SkarpSkarp
Get the App

Chapter 12 of 13

Samspelet med annan EU-lagstiftning (NIS2, AI-förordningen, produktsäkerhet m.m.)

Denna modul fokuserar på skäl och artiklar som reglerar hur CRA förhåller sig till annan EU-lagstiftning, inklusive NIS2-direktivet, AI-förordningen och den allmänna produktsäkerhetsförordningen.

15 min readsv

Översikt: Varför samspelet mellan regelverken är viktigt

Den nya Cyber Resilience Act (CRA) är inte ensam på spelplanen. Den kompletterar flera andra centrala EU-regelverk:

  • NIS2-direktivet (2022/2555) – om nätverks- och informationssäkerhet på tjänste-/organisationsnivå
  • AI-förordningen (AI Act) – om säker och ansvarsfull AI, särskilt hög-risk AI-system
  • Allmänna produktsäkerhetsförordningen (GPSR) – om säkerhet för konsumentprodukter i allmänhet

I denna modul fokuserar vi på:

  1. Hur CRA hänvisar till och avgränsar sig mot dessa regelverk (framför allt via skäl och artiklar)
  2. När flera regelverk gäller samtidigt för samma produkt eller aktör
  3. Hur konflikter och överlapp ska hanteras i praktiken
  4. Ett konkret fall: en uppkopplad IoT-produkt med AI-funktioner

> Kom ihåg: Direktiven (som NIS2) måste genomföras i nationell rätt, medan förordningar (CRA, AI-förordningen, GPSR) gäller direkt i alla medlemsstater, med kompletterande nationella regler främst om tillsyn och sanktioner.

CRA:s räckvidd: produktnivå och cybersäkerhet under livscykeln

CRA fokuserar på cybersäkerhet hos produkter med digitala element (t.ex. IoT-enheter, programvara, industriella styrsystem):

  • Kräver att produkter uppfyller väsentliga cybersäkerhetskrav ("essential requirements")
  • Gäller från design och utveckling till support och uppdateringar under en definierad livslängd
  • Bygger vidare på den inre marknadens logik: CE-märkning, överensstämmelsebedömning, marknadskontroll

CRA har i sina skäl (recitals) och artiklar:

  • Klargjort att den inte ersätter sektorsspecifik lagstiftning (t.ex. medicinteknik, luftfart) om dessa redan innehåller likvärdiga cybersäkerhetskrav
  • Förklarat att den ska samspela med NIS2, AI-förordningen och GPSR, inte duplicera krav i onödan

En tumregel:

  • CRA = produktens tekniska cybersäkerhet (hur produkten är byggd, uppdateras och skyddar data/system)
  • Andra regelverk = organisationens säkerhet, AI-funktionernas risker, allmän produktsäkerhet, sektorskrav

CRA vs NIS2: produktnivå kontra tjänste-/organisationsnivå

NIS2-direktivet (trädde i kraft 2023 och ska vara genomfört nationellt senast oktober 2024) gäller viktiga och särskilt viktiga verksamhetsutövare, t.ex.:

  • Energi, transport, hälso- och sjukvård, digital infrastruktur, offentliga förvaltningar m.fl.

NIS2 fokuserar på:

  • Riskhantering och säkerhetsåtgärder på organisationsnivå
  • Incidentrapportering (t.ex. betydande säkerhetsincidenter)
  • Styrning och ansvar för ledningen

CRA fokuserar på:

  • Krav på själva produkten: säker utveckling, sårbarhetshantering, säker konfiguration, patchning
  • Krav på tillverkare, importörer, distributörer av produkter med digitala element

Hur de kompletterar varandra

Föreställ dig ett sjukhus (NIS2-aktör) som använder uppkopplade medicintekniska produkter:

  • NIS2 kräver att sjukhuset har:
  • Informationssäkerhetspolicy, riskanalyser, incidenthantering, leverantörsstyrning
  • CRA kräver att tillverkaren av produkterna:
  • Designar och underhåller produkterna så att de uppfyller definierade cybersäkerhetskrav

Resultat:

  • Sjukhuset kan lita mer på att produkter som är CRA-kompatibla håller en viss cybersäkerhetsnivå
  • Men sjukhuset måste fortfarande uppfylla NIS2-kraven på hur de använder och hanterar produkterna i sin miljö

> Viktigt: CRA och NIS2 gäller ofta samtidigt men för olika roller:

> - Tillverkare av produkter → främst CRA

> - Användare/tjänsteleverantörer inom NIS2-sektorer → främst NIS2 (men beroende av CRA-kompatibla produkter)

Reflektionsövning: CRA eller NIS2 – vem träffas av vad?

