Allmänna bestämmelser: Tillämpningsområde och definitioner (artiklarna 1–3)

Översikt: Varför börjar CRA med artiklarna 1–3?

Cyber Resilience Act (CRA) är en EU-förordning om cybersäkerhet för produkter med digitala inslag. Den antogs 2024 och är, sett från idag (2026), den centrala EU-regeln för säkerhet i uppkopplade produkter.

Artiklarna 1–3 är startpunkten för all tolkning av CRA:

• Artikel 1: Föremål och mål – vad lagen vill uppnå.
• Artikel 2: Tillämpningsområde och undantag – vilka produkter och aktörer som omfattas.
• Artikel 3: Definitioner – ordlistan som resten av förordningen bygger på.

I den här modulen fokuserar vi på tre praktiska frågor:

1. Täcks min produkt av CRA eller inte? (artiklarna 1–2)
2. Vad betyder ”produkt med digitala inslag” i praktiken? (artikel 3)
3. Vilken roll har jag i kedjan – tillverkare, importör, distributör eller annan? (artikel 3)

Tips: När du senare läser andra artiklar (t.ex. om skyldigheter för tillverkare) måste du alltid ha artikel 2 (tillämpningsområde) och artikel 3 (definitioner) i bakhuvudet.

Artikel 1 – Föremål och mål med CRA

Artikel 1 svarar på frågan: Vad är syftet med CRA?

Förenklat kan artikel 1 delas upp i tre huvudpunkter:

1. Föremål (vad lagen gäller)

CRA fastställer:

• väsentliga cybersäkerhetskrav för produkter med digitala inslag
• skyldigheter för ekonomiska aktörer (t.ex. tillverkare, importörer, distributörer)
• regler för övervakning och tillsyn (marknadskontroll i medlemsstaterna)

1. Mål (vad lagen vill uppnå)

CRA ska bland annat:

• höja cybersäkerhetsnivån i produkter som säljs på EU-marknaden
• skydda användare och organisationer mot cyberangrepp
• minska sårbarheter i produkter redan vid design och utveckling ("security by design" och "security by default")

1. Relation till annan EU-lagstiftning

CRA kompletterar andra regelverk. Viktiga exempel:

• NIS2-direktivet – riktar sig mot organisationer och tjänster (t.ex. sjukhus, molntjänster), inte mot enskilda produkter.
• EU:s AI-förordning (AI Act) – fokuserar på hantering av risker med AI-system, inte generellt på cybersäkerhet i alla digitala produkter.
• Sektorsspecifika regler (t.ex. medicinteknik, luftfart) – gäller parallellt om produkten hör dit.

Nyckelinsikt: Artikel 1 säger i princip: CRA handlar om cybersäkerhet i produkter, inte om allt annat runtomkring (t.ex. dataskydd eller verksamhetsorganisation).

Reflektionsövning: Vad försöker CRA lösa?

Fundera kort (ingen inlämning, bara för dig själv):

1. Tänk på en vardagspryl du äger som är uppkopplad (t.ex. smart-TV, router, smartwatch).

• Vilka cybersäkerhetsproblem kan uppstå om den är dåligt skyddad?
• Vem drabbas – bara du, eller även andra (t.ex. genom botnät, intrång i arbetsplatsens nätverk)?

1. Koppla till artikel 1:

• Hur skulle tydliga säkerhetskrav på produkten kunna minska dessa risker?
• Varför räcker det inte att bara säga till användaren: ”Använd ett starkt lösenord”?

Skriv gärna ned 2–3 punkter. När du senare läser om skyldigheter för tillverkare kan du gå tillbaka och se hur de hänger ihop med de problem du identifierat.

Artikel 2 – Tillämpningsområde: Vad omfattas av CRA?

Artikel 2 är avgörande för att avgöra om en produkt omfattas eller inte.

1. Grundprincip

CRA gäller för:

> Produkter med digitala inslag som släpps ut på EU-marknaden eller tas i bruk av användare i EU.

Det spelar ingen roll var tillverkaren finns. Om produkten säljs eller tillhandahålls i EU, omfattas den i princip.

2. Typiska produkter som omfattas

Exempel på produkter som normalt faller inom CRA (förutsatt att de inte omfattas av särskilda undantag):

• Hårdvara + programvara:
• routrar, nätverksswitchar
• smart-TV, smarta högtalare, spelkonsoler
• industriella styrsystem (PLC:er) med nätverksanslutning
• Fristående programvara:
• operativsystem (t.ex. desktop-OS, mobil-OS)
• skrivbordsprogram (t.ex. kontorssviter, webbläsare)
• vissa molnrelaterade komponenter som levereras som produkt (t.ex. klientprogram).

