Bedömning av överensstämmelse och harmoniserade standarder (artiklarna 27, 31–32 m.fl.) - Cyber Resilience Act artikel för artikel – en strukturerad genomgång

Q: En enkel, uppkopplad väckarklocka utan säkerhetskritiska funktioner omfattas av en förordning som tillåter Modul A för lågriskprodukter och Modul B+C för högriskprodukter. Vilket förfarande är mest rimligt?

Modul A – intern tillverkningskontroll. En enkel uppkopplad väckarklocka utan säkerhetskritiska funktioner är typiskt en **lägre risk-produkt**, så om förordningen tillåter Modul A för lågriskprodukter är det mest rimligt att använda Modul A. Prisnivån (billig/dyr) spelar ingen roll för om bedömning krävs.

Översikt: Varför bedömning av överensstämmelse är central

I denna modul kopplar vi ihop det du tidigare lärt dig om tillverkarens skyldigheter, sårbarhetshantering och andra ekonomiska aktörer med bedömning av överensstämmelse.

Fokus ligger på bestämmelser som motsvarar:

Artikel 27 – presumtion om överensstämmelse och harmoniserade standarder
Artikel 31 – teknisk dokumentation (ofta specificerad i en bilaga, t.ex. bilaga VII)
Artikel 32 – förfaranden för bedömning av överensstämmelse, inklusive EU-försäkran om överensstämmelse och CE-märkning

> Aktuell rättslig kontext (2026)

> De här principerna följer EU:s s.k. nya lagstiftningsram (New Legislative Framework). I många nya regleringar – t.ex. produkter med digitala element, cybersäkerhet och AI – används samma logik: väsentliga krav i lag, och tekniska lösningar i harmoniserade standarder eller gemensamma specifikationer.

Efter modulen ska du kunna:

Beskriva huvudkomponenterna i teknisk dokumentation.
Förklara hur harmoniserade standarder och gemensamma specifikationer ger presumtion om överensstämmelse.
Välja rätt förfarande för bedömning av överensstämmelse för olika produktkategorier.

Tidsåtgången är ca 15 minuter, uppdelat i korta steg med exempel och miniquiz.

Artikel 27 – Harmoniserade standarder och presumtion om överensstämmelse

Kärnan i artikel 27 (eller motsvarande bestämmelse i olika produktförordningar) är:

> Om en produkt uppfyller relevanta harmoniserade standarder (eller delar av dem) vars referenser har publicerats i EU:s officiella tidning (EUT), så antas produkten uppfylla de motsvarande rättsliga kraven i förordningen.

Detta kallas presumtion om överensstämmelse.

Vad är en harmoniserad standard?

Tas fram av europeiska standardiseringsorganisationer (CEN, CENELEC, ETSI) på uppdrag av EU-kommissionen.
Är frivillig, men mycket använd i praktiken.
Innehåller tekniska specifikationer för hur du kan uppfylla de rättsliga kraven.

Varför är presumtion om överensstämmelse viktig?

Den förenklar bedömningen av överensstämmelse: du behöver inte från noll bevisa att varje rättsligt krav är uppfyllt, utan kan hänvisa till att du följer standarden.
Den ger förutsebarhet för tillverkare, importörer och myndigheter.

Gemensamma specifikationer (Common Specifications, CS)

Om det inte finns harmoniserade standarder, eller om de anses otillräckliga, kan EU-kommissionen anta gemensamma specifikationer:

De är rättsligt bindande (till skillnad från standarder som formellt är frivilliga).
Att följa gemensamma specifikationer ger också presumtion om överensstämmelse.

> Historiskt användes ofta bara harmoniserade standarder. Under de senaste åren (fram till 2026) har EU i fler och fler förordningar lagt till möjligheten att anta gemensamma specifikationer, särskilt för områden där tekniken utvecklas snabbt (t.ex. cybersäkerhet, AI).

Exempel: Presumtion om överensstämmelse i praktiken

Föreställ dig en tillverkare av en uppkopplad dörrlåsprodukt (smart lock) som omfattas av en EU-förordning om produkter med digitala element.

Förordningen innehåller väsentliga krav, t.ex.:

Skydd mot obehörig åtkomst
Krav på hantering av sårbarheter (du såg detta i modulen om artikel 14)
Krav på dokumentation och information till användare

Det finns en harmoniserad standard för cybersäkerhet i IoT-produkter, vars referens har publicerats i EUT.

