SkarpSkarp
Get the App

Chapter 3 of 13

Fri rörlighet, offentlig upphandling och grundläggande krav (artiklarna 4–6)

Denna modul behandlar hur CRA påverkar den inre marknaden, offentlig upphandling och de grundläggande cybersäkerhetskraven i artikel 6, inklusive kopplingen till bilaga I.

15 min readsv

Överblick: Artiklarna 4–6 och bilaga I

I denna modul går vi djupare in på hur Cyber Resilience Act (CRA) påverkar:

  • den inre marknaden (artikel 4 – fri rörlighet)
  • offentlig upphandling och användning av produkter (artikel 5)
  • de väsentliga cybersäkerhetskraven (artikel 6, kopplat till bilaga I)

Sedan CRA antogs på EU‑nivå (2024) och fram till idag (början av 2026) har den blivit ett centralt verktyg för att skapa enhetliga krav på cybersäkerhet i hela EU. Det innebär:

  • färre motstridiga nationella regler
  • tydligare spelregler för företag
  • starkare skydd för användare

I förra modulen gick du igenom syfte, struktur, tidslinje och definitioner (artiklarna 1–3). Nu bygger vi vidare på detta och fokuserar på vad CRA faktiskt kräver av produkter med digitala inslag och hur det påverkar fri rörlighet och upphandling.

> Mål med modulen: Efter 15 minuter ska du kunna:

> - förklara hur CRA säkerställer fri rörlighet för produkter med digitala inslag (artikel 4)

> - beskriva huvuddragen i de väsentliga cybersäkerhetskraven (artikel 6 + bilaga I på hög nivå)

> - ge exempel på hur offentlig upphandling påverkas (artikel 5)

Artikel 4 – Fri rörlighet: Vad innebär den i praktiken?

Artikel 4 är kärnan i hur CRA stödjer den inre marknaden.

Kärnidén

Om en produkt med digitala inslag uppfyller CRA (inklusive CE‑märkning och relevanta förfaranden) får:

  • medlemsstaterna inte:
  • förbjuda att den släpps ut på marknaden
  • begränsa den
  • kräva extra cybersäkerhetskrav enbart av cybersäkerhetsskäl

Detta är samma logik som i många andra produktförordningar (t.ex. leksaker, maskiner):

> En uppsättning EU‑krav → fri rörlighet i hela EU.

Varför behövs detta?

Före CRA kunde länder anta egna cybersäkerhetskrav för t.ex. IoT‑prylar. Det skapade:

  • fragmentering (olika regler i olika länder)
  • ökade kostnader för företag
  • osäkerhet för upphandlare och användare

Artikel 4 säger i princip: “Har produkten klarat EU‑kraven under CRA, så ska den få röra sig fritt inom EU.”

Koppling till andra regler

  • Den här fri‑rörlighetsprincipen gäller parallellt med annan EU‑lagstiftning, t.ex.:
  • NIS2‑direktivet (organisationskrav på säkerhet)
  • AI‑förordningen (för vissa AI‑system)
  • CRA täcker produktens cybersäkerhet, inte hela organisationens säkerhetsarbete.

> Kom ihåg: Artikel 4 handlar inte om hur säker en produkt bör vara – det är artikel 6 + bilaga I. Artikel 4 säger vad som händer när den väl uppfyller kraven.

Exempel: Fri rörlighet för en uppkopplad industrisensor

Föreställ dig ett svenskt företag, NordicSensors AB, som utvecklar en uppkopplad industrisensor:

  1. Sensorn är en produkt med digitala inslag enligt artikel 3 (du såg definitionen i förra modulen).
  2. Företaget ser till att sensorn uppfyller de väsentliga cybersäkerhetskraven i artikel 6 och bilaga I.
  3. De genomför en konformitetsbedömning enligt CRA (t.ex. egenbedömning eller anmält organ, beroende på riskkategori) och CE‑märker produkten.

Konsekvens enligt artikel 4:

  • Tyskland kan inte säga: “Ni måste lägga till ett extra nationellt säkerhetscertifikat bara för att få sälja sensorn här.”
  • Frankrike kan inte förbjuda försäljningen enbart med motiveringen att de vill ha striktare cybersäkerhetskrav än CRA.

Däremot kan länder fortfarande:

  • ställa tekniska krav av andra skäl (t.ex. radiostörningar, elsäkerhet – styrs av andra EU‑regler)
  • agera mot produkter som visar sig vara farliga eller bristfälliga (t.ex. enligt marknadskontrollreglerna), även om de är CE‑märkta

> Poängen: När produkten uppfyller CRA ska cybersäkerhetsaspekten i sig inte längre vara ett hinder för att sälja eller använda produkten i andra EU‑länder.

Artikel 5 – Offentlig upphandling och användning

Artikel 5 riktar sig särskilt till offentliga aktörer (myndigheter, kommuner, regioner m.fl.) och ibland även större offentligt styrda organ.

