbyrå som stödjer medlemsstater, samlar in och analyserar incidentdata, ger rekommendationer och kan samordna informationsdelning på EU-nivå.

Separering av säkerhets- och funktionsuppdateringar

Principen att säkerhetsfixar ska kunna distribueras och installeras oberoende av nya funktioner, så att användare kan förbli säkra utan att tvingas ta funktionsrisker.

Importör (enligt CRA‑logik)

En fysisk eller juridisk person i EU som släpper ut en produkt från ett tredjeland på EU‑marknaden i eget namn. Måste bl.a. kontrollera CE‑märkning, EU‑försäkran om överensstämmelse, märkning och språk, samt märka produkten med sina egna kontaktuppgifter.

Distributör

En aktör i leveranskedjan (t.ex. grossist, butik, webbutik) som tillhandahåller en produkt på marknaden utan att vara tillverkare eller importör. Ska bl.a. kontrollera CE‑märkning och dokumentation, samt inte sälja produkter med kända brister.

Leverantör av fjärrdatabehandlingstjänst

En aktör som tillhandahåller en tjänst (t.ex. moln/ backend) som en produkt med digitala element är beroende av för sin funktion och cybersäkerhet. Har särskilda skyldigheter att inte försämra produktens säkerhet och att stödja sårbarhetshantering och incidentrespons.

Spårbarhet

Förmågan att identifiera och följa en produkt genom leveranskedjan (tillverkare, importör, distributör, användare). I CRA innebär det bl.a. krav på märkning, dokumentation och bevarande av uppgifter för att möjliggöra återkallelser och incidenthantering.

EU‑försäkran om överensstämmelse

Ett dokument där tillverkaren intygar att produkten uppfyller tillämpliga EU‑krav (inkl. CRA). Importörer måste säkerställa att en sådan finns och kunna visa upp den för marknadskontrollmyndigheter.

Samarbetsskyldighet mellan aktörer

Krav på att tillverkare, importörer, distributörer och leverantörer av fjärrdatabehandlingstjänster samarbetar och delar information, särskilt vid sårbarheter, incidenter, återkallelser och marknadskontroll.

Presumtion om överensstämmelse

En rättslig princip: om en produkt uppfyller relevanta harmoniserade standarder eller gemensamma specifikationer, **antas** den uppfylla motsvarande krav i den tillämpliga EU-lagstiftningen.

Harmoniserad standard

En teknisk standard framtagen av CEN, CENELEC eller ETSI på uppdrag av EU-kommissionen. Den är formellt frivillig, men om den följs ger den **presumtion om överensstämmelse** när dess referens publicerats i EU:s officiella tidning.

Gemensamma specifikationer (Common Specifications, CS)

Tekniska specifikationer som antas direkt av EU-kommissionen när harmoniserade standarder saknas eller är otillräckliga. De är **rättsligt bindande** och ger också presumtion om överensstämmelse.

Teknisk dokumentation

Ett samlat underlag som visar hur produkten uppfyller alla tillämpliga krav. Innehåller bl.a. produktbeskrivning, konstruktion, riskanalys, lista över standarder/CS, testresultat och instruktioner.

Modul A (intern tillverkningskontroll)

Ett förfarande för bedömning av överensstämmelse där tillverkaren själv ansvarar för all nödvändig kontroll, utan involvering av anmält organ. Vanligt för lågriskprodukter.

EU-försäkran om överensstämmelse

Ett dokument där tillverkaren intygar på eget ansvar att produkten uppfyller alla tillämpliga krav i relevant EU-lagstiftning, och listar tillämpade standarder/CS samt ev. anmält organ.

Anmält organ (notified body)

Ett oberoende organ som av en medlemsstat har utsetts och anmälts till EU-kommissionen för att utföra specificerade uppgifter i förfaranden för bedömning av överensstämmelse (t.ex. typkontroll, certifiering).

Marknadskontroll

Myndigheternas verksamhet för att säkerställa att produkter på marknaden uppfyller gällande krav och inte utgör risk för hälsa, säkerhet, miljö eller andra skyddade intressen.

Tillbakadragande

En åtgärd som syftar till att förhindra att en produkt i distributionskedjan tillhandahålls vidare på marknaden. Produkten tas bort innan den når slutanvändaren.