Tillverkaren väljer att utforma produkten enligt den harmoniserade standarden:

Implementerar kryptering enligt standardens rekommendationer
Dokumenterar patch-hantering och sårbarhetsrutiner enligt standarden
Säkerställer loggning och incidenthantering enligt standarden

Vid bedömningen av överensstämmelse kan tillverkaren i den tekniska dokumentationen:

Lista vilka avsnitt av standarden som tillämpas
Mappa dem mot respektive rättsligt krav i förordningen

Eftersom produkten uppfyller den relevanta harmoniserade standarden, anses den (presumeras) uppfylla de motsvarande rättsliga kraven.

Det betyder inte att myndigheten aldrig får ifrågasätta säkerheten, men bevisbördan flyttas: myndigheten måste visa varför standarden inte räcker i just det fallet, eller varför produkten trots standarden ändå inte uppfyller kraven.

Snabbkoll: Harmoniserade standarder

Testa om du har grepp om presumtion om överensstämmelse.

Vilket påstående stämmer bäst med artikel 27-principen om harmoniserade standarder?

Om du följer en harmoniserad standard behöver du inte följa lagen.
Om du följer en harmoniserad standard presumeras du uppfylla motsvarande rättsliga krav.
Harmoniserade standarder är obligatoriska och måste alltid följas.

Show Answer

Answer: B) Om du följer en harmoniserad standard presumeras du uppfylla motsvarande rättsliga krav.

Alternativ 2 är rätt: harmoniserade standarder är formellt frivilliga, men om du följer dem får du en **presumtion om överensstämmelse** med de motsvarande rättsliga kraven. De ersätter inte lagen, utan konkretiserar hur du kan uppfylla den.

Artikel 31 – Teknisk dokumentation (Bilaga VII)

Artikel 31 (med hänvisning till en bilaga, ofta Bilaga VII) anger att tillverkaren måste ta fram teknisk dokumentation som visar att produkten uppfyller alla tillämpliga krav.

Syftet med teknisk dokumentation

Vara underlag för bedömning av överensstämmelse.
Göra det möjligt för marknadskontrollmyndigheter att förstå hur kraven uppfylls.
Koppla ihop lagkrav med tekniska lösningar (t.ex. standarder, tester, riskanalyser).

Typiska huvudkomponenter (förenklad struktur)

Enligt den typ av krav som återkommer i många EU-förordningar (inkl. nyare regler om digitala element) brukar teknisk dokumentation innehålla:

Allmän beskrivning av produkten

Produktens typ/beteckning, version, modell
Avsedda användningsområden, målgrupp
Översikt över funktioner (inkl. digitala funktioner, uppkoppling, AI-komponenter om relevant)

Konstruktions- och tillverkningsinformation

Ritningar, scheman, arkitekturdiagram (inkl. mjukvaruarkitektur)
Beskrivning av komponenter (hårdvara, mjukvara, tredjepartsbibliotek, molntjänster)

Riskanalys och riskhantering

Identifierade risker (t.ex. cybersäkerhetsrisker, integritetsrisker)
Valda skyddsåtgärder och motiveringar
Koppling till sårbarhetshantering (artikel 14 i tidigare modul)

Lista över tillämpade harmoniserade standarder och/eller gemensamma specifikationer

Fullständiga referenser (nummer, titel, utgåva)
Vilka delar/avsnitt som används

Provnings- och utvärderingsrapporter

Testprotokoll (funktionella tester, penetrationstester, säkerhetstester)
Resultat och åtgärder vid avvikelser

Instruktioner och säkerhetsinformation

Bruksanvisningar, användarhandböcker
Information om uppdateringar, support, sårbarhetsrapportering

Koppling till EU-försäkran om överensstämmelse

Hur dokumentationen stödjer påståendena i försäkran

> I många förordningar måste dokumentationen bevaras i minst 10 år efter att den sista produkten släppts ut på marknaden. Detta gäller även om företaget upphör eller produkten inte längre säljs.