Två huvuddelar i artikel 5

  1. Offentlig upphandling
  • När en myndighet köper in produkter med digitala inslag ska den inte kräva andra eller striktare cybersäkerhetskrav än de som följer av CRA, om produkten redan uppfyller CRA.
  • Syftet är att undvika att varje myndighet hittar på egna, avvikande cybersäkerhetskrav som bryter den inre marknaden.
  1. Offentlig användning
  • Offentliga aktörer får inte förbjuda eller begränsa användningen av en produkt som uppfyller CRA enbart av cybersäkerhetsskäl.

Viktigt nyans

Artikel 5 hindrar inte att:

  • upphandlare ställer ytterligare krav som inte strider mot CRA, t.ex.:
  • krav på supportavtal
  • krav på incidentrapportering i kontraktet
  • integrationskrav mot befintliga system
  • upphandlare beaktar andra regelverk, t.ex. dataskydd (GDPR), NIS2‑baserade krav på tjänsteleverantörer, eller AI‑förordningen.

Det centrala är: du får inte undergräva den harmoniserade nivån i CRA genom att skapa parallella cybersäkerhetsregelverk i upphandlingar.

Tankeövning: Är detta tillåtet i en upphandling?

Föreställ dig att du jobbar på en region som ska upphandla ett nytt system för digitala lås till sjukhus.

Produkten du tittar på:

  • är CE‑märkt enligt CRA
  • uppfyller de väsentliga kraven i artikel 6 och bilaga I

Regionen funderar på att lägga in följande krav i upphandlingen:

  1. Krav A: Leverantören ska tillhandahålla säkerhetsuppdateringar i minst 5 år.
  2. Krav B: Produkten måste uppfylla nationella cybersäkerhetskrav som går längre än CRA (t.ex. specifika extra krypteringsnivåer som bara finns i en nationell standard).
  3. Krav C: Leverantören ska ha en incidentprocess som gör att kritiska sårbarheter kan åtgärdas inom 48 timmar.

> Uppgift: Fundera själv (ingen automatisk rättning här):

> - Vilka krav (A, B, C) ligger i linje med artikel 5?

> - Vilka riskerar att krocka med principen om harmoniserade krav?

>

> Skriv gärna ned en kort motivering för varje krav. Tänk särskilt på skillnaden mellan att ställa kontraktskrav på leverantören och att lägga på egna tekniska cybersäkerhetskrav på produkten utöver CRA.

Artikel 6 – Väsentliga cybersäkerhetskrav (översikt)

Artikel 6 anger väsentliga krav som alla produkter med digitala inslag måste uppfylla. Bilaga I utvecklar dem mer tekniskt.

Tänk på artikel 6 som “vad produkten måste klara” ur cybersäkerhetssynpunkt, oavsett om det är en IoT‑lampa, en router eller en industrirobot.

På en förenklad nivå kan kraven grupperas i fyra block:

  1. Säker utformning och utveckling
  • Produkter ska designas och utvecklas enligt “security by design” och “security by default”.
  • Tillverkaren ska göra riskanalyser och hantera cybersäkerhetsrisker under hela utvecklingsprocessen.
  1. Skydd av data och funktioner
  • Produkterna ska skydda:
  • konfidentialitet, integritet och tillgänglighet hos data
  • kritiska funktioner (t.ex. styra en medicinsk pump eller en låsfunktion)
  • Säker konfiguration, autentisering, hantering av behörigheter m.m.
  1. Sårbarhetshantering och uppdateringar
  • Tillverkaren ska ha processer för:
  • att upptäcka, rapportera och åtgärda sårbarheter
  • att tillhandahålla säkerhetsuppdateringar under en definierad period
  • Uppdateringar ska kunna installeras på ett säkert sätt (t.ex. signering, skydd mot manipulerade uppdateringar).
  1. Dokumentation och information till användare
  • Användare ska få relevant säkerhetsinformation, t.ex.:
  • hur produkten ska konfigureras säkert
  • hur länge den förväntas få säkerhetsuppdateringar
  • kända begränsningar och antaganden (t.ex. att den ska köras bakom en brandvägg)

Bilaga I bryter ned detta i mer detaljerade punkter, men artikel 6 är den rättsligt bindande ramen som allt annat hänger på.

Exempel: Tillämpning av artikel 6 + bilaga I på en smart hem‑router

Ta en smart Wi‑Fi‑router för hemmet. Hur skulle artikel 6 och bilaga I påverka den?

  1. Säker utformning
  • Routern får inte levereras med ett universellt standardlösenord (t.ex. admin/admin).
  • Den bör t.ex. ha unika standardlösenord per enhet eller tvinga användaren att skapa ett starkt lösenord vid första start.
  1. Skydd av data och funktioner
  • Administrationsgränssnittet ska vara skyddat (t.ex. https, inte okrypterad http på internet).
  • Loggar och konfigurationsdata ska lagras på ett sätt som förhindrar enkel manipulation.
  1. Sårbarhetshantering
  • Tillverkaren ska ha en process för att ta emot sårbarhetsrapporter (t.ex. från säkerhetsforskare).
  • När en sårbarhet upptäcks ska en säker uppdatering kunna distribueras, och routern ska kunna uppdateras utan att riskera att bli "brickad".
  1. Information till användare
  • I dokumentationen ska det framgå:
  • hur länge routern kommer få säkerhetsuppdateringar (t.ex. 5 år från köpdatum)
  • rekommenderad säker konfiguration (t.ex. slå på automatisk uppdatering, ändra admin‑lösenord)

> Med andra ord: CRA gör det svårare att sälja “osäkra som standard”‑produkter och tvingar tillverkare att bygga in säkerhet från början.

