SkarpSkarp
Get the App

Chapter 4 of 13

Riskklasser: Viktiga och kritiska produkter (artiklarna 7–8 och bilagor II–III)

Fokus på hur CRA klassificerar produkter som viktiga respektive kritiska, hur listorna i bilagor II och III används och vilka följder klassningen får för krav och bedömning av överensstämmelse.

15 min readsv

Översikt: Varför riskklasser i CRA?

Cyber Resilience Act (CRA) antogs 2024 och är nu (drygt ett år senare) EU:s centrala reglering för cybersäkerhet i produkter med digitala inslag.

I den här modulen fokuserar vi på:

  • Artikel 7viktiga produkter med digitala inslag
  • Artikel 8kritiska produkter med digitala inslag
  • Bilaga II och III – listor över produktkategorier

Syftet med riskklasserna är att:

  1. Rikta strängare krav mot produkter som kan orsaka störst skada vid cyberangrepp.
  2. Styra hur bedömning av överensstämmelse ska gå till (t.ex. egenbedömning vs. anmält organ).
  3. Underlätta tillsyn och prioritering för myndigheter.

Kom ihåg kopplingen till tidigare moduler:

  • Från artiklarna 1–3 vet du vad en produkt med digitala inslag är och vilka aktörer som omfattas.
  • Från artiklarna 4–6 vet du att alla produkter måste uppfylla de grundläggande cybersäkerhetskraven (artikel 6 + bilaga I).

Nyckelidé: Alla produkter med digitala inslag omfattas av CRA, men viktiga och kritiska produkter omfattas av extra strikta regler för bedömning av överensstämmelse och tillsyn.

Artikel 7: Vad är en *viktig* produkt?

Artikel 7 definierar vilka produkter som anses viktiga. Dessa listas i bilaga II.

En förenklad tumregel:

> Viktiga produkter = produkter där ett cyberangrepp kan ge betydande men inte nödvändigtvis katastrofala konsekvenser.

Typiska kännetecken för viktiga produkter:

  • Används brett i företag och offentlig sektor.
  • Är ofta byggstenar i IT- och OT-miljöer (operational technology).
  • Ett intrång kan leda till störningar, dataläckor eller ekonomisk skada.

I bilaga II hittar du t.ex. (förenklade kategorier, inte fullständig lista):

  • Nätverksutrustning på företagsnivå (t.ex. företagsroutrar, brandväggar, switchar).
  • Identitets- och åtkomsthanteringssystem (IAM).
  • Vissa serveroperativsystem och virtualiseringsplattformar.
  • Vissa industriella styrsystem som inte når upp till “kritisk”-nivån.

Konsekvens: Om din produkt hamnar i bilaga II betraktas den som viktig, vilket normalt innebär strängare krav på bedömning av överensstämmelse än för “vanliga” produkter.

Artikel 8: Vad är en *kritisk* produkt?

Artikel 8 definierar vilka produkter som anses kritiska. Dessa listas i bilaga III.

Förenklad tumregel:

> Kritiska produkter = produkter där ett cyberangrepp kan få mycket allvarliga eller systemiska konsekvenser för samhälle, ekonomi eller säkerhet.

Typiska kännetecken för kritiska produkter:

  • Används i kritisk infrastruktur (energi, transport, sjukvård, finans, offentlig förvaltning m.m.).
  • Är centrala för nätverk, moln, kryptografi eller säkerhetsfunktioner.
  • Ett intrång kan leda till stora driftstopp, påverkan på samhällsfunktioner eller massiva dataläckor.

I bilaga III hittar du t.ex. (återigen förenklat):

  • Kärnkomponenter för publika molntjänster.
  • Högsäkerhets‑kryptoprodukter (t.ex. HSM:er – Hardware Security Modules).
  • Vissa 5G‑komponenter och annan avancerad nätverksinfrastruktur.
  • Vissa säkerhetsprodukter (t.ex. avancerade IDS/IPS-system) som skyddar hela nät.

Konsekvens: Kritiska produkter omfattas av hårdast krav på bedömning av överensstämmelse, ofta med obligatorisk medverkan av ett anmält organ (notified body) och/eller striktare tekniska krav.

