Skarp
Cyber Resilience Act artikel för artikel – en strukturerad genomgång
Den här kursen ger en systematisk genomgång av EU:s Cyber Resilience Act (förordning (EU) 2024/2847) artikel för artikel. Fokus ligger på att förstå syfte, centrala begrepp och praktiska skyldigheter för tillverkare, importörer, distributörer och andra aktörer, med koppling till verkliga efterlevnadsscenarier.
Course Content
13 modules · 3h total
Översikt: Syfte, struktur och tidslinje (artiklarna 1–2, inledning)
Denna modul ger en överblick över Cyber Resilience Act: varför den införts, hur den är uppbyggd (kapitel och artiklar) och när olika delar börjar gälla. Vi placerar förordningen i relation till annan EU-cybersäkerhetslagstiftning.
Allmänna bestämmelser: Tillämpningsområde och definitioner (artiklarna 1–3)
Fördjupning i artikel 1–3 med fokus på vad som omfattas av CRA, vad som undantas och hur centrala begrepp som ”produkt med digitala inslag” och olika ekonomiska aktörer definieras.
Fri rörlighet, offentlig upphandling och grundläggande krav (artiklarna 4–6)
Denna modul behandlar hur CRA påverkar den inre marknaden, offentlig upphandling och de grundläggande cybersäkerhetskraven i artikel 6, inklusive kopplingen till bilaga I.
Riskklasser: Viktiga och kritiska produkter (artiklarna 7–8 och bilagor II–III)
Fokus på hur CRA klassificerar produkter som viktiga respektive kritiska, hur listorna i bilagor II och III används och vilka följder klassningen får för krav och bedömning av överensstämmelse.
Styrning, intressentdialog och kompetens (artiklarna 9–10)
Genomgång av hur CRA organiserar intressentkonsultation, styrning och kompetensuppbyggnad, inklusive medlemsstaternas och kommissionens roller i att främja cybersäkerhetskompetens.
Tillverkarens skyldigheter I: Riskbedömning och design (centrala artiklar i kapitel II)
Den första av två moduler om tillverkarens skyldigheter. Fokus på artiklar som rör cybersäkerhetsriskbedömning, säker utveckling och dokumentation kopplad till design- och utvecklingsfasen.
Tillverkarens skyldigheter II: Sårbarhetshantering och uppdateringar (inkl. artikel 14)
Fördjupning i artiklarna om hantering av sårbarheter, säkerhetsuppdateringar och incidentrapportering, särskilt rapporteringsskyldigheterna enligt artikel 14 och relaterade bestämmelser.
Andra ekonomiska aktörer och fjärrdatabehandling (artiklar om importörer, distributörer, leverantörer)
Genomgång artikel för artikel av skyldigheter för importörer, distributörer och leverantörer av fjärrdatabehandlingstjänster, inklusive spårbarhet, märkning och informationskrav.
Bedömning av överensstämmelse och harmoniserade standarder (artiklarna 27, 31–32 m.fl.)
Denna modul går igenom artiklarna om bedömning av överensstämmelse, teknisk dokumentation, EU-försäkran om överensstämmelse, CE-märkning, samt hur harmoniserade standarder och gemensamma specifikationer används.
Anmälda organ, marknadskontroll och tillsyn (artiklar om notified bodies och myndighetsroller)
Fokus på artiklarna som reglerar anmälan och tillsyn av bedömningsorgan, marknadskontroll, samarbete mellan myndigheter och åtgärder vid bristande överensstämmelse.
Tillsyn, sanktioner och rättsmedel (artiklar om påföljder och verkställighet)
Genomgång av artiklarna som behandlar sanktioner, böter och andra verkställighetsåtgärder, inklusive koppling till representativa talan enligt konsumenträttslig lagstiftning.
Samspelet med annan EU-lagstiftning (NIS2, AI-förordningen, produktsäkerhet m.m.)
Denna modul fokuserar på skäl och artiklar som reglerar hur CRA förhåller sig till annan EU-lagstiftning, inklusive NIS2-direktivet, AI-förordningen och den allmänna produktsäkerhetsförordningen.
Övergångsbestämmelser, tidslinje och praktisk implementeringsplan
Avslutande modul som går igenom artiklarna om ikraftträdande, övergångsperioder och delegerade/implementerande akter, och omsätter dem i en praktisk färdplan för efterlevnad fram till full tillämpning.
Read the Textbook
Read every chapter for free, right here in your browser.
Cyber Resilience Act (CRA) är en **EU-förordning** om cybersäkerhet för produkter med digitala element (eng. *products with digital elements*, PDE).
Några grundfakta (läge: februari 2026): - **Fullständigt namn:** Förordning (EU) 2024/… om horisontella cybersäkerhetskrav för produkter med digitala element (allmänt kallad *Cyber Resilience Act*). - **Antagen:** 2024 (som del av EU:s cybersäkerhets- och digitaliseringspaket). - **Typ av rättsakt:** Förordning = gäller direkt i alla medlemsstater (behöver normalt inte genomföras i nationell lag som ett direktiv).
**Varför behövdes CRA?** - Allt fler produkter är uppkopplade (IoT, smarta hem, industriella styrsystem, fordon, medicinteknik m.m.). - Många sårbarheter beror på **bristfällig säkerhetsdesign** och **avsaknad av uppdateringar**. - Före CRA fanns **fragmenterad reglering**: vissa sektorer hade krav (t.ex. medicinteknik, fordon), andra inte. - Syftet är att skapa **minimikrav på cybersäkerhet** för alla relevanta produkter på EU-marknaden.