Fundera kort över följande scenarier och skriv gärna ned ditt resonemang (ingen automatisk rättning, detta är för din egen förståelse):

  1. Ett elnätsbolag köper in nya fjärrstyrda brytare (IoT-enheter) till sitt distributionsnät.
  • Fråga A: Vilka skyldigheter har elnätsbolaget främst enligt NIS2?
  • Fråga B: Vilka skyldigheter har tillverkaren av brytarna enligt CRA?
  1. En molntjänstleverantör (som omfattas av NIS2) utvecklar ett eget mjukvaruramverk för intern användning.
  • Fråga C: När blir CRA relevant? Skilj på intern mjukvara och mjukvara som släpps på marknaden.
  1. En kommun (NIS2-aktör i vissa länder) köper in uppkopplade lås till sina lokaler.
  • Fråga D: Hur kan kommunen i sin upphandling utnyttja att CRA ställer krav på tillverkaren?

> Tips: Försök alltid identifiera vem som är aktör (tillverkare, importör, tjänsteleverantör, slutanvändare) och om det handlar om produktens egenskaper eller organisationens säkerhetsarbete.

CRA och AI-förordningen: när produkten innehåller AI

EU:s AI-förordning (AI Act) antogs 2024 och har successiva tillämpningsdatum (vissa delar började gälla 2024–2025, hög-riskkraven får längre införandetid). Den reglerar AI-system utifrån risknivå, med hårdast krav på hög-risk AI-system.

AI-förordningen fokuserar på:

  • AI-systemets säkerhet, robusthet, datakvalitet, transparens, mänsklig tillsyn
  • Specifika krav för hög-risk AI (t.ex. medicinteknik, kritisk infrastruktur, biometrisk identifiering)
  • Dokumentation, registrering och konformitetsbedömning för AI-system

CRA fokuserar på:

  • Att produkten (inklusive inbyggd AI) har tillräcklig cybersäkerhet:
  • Skydd mot obehörig åtkomst
  • Hantering av sårbarheter
  • Säker uppdatering av AI-modeller och programvara

Samtidig tillämpning

Om en IoT-produkt med AI klassas som ett hög-risk AI-system enligt AI-förordningen gäller båda regelverken:

  • AI-förordningen: krav på hur AI-systemet är utformat, tränat, testat och övervakat
  • CRA: krav på hur produkten skyddar AI-systemet och övriga funktioner mot cyberangrepp

EU-lagstiftningen har i både AI-förordningens och CRA:s skäl klargjort att:

  • Man ska undvika dubbla eller motstridiga krav
  • När samma tekniska lösning uppfyller krav i båda regelverken kan gemensamma standarder användas

> Praktiskt: En tillverkare av en medicinteknisk AI-baserad diagnosutrustning måste:

> - Följa medicinteknikförordningen (MDR)

> - Om AI-delen är hög-risk: följa AI-förordningen

> - För cybersäkerhet hos produkten: följa CRA (om produkten omfattas)

Detta kräver samordnad compliance snarare än separata projekt för varje regelverk.

Fallstudie: IoT-hemkamera med AI-ansiktsigenkänning

Vi tar ett konkret exempel: En konsumentinriktad IoT-hemkamera som:

  • Är uppkopplad mot molnet
  • Har AI-baserad ansiktsigenkänning för att skilja familjemedlemmar från okända personer
  • Säljs inom EU-marknaden

1. Vilka regelverk träffar produkten?

  1. CRA
  • Kameran är en produkt med digitala element → omfattas av CRA
  • Tillverkaren måste säkerställa:
  • Säker design (t.ex. hårda standardlösenord förbjuds, säkra standardinställningar)
  • Krypterad kommunikation
  • Sårbarhetshanteringsprocess och säkerhetsuppdateringar under definierad tid
  1. AI-förordningen
  • Ansiktsigenkänning är en biometrisk teknik
  • Beroende på användningsområde kan AI-systemet klassas som hög-risk eller lägre risk
  • Hemmabruk för konsumenter är ofta inte hög-risk enligt bilagorna, men särskilda regler för biometrisk identifiering kan ändå bli relevanta
  • Tillverkaren måste bedöma AI-systemets riskklass och uppfylla motsvarande krav (t.ex. transparens, information till användaren)
  1. Allmänna produktsäkerhetsförordningen (GPSR)
  • Kameran är en konsumentprodukt → omfattas av GPSR
  • GPSR kräver att produkten är säker i ett bredare perspektiv, inklusive:
  • Fysiska risker (t.ex. överhettning)
  • Digitala risker som kan påverka konsumentens säkerhet och integritet
  1. NIS2 (indirekt)
  • Slutanvändaren (privatperson) omfattas inte av NIS2
  • Men om kamerans molntjänst levereras av en NIS2-reglerad digital tjänsteleverantör (t.ex. viss typ av molntjänst) måste den leverantören uppfylla NIS2-krav på sin tjänsteleverans.