Övning: Bygg en enkel innehållsförteckning för teknisk dokumentation

Föreställ dig att du är ansvarig för teknisk dokumentation för en uppkopplad hushållsapparat (t.ex. en smart diskmaskin) som omfattas av en cybersäkerhetsinriktad produktförordning.

Uppgift:

Skriv (mentalt eller på papper) en kort innehållsförteckning med 6–8 rubriker som du skulle ha med i den tekniska dokumentationen.

Använd gärna denna struktur som stöd:

Produktbeskrivning
Arkitektur och komponenter
Riskanalys (inkl. cybersäkerhet)
Lista över standarder/CS
Test- och provningsrapporter
Användarinstruktioner och säkerhetsinformation
Rutiner för uppdateringar och sårbarhetshantering

Reflektera sedan:

Vilka delar känns mest självklara för dig att fylla i?
Vilka delar skulle du behöva samarbeta med andra (t.ex. utvecklare, jurister, säkerhetsexperter) för att få fram?

Artikel 32 – Förfaranden för bedömning av överensstämmelse

Artikel 32 (eller motsvarande bestämmelser) beskriver vilka vägar en tillverkare kan använda för att visa att produkten uppfyller kraven. Dessa kallas moduler eller förfaranden för bedömning av överensstämmelse.

I EU-rätten finns ett standardiserat "modulsystem" (A, B, C, osv.). En förordning väljer vilka moduler som gäller för en viss produktkategori, ofta beroende på risknivå.

Förenklad översikt över vanliga moduler

Modul A – Intern tillverkningskontroll
Tillverkaren gör själv all bedömning.
Ingen anmält organ (notified body) behövs.
Vanligt för lägre risk-produkter.

Modul B – EU-typgranskning
Ett anmält organ granskar en typ av produkten och utfärdar ett EU-typintyg.

Modul C – Överensstämmelse med typ baserad på intern tillverkningskontroll
Tillverkaren säkerställer att alla enheter som produceras överensstämmer med den godkända typen (från modul B).

Andra moduler (D, E, F, G, H)
Innebär olika nivåer av kvalitetssäkring, produktprovning eller fullständig kvalitetssäkring där anmält organ har en större roll.

Hur väljer man rätt förfarande?

Förordningen anger vilka moduler som får användas för olika produktkategorier.
Valet beror ofta på:

Risknivå (t.ex. påverkan på säkerhet, hälsa, kritisk infrastruktur)
Typ av produkt (serietillverkad, skräddarsydd, komplex systemprodukt)

Tillverkaren måste läsa den relevanta bilagan (t.ex. Bilaga VIII, IX, X) där detaljerna om modulerna finns.

> I nyare regler för digitala produkter (fram till 2026) ser vi ofta att "enklare" produkter får använda Modul A, medan produkter med högre risk (t.ex. vissa säkerhetskritiska IoT-system) kan kräva Modul B + C eller moduler med mer omfattande involvering av anmält organ.

Välj rätt förfarande: Minifall

Koppla produkt och rimligt förfarande utifrån risk.

En enkel, uppkopplad väckarklocka utan säkerhetskritiska funktioner omfattas av en förordning som tillåter Modul A för lågriskprodukter och Modul B+C för högriskprodukter. Vilket förfarande är mest rimligt?

Modul A – intern tillverkningskontroll
Modul B + C – EU-typgranskning och överensstämmelse med typ
Ingen bedömning behövs om produkten är billig

Show Answer

Answer: A) Modul A – intern tillverkningskontroll

En enkel uppkopplad väckarklocka utan säkerhetskritiska funktioner är typiskt en **lägre risk-produkt**, så om förordningen tillåter Modul A för lågriskprodukter är det mest rimligt att använda Modul A. Prisnivån (billig/dyr) spelar ingen roll för om bedömning krävs.

EU-försäkran om överensstämmelse och CE-märkning

När bedömningen av överensstämmelse är klar leder det till två centrala saker:

EU-försäkran om överensstämmelse (DoC)

Tillverkaren intygar på eget ansvar att produkten uppfyller alla relevanta krav.
Måste innehålla bl.a.:
Identifiering av produkt och tillverkare
Hänvisning till den relevanta EU-lagstiftningen (t.ex. en specifik förordning) och dess artiklar/bilagor
Lista över tillämpade harmoniserade standarder och/eller gemensamma specifikationer
Hänvisning till eventuellt anmält organ och certifikatnummer
Ska undertecknas av en person med befogenhet att företräda tillverkaren.