Exempel: Klassning av tre olika produkter

Föreställ dig tre produkter:

  1. Konsument‑WiFi‑router för hemmabruk
  • Används av privatpersoner.
  • Viktig för den enskilde, men påverkar sällan samhällskritiska funktioner direkt.
  • Om den inte är listad i bilaga II eller III → inte “viktig” eller “kritisk” enligt artiklarna 7–8, utan en “vanlig” produkt med digitala inslag.
  1. Företagsbrandvägg för datacenter
  • Används för att skydda stora företagsnätverk.
  • Angrepp kan ge omfattande dataläckor och driftsstopp.
  • Denna typ av brandvägg är typiskt listad i bilaga II.
  • → Klassas som viktig produkt.
  1. Kärnkomponent i en europeisk molnplattform som används av banker och myndigheter
  • Ett avbrott kan påverka betalningssystem, e‑förvaltning, sjukvårdsjournaler m.m.
  • Sådana komponenter återfinns normalt i bilaga III.
  • → Klassas som kritisk produkt.

Observera: Den exakta klassningen avgörs genom att matcha produktens funktion och användning mot kategorierna i bilaga II och III, inte genom subjektiv känsla av “viktig” eller “kritisk”.

Steg‑för‑steg: Hur avgör du om en produkt är viktig eller kritisk?

Använd följande checklista när du ska klassificera en produkt enligt CRA. Läs varje steg och försök tänka på en konkret produkt som exempel (t.ex. en IoT‑sensor, en molntjänst eller en mjukvaruplattform).

  1. Bekräfta att produkten omfattas av CRA
  • Är det en produkt med digitala inslag enligt artikel 3 (t.ex. programvara, hårdvara med mjukvara, IoT‑enhet)?
  • Om nej → CRA gäller inte → ingen klassning enligt artiklarna 7–8.
  1. Identifiera produktens huvudsakliga funktion
  • Är det t.ex. nätverksutrustning, säkerhetsprodukt, industriell styrning, identitetshantering, molnkomponent, konsumentapp?
  1. Jämför med bilaga III (kritiska produkter) först
  • Leta efter kategorier som matchar din produkt:
  • Högsäkerhets‑krypto?
  • Kärnkomponenter i moln/5G?
  • Säkerhetsprodukter som skyddar hela nät?
  • Om du hittar en tydlig match → produkten är kritisk.
  1. Om inte kritisk: jämför med bilaga II (viktiga produkter)
  • Hittar du en kategori som rimligt beskriver din produkt?
  • Om ja → produkten är viktig.
  1. Om produkten inte finns i bilaga II eller III
  • Den är fortfarande en produkt med digitala inslag och måste uppfylla artikel 6 + bilaga I.
  • Men den räknas inte som “viktig” eller “kritisk” enligt artiklarna 7–8.
  1. Dokumentera din bedömning
  • Skriv ned:
  • Vilken bilaga och kategori du hänvisar till.
  • Varför du anser att produktens funktion matchar just den kategorin.

Övning:

  • Välj en verklig produkt du känner till (t.ex. ett EHR‑system i vården, en VPN‑tjänst eller en smart elmätare).
  • Gå igenom punkterna 1–6 och skriv (på papper eller i dator) vilken kategori du tror att den hamnar i och varför.

Konsekvenser för bedömning av överensstämmelse

Klassningen (vanlig / viktig / kritisk) styr hur hård bedömningen av överensstämmelse blir.

Förenklat (detaljerna finns i senare artiklar och bilagor, men principen är viktig redan nu):

  1. Vanliga produkter med digitala inslag
  • Ofta möjligt med intern kontroll (egenbedömning) + teknisk dokumentation.
  • Tillverkaren kan i många fall själv försäkra att kraven i artikel 6 och bilaga I uppfylls.
  1. Viktiga produkter (bilaga II)
  • Ofta strängare procedurer:
  • Kan kräva tredjepartsbedömning i vissa fall (beroende på om harmoniserade standarder används, om det finns EU‑gemensamma specifikationer etc.).
  • Mer omfattande riskanalyser, testning och dokumentation.
  1. Kritiska produkter (bilaga III)
  • Högsta kravnivån:
  • Obligatorisk medverkan av anmält organ är vanligt.
  • Fördjupad teknisk granskning, ibland penetrationstester, granskning av utvecklingsprocesser m.m.
  • Strängare krav på uppdateringar, sårbarhetshantering och incidentrapportering.

Viktig poäng:

  • Alla produkter måste uppfylla samma grundläggande cybersäkerhetskrav (artikel 6 + bilaga I).
  • Skillnaden ligger i hur du måste bevisa att du uppfyller kraven.