3. Vem omfattas? (översikt)

Artikel 2 kopplas senare till aktörsroller i artikel 3. CRA gäller skyldigheter för:

• tillverkare (inkl. utvecklare av programvara)
• importörer
• distributörer
• ibland även andra aktörer som modifierar produkter (t.ex. re-branding, omfattande ändringar).

I nästa steg går vi igenom de viktigaste undantagen i artikel 2.

Artikel 2 – Viktiga undantag: Vad omfattas inte?

Artikel 2 innehåller flera undantag. Här fokuserar vi på de viktigaste, förenklat och med exempel.

> OBS: Exakta formuleringar finns i förordningstexten. Här får du en praktisk översikt.

1. Nationell säkerhet, försvar, militär

Produkter som uteslutande används för:

• nationell säkerhet
• militärt försvar eller militära ändamål

omfattas normalt inte av CRA, utan av särskilda regler i respektive land.

Exempel (undantagna):

• krypterad militär kommunikationsutrustning
• stridsledningssystem för försvarsmakten

2. Vissa produkter som redan styrs av annan EU-lagstiftning

Vissa produkter har egna detaljerade cybersäkerhetsregler. För att undvika dubbelreglering kan de vara undantagna från CRA, helt eller delvis, eller så gäller CRA bara för sådant som inte redan täcks.

Typiska exempel där du måste kontrollera både CRA och sektorslagstiftning:

• medicintekniska produkter (t.ex. uppkopplade pacemakers, sjukhusapparater)
• luftfarts- och järnvägsutrustning
• fordon (som också omfattas av fordonsspecifika regler, t.ex. typgodkännande)

3. Renodlade tjänster utan produktkaraktär

CRA riktar sig mot produkter.

Tjänster (t.ex. en ren konsulttjänst) omfattas inte i sig, men programvaran/produkten som används i tjänsten kan omfattas.

4. Öppen källkod i vissa situationer

CRA gör en viktig åtskillnad för open source:

• Icke-kommersiell öppen källkod (t.ex. volontärprojekt utan kommersiell distribution) kan vara undantagen.
• Men när öppen källkod integreras i en kommersiell produkt eller tillhandahålls mot betalning eller som del av en tjänst, kan CRA ändå gälla för den slutliga produkten.

Nyckelpoäng:

Om en produkt verkar vara undantagen – kontrollera varför. Är den militär? Medicinteknisk? Ren tjänst? Eller bara en vanlig kommersiell programvara? Det är avgörande för om CRA gäller.

Snabbtest: Omfattas produkten av CRA?

Välj det bästa alternativet utifrån artikel 2 (tillämpningsområde och undantag).

Artikel 3 – Kärnbegreppet: ”Produkt med digitala inslag”

Artikel 3 innehåller många definitioner. Den viktigaste för hela förordningen är ”produkt med digitala inslag”.

Förenklad kärna (sammanfattning av definitionen):

> En produkt med digitala inslag är en

> - programvara eller hårdvara,

> - som har en direkt eller indirekt logisk eller fysisk datakoppling till en enhet eller ett nätverk,

> - och vars funktioner i väsentlig grad beror på digitala komponenter.

1. Vad ingår typiskt?

• Hårdvara med mjukvara inuti:
• smarta hushållsprodukter (lås, lampor, termostater)
• IoT-sensorer i industriella miljöer
• bilar med uppkopplade styrsystem (dock med särskilda sektorsregler parallellt)
• Ren programvara:
• mobilappar och desktop-appar
• operativsystem
• säkerhetsprogram (antivirus, brandväggar)

2. Vad är gränsfall?

• Programvara som bara körs lokalt, utan nätverkskoppling:

Kan omfattas, men cybersäkerhetsriskerna ser annorlunda ut – du måste läsa definitionen noga.

• Firmware i enkla enheter (t.ex. en enkel digital klocka utan uppkoppling):

Här kan man behöva avgöra om produkten verkligen har en relevant digital koppling eller inte.

3. Praktiskt tänkande

När du ska avgöra om något är en produkt med digitala inslag, fråga:

1. Finns det programvara eller digital logik?
2. Finns det någon form av datautbyte (nätverk, USB, Bluetooth, moln, etc.)?
3. Är den digitala delen viktig för produktens funktion?