CE-märkning

Visar att produkten uppfyller alla tillämpliga EU-krav som kräver CE-märkning.
Måste vara synlig, läsbar och outplånlig på produkten (eller på förpackning/dokument om det behövs).
Om ett anmält organ medverkat i vissa moduler, ska dess identifikationsnummer ofta anges vid CE-märkningen.

Koppling till tidigare moduler

I modulen om tillverkarens skyldigheter såg du att tillverkaren ansvarar för sårbarhetshantering och uppdateringar även efter att produkten släppts ut på marknaden.
I modulen om importörer och distributörer såg du att dessa aktörer måste kontrollera att:
Produkten är CE-märkt
Det finns EU-försäkran om överensstämmelse
Den nödvändiga tekniska dokumentationen finns (även om de normalt inte behöver ha allt själva, utan kunna få det från tillverkaren vid behov).

CE-märkningen är alltså slutresultatet av en kedja:

> Rättsliga krav → harmoniserade standarder/CS → teknisk dokumentation → bedömning av överensstämmelse → EU-försäkran → CE-märkning.

Repetera nyckelbegrepp

Använd korten för att repetera centrala begrepp från modulen.

Presumtion om överensstämmelse: En rättslig princip: om en produkt uppfyller relevanta harmoniserade standarder eller gemensamma specifikationer, **antas** den uppfylla motsvarande krav i den tillämpliga EU-lagstiftningen.
Harmoniserad standard: En teknisk standard framtagen av CEN, CENELEC eller ETSI på uppdrag av EU-kommissionen. Den är formellt frivillig, men om den följs ger den **presumtion om överensstämmelse** när dess referens publicerats i EU:s officiella tidning.
Gemensamma specifikationer (Common Specifications, CS): Tekniska specifikationer som antas direkt av EU-kommissionen när harmoniserade standarder saknas eller är otillräckliga. De är **rättsligt bindande** och ger också presumtion om överensstämmelse.
Teknisk dokumentation: Ett samlat underlag som visar hur produkten uppfyller alla tillämpliga krav. Innehåller bl.a. produktbeskrivning, konstruktion, riskanalys, lista över standarder/CS, testresultat och instruktioner.
Modul A (intern tillverkningskontroll): Ett förfarande för bedömning av överensstämmelse där tillverkaren själv ansvarar för all nödvändig kontroll, utan involvering av anmält organ. Vanligt för lågriskprodukter.
EU-försäkran om överensstämmelse: Ett dokument där tillverkaren intygar på eget ansvar att produkten uppfyller alla tillämpliga krav i relevant EU-lagstiftning, och listar tillämpade standarder/CS samt ev. anmält organ.
CE-märkning: En märkning på produkten som visar att den uppfyller alla tillämpliga EU-krav som kräver CE-märkning. Får sättas på först efter korrekt bedömning av överensstämmelse och utfärdad EU-försäkran.

Key Terms

Modul A: Förfarande för bedömning av överensstämmelse baserat på intern tillverkningskontroll utan anmält organ.
CE-märkning: Märkning som visar att produkten uppfyller alla tillämpliga krav enligt EU-lagstiftning som kräver CE-märkning.
Harmoniserad standard: EU-relaterad teknisk standard som ger presumtion om överensstämmelse när dess referens publicerats i EU:s officiella tidning.
Teknisk dokumentation: Samlad dokumentation som visar att en produkt uppfyller alla tillämpliga krav i relevant EU-lagstiftning.
Anmält organ (Notified Body): Oberoende organisation utsedd av en medlemsstat och anmäld till EU-kommissionen för att utföra bedömning av överensstämmelse i vissa moduler.
Presumtion om överensstämmelse: Antagande om att en produkt uppfyller rättsliga krav när den följer relevanta harmoniserade standarder eller gemensamma specifikationer.
EU-försäkran om överensstämmelse: Formell försäkran från tillverkaren om att produkten uppfyller relevanta EU-krav.
Gemensamma specifikationer (Common Specifications, CS): Rättsligt bindande tekniska specifikationer antagna av EU-kommissionen som kan användas istället för eller som komplement till harmoniserade standarder.