Det här påverkar:

  • Time‑to‑market (hur lång tid det tar att komma ut på marknaden).
  • Kostnader (tredjepartsbedömning är dyrare än egenbedömning).
  • Ansvar och risk (fel i kritiska produkter kan få större rättsliga följder).

Snabbtest: Förstå skillnaden mellan viktiga och kritiska produkter

Svara på frågan nedan genom att välja det bästa alternativet.

Vilken av följande påståenden beskriver **bäst** skillnaden mellan viktiga och kritiska produkter enligt CRA?

  1. Viktiga produkter måste följa cybersäkerhetskrav, men kritiska produkter behöver inte göra det.
  2. Kritiska produkter finns i bilaga III och innebär generellt striktare krav på bedömning av överensstämmelse än viktiga produkter i bilaga II.
  3. Viktiga produkter gäller bara hårdvara och kritiska produkter gäller bara programvara.
Show Answer

Answer: B) Kritiska produkter finns i bilaga III och innebär generellt striktare krav på bedömning av överensstämmelse än viktiga produkter i bilaga II.

Kritiska produkter listas i bilaga III och är förknippade med de striktaste förfarandena för bedömning av överensstämmelse. Viktiga produkter listas i bilaga II och har också skärpta krav, men generellt inte lika långtgående som för kritiska produkter. Alla produkter (även vanliga) måste följa de grundläggande cybersäkerhetskraven, så alternativ 1 är fel. Alternativ 3 är fel eftersom både viktiga och kritiska produkter kan vara hårdvara, programvara eller kombinationer.

Tillämpning: Klassificera tre fiktiva produkter

Fundera på följande tre fiktiva produkter. För varje produkt:

1) Avgör om den troligen är vanlig, viktig eller kritisk.

2) Motivera kort utifrån hur du tror att den matchar bilaga II eller III.

Produkt A: “CityGrid SCADA‑hub”

En mjukvaruplattform som styr trafikljus, gatubelysning och vissa energiflöden i en större stad.

  • Frågor att tänka på:
  • Används den i kritisk infrastruktur?
  • Skulle ett avbrott få stora samhällskonsekvenser?
  • Finns liknande system i bilaga II eller III (industriella styrsystem, kritisk infrastruktur)?

Produkt B: “SecureID Cloud SSO”

En molnbaserad Single Sign‑On‑tjänst (SSO) som används av tusentals företag i EU för inloggning till interna system.

  • Frågor att tänka på:
  • Är detta en identitets- och åtkomsthanteringslösning?
  • Är det en kärnkomponent i en molninfrastruktur eller en tjänst ovanpå?
  • Liknar den kategorier i bilaga II (IAM) eller bilaga III (kärnkomponenter i moln)?

Produkt C: “SmartFit Home Scale”

En uppkopplad våg för hemmabruk som skickar viktdata till en mobilapp.

  • Frågor att tänka på:
  • Är den del av samhällskritiska funktioner?
  • Finns denna typ av konsument‑IoT typiskt i bilaga II eller III?
  • Om inte, vad innebär det för bedömning av överensstämmelse?

> Uppgift: Skriv ned din egen klassning (vanlig/viktig/kritisk) för A, B och C, samt 1–2 meningar som motivering. Jämför gärna med en kurskamrat eller diskutera i klass.

Repetition av nyckelbegrepp

Använd korten för att repetera centrala begrepp från modulen. Försök säga svaret högt innan du “vänder” kortet mentalt.