Snabbkoll: Vad är kärnan i de väsentliga kraven?

Testa din förståelse av artikel 6 på en övergripande nivå.

Vilket påstående fångar bäst kärnan i de väsentliga cybersäkerhetskraven i artikel 6 (med bilaga I)?

  1. De handlar främst om att produkter ska klara alla kända penetrationstester utan sårbarheter.
  2. De anger en ram för säker design, skydd av data och funktioner, sårbarhetshantering och information till användare.
  3. De gäller bara för produkter som används i kritisk infrastruktur och inte för konsumentprodukter.
Show Answer

Answer: B) De anger en ram för säker design, skydd av data och funktioner, sårbarhetshantering och information till användare.

Artikel 6 + bilaga I är inte en checklista på specifika tester, utan en uppsättning väsentliga krav kring säker design, skydd av data/funktioner, sårbarhetshantering och information. De gäller brett för produkter med digitala inslag, inte bara för kritisk infrastruktur.

Repetera nyckelbegrepp

Använd korten för att repetera några centrala begrepp från artiklarna 4–6.

Fri rörlighet (enligt artikel 4)
Principen att en produkt med digitala inslag som uppfyller CRA (inkl. CE‑märkning) ska kunna släppas ut på och användas på hela EU:s inre marknad utan ytterligare nationella cybersäkerhetskrav.
Offentlig upphandling (artikel 5)
Reglerar att offentliga aktörer inte får införa egna, avvikande cybersäkerhetskrav på produkter som redan uppfyller CRA, enbart av cybersäkerhetsskäl. Syftar till att bevara harmoniseringen och fri rörlighet.
Väsentliga cybersäkerhetskrav (artikel 6)
Övergripande krav på säker design, skydd av data och funktioner, sårbarhetshantering och information till användare. Bilaga I ger mer detaljerat, tekniskt innehåll.
Security by design
Att cybersäkerhet integreras i design- och utvecklingsprocessen från början, istället för att läggas på i efterhand.
Sårbarhetshantering
Processer och rutiner för att ta emot, analysera, åtgärda och distribuera lösningar för identifierade sårbarheter i en produkt, inklusive säkra uppdateringar.

Applicera kunskapen: Mini‑fallstudie

Du är rådgivare åt ett medelstort svenskt företag som utvecklar en medicinsk app kopplad till en bärbar sensor. Företaget vill sälja i hela EU och delta i offentliga upphandlingar.

Fundera steg för steg (svara gärna i egna anteckningar):

  1. Fri rörlighet (artikel 4):
  • Vad måste företaget göra för att produkten ska kunna säljas i flera EU‑länder utan extra nationella cybersäkerhetskrav?
  1. Offentlig upphandling (artikel 5):
  • Hur underlättar det för företaget i upphandlingar att produkten uppfyller CRA?
  • Vilken typ av extra krav kan ändå dyka upp i upphandlingar utan att strida mot artikel 5?
  1. Väsentliga krav (artikel 6 + bilaga I):
  • Nämn minst två konkreta aspekter företaget måste hantera i sin utvecklingsprocess för att leva upp till de väsentliga kraven (t.ex. uppdateringar, hantering av känsliga hälsodata, dokumentation till användare).

> Tips: Tänk på helheten: teknisk säkerhet, processer för sårbarhetshantering och vilken information som måste följa med produkten.

Key Terms

CE‑märkning
EU‑märkning som visar att en produkt uppfyller tillämpliga EU‑krav, inklusive relevanta bestämmelser i CRA för produkter med digitala inslag.
Fri rörlighet
Princip inom EU:s inre marknad som innebär att produkter som uppfyller relevanta EU‑krav får släppas ut på och cirkulera fritt på marknaden utan ytterligare nationella hinder.
Security by design
Princip där säkerhet integreras i hela design- och utvecklingsprocessen, istället för att läggas till i efterhand.
Sårbarhetshantering
Systematiskt arbete med att identifiera, bedöma, åtgärda och följa upp säkerhetsbrister i produkter och system.
Offentlig upphandling
Processen där offentliga myndigheter och andra upphandlande enheter köper varor, tjänster eller byggentreprenader, reglerad av EU:s upphandlingsdirektiv och nationell lag.
Cyber Resilience Act (CRA)
EU‑förordning antagen 2024 som ställer harmoniserade cybersäkerhetskrav på produkter med digitala inslag på EU:s inre marknad.
Produkt med digitala inslag
En fysisk eller digital produkt som innehåller data- eller programvarukomponenter och som kan kopplas till ett nätverk eller på annat sätt behandlar data (se artikel 3 i CRA).
Väsentliga cybersäkerhetskrav
De övergripande krav i artikel 6 (med detaljer i bilaga I) som en produkt med digitala inslag måste uppfylla för att anses cybersäker enligt CRA.