Om svaret är ja på dessa frågor är det ofta en produkt med digitala inslag enligt artikel 3.

Exempel: Är detta en ”produkt med digitala inslag”?

Gå igenom följande exempel och resonera enligt punkterna i artikel 3.

1. Mekanisk cykel utan elektronik

• Ingen programvara, ingen uppkoppling.

→ Inte en produkt med digitala inslag.

1. Elcykel med inbyggd styrenhet utan uppkoppling

• Har digital styrning (mikrokontroller) men ingen nätverksanslutning.
• Kan ändå omfattas, eftersom digitala komponenter styr centrala funktioner (motorassistans, batterihantering).

→ Troligen produkt med digitala inslag, men med andra riskprofiler än uppkopplade produkter.

1. Smart högtalare med WiFi och röstassistent

• Har avancerad programvara, molnkoppling, ständig dataöverföring.

→ Klart en produkt med digitala inslag.

1. Mobilapp för banktjänster

• Ren programvara, kommunicerar med bankens servrar, hanterar känslig data.

→ Produkt med digitala inslag (programvara).

1. Öppen källkods-bibliotek på GitHub, utvecklat ideellt

• I sig: kan vara utanför CRA om det inte finns kommersiell distribution.
• Men: om ett företag bygger in biblioteket i sin kommersiella produkt, blir den slutliga produkten en produkt med digitala inslag som omfattas.

Poängen: Begreppet är brett. De flesta moderna digitala produkter du möter i vardagen faller in under artikel 3:s definition.

Artikel 3 – Ekonomiska aktörer: Vem gör vad?

Artikel 3 definierar också olika ekonomiska aktörer. Dessa roller avgör vilka skyldigheter du har i CRA.

Här är de viktigaste (förenklade definitioner):

1. Tillverkare

Den fysiska eller juridiska person som tillverkar eller låter konstruera/tillverka en produkt med digitala inslag och släpper ut den på marknaden under sitt eget namn eller varumärke.

1. Importör

En aktör i EU som släpper ut på EU-marknaden en produkt med digitala inslag som kommer från ett land utanför EU/EES.

1. Distributör

En aktör i leveranskedjan (annan än tillverkare eller importör) som tillhandahåller en produkt på marknaden, t.ex. återförsäljare, webbutiker inom EU.

1. Användare (slutanvändare)

En fysisk eller juridisk person som använder produkten – kan vara en konsument eller ett företag.

1. Annan relevant aktör (förenklat)

En aktör som t.ex.:

• ändrar en produkt på ett sätt som kan påverka dess överensstämmelse med CRA
• sätter sitt eget varumärke på en redan existerande produkt (re-branding)

Viktigt:

Samma företag kan ha flera roller samtidigt. Ett EU-företag som utvecklar, importerar och säljer en produkt kan vara både tillverkare, importör och distributör beroende på situationen.

Rollidentifiering: Vilken aktör är du?

Tänk dig följande scenario och försök identifiera rollerna enligt artikel 3:

> Ett svenskt företag, NordSoft AB, utvecklar en säkerhetsapp. De låter ett bolag i Vietnam skriva delar av koden, men NordSoft bestämmer funktioner och design. Appen publiceras i en appbutik under varumärket ”NordSecure”.

Frågor att besvara för dig själv:

1. Är NordSoft tillverkare, importör eller distributör enligt CRA? Varför?
2. Har det vietnamesiska bolaget någon direkt roll som ekonomisk aktör enligt artikel 3?
3. Om en annan EU-återförsäljare skapar ett eget varumärke och säljer samma app under nytt namn, vilken roll får den aktören då?

Facit (kort resonemang):

• NordSoft agerar som tillverkare (de släpper ut produkten under sitt namn, även om delar utvecklas externt).
• Det vietnamesiska bolaget är underleverantör, men inte nödvändigtvis en ”ekonomisk aktör” i CRA:s mening.
• Återförsäljaren som re-brandar appen kan i praktiken anses som tillverkare för den versionen, eftersom den släpps ut under nytt varumärke.

Kunskapscheck: Aktörsroller

Testa din förståelse av definitionerna i artikel 3.

Repetition: Centrala begrepp i artiklarna 1–3

Använd korten för att repetera nyckelbegrepp från artiklarna 1–3.