Återkallelse

En åtgärd för att få tillbaka en produkt som redan har tillhandahållits slutanvändare/konsumenter, ofta kombinerat med information, reparation, utbyte eller återbetalning.

Korrigerande åtgärd

En åtgärd som vidtas av en ekonomisk aktör för att åtgärda brister i överensstämmelse eller minska/eliminera risker, t.ex. ändrad märkning, teknisk modifiering eller uppdaterade instruktioner.

NANDO

EU:s offentliga databas (New Approach Notified and Designated Organisations) där alla anmälda organ och deras behörighetsområden listas.

Procent av global årlig omsättning

En metod för att beräkna administrativa böter i modern EU-reglering (inkl. CRA), där maxnivån anges som en procentandel av företagets eller koncernens globala årsomsättning för att säkerställa avskräckande effekt.

Proportionalitetsprincipen

Grundläggande EU-rättslig princip som kräver att åtgärder (inkl. sanktioner) inte får gå längre än vad som är nödvändigt för att uppnå det legitima syftet. Påföljder ska vara effektiva och avskräckande, men inte överdrivna.

Representativ talan

En talan som förs av en godkänd enhet (t.ex. konsumentorganisation) för flera konsumenters räkning, enligt direktiv (EU) 2020/1828. Kan användas när företag bryter mot EU-lagstiftning som skyddar konsumenters intressen, t.ex. cybersäkerhetskrav.

Korrigerande åtgärder

Åtgärder som en tillsyns- eller marknadskontrollmyndighet kan kräva av ett företag, t.ex. säkerhetsuppdateringar, återkallelse av produkter, ändrad information till användare eller försäljningsstopp.

Effektivt rättsmedel

Rätt för berörda (t.ex. företag) att få ett myndighetsbeslut prövat av en oberoende domstol. Innebär att beslut om sanktioner och förelägganden enligt CRA ska kunna överklagas nationellt.

CRA – huvudfokus

Cybersäkerhet hos **produkter med digitala element** (hårdvara + mjukvara), från design till uppdateringar, med krav på tillverkare, importörer och distributörer.

NIS2 – huvudfokus

Informations- och cybersäkerhet på **organisations- och tjänstenivå** för viktiga och särskilt viktiga verksamhetsutövare (t.ex. energi, transport, hälso- och sjukvård), inklusive riskhantering, incidentrapportering och styrning.

AI-förordningen (AI Act) – huvudfokus

Reglerar **utveckling, tillhandahållande och användning av AI-system** utifrån risknivå, med särskilt strikta krav för **hög-risk AI-system** (t.ex. datakvalitet, transparens, mänsklig tillsyn).

GPSR – huvudfokus

Säkerhet för **konsumentprodukter** i allmänhet, inklusive fysiska och digitala risker, med krav på spårbarhet, varningar och återkallelser.

Produktnivå vs tjänstenivå

Produktnivå: CRA (och sektorsspecifik produktlagstiftning) – säkerhet i själva produkten. Tjänstenivå/organisationsnivå: NIS2 – hur organisationen hanterar risker, system och incidenter.

Hög-risk AI-system och CRA

Ett hög-risk AI-system kan omfattas av både **AI-förordningen** (AI-specifika krav) och **CRA** (cybersäkerhet hos produkten som bär AI-systemet). Kraven ska tolkas **komplementärt**.

Ikraftträdande

Den tidpunkt då en förordning juridiskt börjar gälla (ofta 20 dagar efter publicering i EUT), men inte nödvändigtvis när alla materiella krav börjar tillämpas på aktörer.

Tillämpningsdatum

Den dag då de praktiska skyldigheterna för företag och andra aktörer börjar gälla. Kan vara flera olika datum för olika kapitel/artiklar.

Övergångsperiod

Tidsfönster mellan ikraftträdande och tillämpning då aktörer ska förbereda sig, anpassa processer och produkter till de nya kraven.

Delegerad akt

Rättsakt antagen av EU‑kommissionen som kompletterar eller ändrar icke‑väsentliga delar av en förordning, t.ex. uppdaterar bilagor eller tekniska detaljer.

Genomförandeakt

Rättsakt där kommissionen fastställer enhetliga villkor för hur en förordning ska genomföras praktiskt, t.ex. formulär, rapporteringsformat eller tekniska procedurer.