Produkt med digitala inslag (CRA‑definition, översikt)
En produkt som innehåller mjukvara eller är sammankopplad med en sådan, inklusive både ren programvara och fysiska produkter där mjukvaran är en väsentlig del av funktionen. Begreppet är brett och utgör grunden för vilka produkter som omfattas av CRA.
Viktig produkt (artikel 7 + bilaga II)
En produkt med digitala inslag som listas i bilaga II. Den anses ha en betydande cybersäkerhetsrelevans, ofta som infrastruktur- eller säkerhetskomponent i företag och offentlig sektor, och omfattas av skärpta krav på bedömning av överensstämmelse.
Kritisk produkt (artikel 8 + bilaga III)
En produkt med digitala inslag som listas i bilaga III. Ett cyberangrepp mot den kan få mycket allvarliga eller systemiska konsekvenser för samhälle, ekonomi eller säkerhet. Den omfattas av de striktaste kraven på bedömning av överensstämmelse och tillsyn.
Bilaga II (CRA)
Bilaga som innehåller kategorier av **viktiga** produkter med digitala inslag. Används för att avgöra om en produkt faller i den viktiga riskklassen och därmed omfattas av strängare bedömningsförfaranden än vanliga produkter.
Bilaga III (CRA)
Bilaga som innehåller kategorier av **kritiska** produkter med digitala inslag. Dessa produkter har högst riskprofil och är föremål för de mest omfattande och ofta obligatoriskt tredjepartsbaserade bedömningsförfarandena.
Bedömning av överensstämmelse (conformity assessment)
Processen där tillverkaren (och vid behov ett anmält organ) visar och dokumenterar att en produkt uppfyller de krav som ställs i CRA, särskilt artikel 6 och bilaga I. Metoden beror på om produkten är vanlig, viktig eller kritisk.
Anmält organ (notified body)
En oberoende organisation som utsetts av en medlemsstat och anmälts till EU‑kommissionen för att genomföra tredjepartsbedömning av överensstämmelse för vissa produkter, särskilt kritiska sådana enligt bilaga III.

Sammanfattning: Så hänger allt ihop

Avslutningsvis, koppla ihop delarna:

  1. CRA:s tillämpningsområde (artiklarna 1–3)
  • Avgör först om du har en produkt med digitala inslag och vilken aktör du är (tillverkare, importör, distributör etc.).
  1. Grundläggande krav (artiklarna 4–6 + bilaga I)
  • Alla produkter inom tillämpningsområdet måste uppfylla samma grundläggande cybersäkerhetskrav.
  1. Riskklasser (artiklarna 7–8 + bilaga II–III)
  • Kontrollera om din produkt finns i bilaga IIIkritisk.
  • Om inte, kontrollera bilaga IIviktig.
  • Om ingen träff → produkten är “vanlig” (men fortfarande reglerad av CRA).
  1. Konsekvenser för bedömning och tillsyn
  • Vanlig produkt: ofta egenbedömning möjlig.
  • Viktig produkt: skärpta procedurer, ibland tredjepartsbedömning.
  • Kritisk produkt: högsta kravnivån, regelmässigt med anmält organ och tätare tillsyn.

> Efter denna modul bör du kunna:

> - Förklara skillnaden mellan viktiga och kritiska produkter enligt artiklarna 7–8.

> - Använda bilagor II–III (konceptuellt) för att avgöra om en produkt är viktig eller kritisk.

> - Förstå hur klassningen påverkar bedömning av överensstämmelse och tillsyn.

I nästa fördjupning (utanför denna modul) är ett naturligt steg att titta närmare på de konkreta förfarandena för bedömning av överensstämmelse och hur de kopplas till standarder och EU‑specifikationer.

Key Terms

Bilaga II
Del av CRA som innehåller kategorier av viktiga produkter med digitala inslag.
Bilaga III
Del av CRA som innehåller kategorier av kritiska produkter med digitala inslag.
Anmält organ
Oberoende organ som utses av en medlemsstat för att utföra tredjepartsbedömning av överensstämmelse för vissa produktkategorier.
Viktig produkt
Produkt med digitala inslag som listas i bilaga II till CRA och anses ha betydande cybersäkerhetsrelevans. Omfattas av skärpta bedömningskrav jämfört med vanliga produkter.
Kritisk produkt
Produkt med digitala inslag som listas i bilaga III till CRA och vars kompromettering kan få mycket allvarliga eller systemiska konsekvenser. Omfattas av de striktaste bedömnings- och tillsynskraven.
Harmoniserad standard
Teknisk standard som tagits fram på uppdrag av EU‑kommissionen och som ger en presumption om överensstämmelse med vissa rättsliga krav när den tillämpas korrekt.
Kritisk infrastruktur
Samhällsviktiga system och anläggningar (t.ex. energi, transport, hälso- och sjukvård, finans) där störningar kan få allvarliga följder för samhället.
Cyber Resilience Act (CRA)
EU‑förordning antagen 2024 som ställer harmoniserade cybersäkerhetskrav på produkter med digitala inslag på den inre marknaden.
Produkt med digitala inslag
Brett begrepp i CRA som täcker både ren programvara och fysiska produkter där mjukvara är central för funktionen, inklusive uppkopplade enheter (IoT).
Bedömning av överensstämmelse
Processen att visa att en produkt uppfyller kraven i CRA, inklusive teknisk dokumentation, tester och ibland tredjepartsgranskning.