2. Samspel i praktiken

  • CRA säkerställer att kameran inte lätt kan kapas och användas i botnät eller för intrång i hemnätverket
  • AI-förordningen säkerställer att ansiktsigenkänningen används på ett ansvarsfullt och transparent sätt
  • GPSR säkerställer att produkten som helhet är säker för konsumenten, inklusive digitala aspekter
  • NIS2 kan påverka den molnplattform som kameran kopplar upp sig mot (drift, incidenthantering, redundans)

> Slutsats: En och samma produkt kan behöva compliance-planer som korsar flera regelverk. En bra strategi är att börja med en gemensam riskanalys och sedan mappa risker mot krav i CRA, AI-förordningen, GPSR och ev. sektorsregler.

CRA och allmänna produktsäkerhetsförordningen (GPSR) – komplement, inte konflikt

Den allmänna produktsäkerhetsförordningen (GPSR) ersatte det tidigare allmänna produktsäkerhetsdirektivet och började tillämpas 2024. Den gäller konsumentprodukter som inte redan är fullt reglerade av sektorslagstiftning (eller som behöver kompletterande regler).

GPSR fokuserar på:

  • Att alla konsumentprodukter på EU-marknaden ska vara säkra
  • Att ta hänsyn till nya risker, inklusive cybersäkerhet och uppkoppling
  • Krav på spårbarhet, varningar, återkallelser och ansvar mot konsumenter

CRA fokuserar på:

  • Mer detaljerade tekniska cybersäkerhetskrav för produkter med digitala element
  • Krav på sårbarhetshantering, säker utveckling och uppdateringar

Hur de kompletterar varandra

För en uppkopplad leksak:

  • GPSR säkerställer att leksaken är säker för barn i ett brett perspektiv (kvävningsrisk, kemikalier, digitala risker m.m.)
  • CRA specificerar hur cybersäkerheten ska vara utformad (t.ex. inga hårdkodade standardlösenord, säkra kommunikationsprotokoll)

Om det uppstår en konflikt:

  • EU-lagstiftningen anger i regel att mer specifik sektorslagstiftning går före på sitt område
  • Men i praktiken är GPSR och CRA avsiktligt utformade för att vara kompatibla – GPSR ger ramen, CRA fyller i de tekniska cyberkraven

> Nyckelidé: Tänk GPSR som "alla konsumentprodukter ska vara säkra" och CRA som "alla digitala produkter ska ha en viss minsta cybersäkerhetsnivå". En uppkopplad konsumentprodukt måste alltså klara båda filtren.

Snabbtest: Välj rätt regelverk

Testa din förståelse av samspelet mellan CRA, NIS2, AI-förordningen och GPSR.

Ett företag säljer en uppkopplad industrisensor med inbyggd AI för prediktivt underhåll till fabriker i EU. Sensorn kan orsaka driftstopp och ekonomisk skada om den kapas, men används inte direkt för att styra kritisk infrastruktur. Vilka regelverk är *direkt* mest relevanta för tillverkaren av sensorn?

  1. Främst CRA, ev. AI-förordningen beroende på AI-systemets riskklass; GPSR är normalt inte central eftersom det inte är en konsumentprodukt.
  2. Främst NIS2, eftersom sensorn används av industriella aktörer som kan vara NIS2-aktörer.
  3. Endast AI-förordningen, eftersom det är AI-funktionen som är viktigast.
Show Answer

Answer: A) Främst CRA, ev. AI-förordningen beroende på AI-systemets riskklass; GPSR är normalt inte central eftersom det inte är en konsumentprodukt.

Tillverkaren ansvarar för produktens cybersäkerhet → CRA är central. Om AI-delen klassas som hög-risk eller omfattas på annat sätt blir AI-förordningen också viktig. GPSR gäller typiskt konsumentprodukter, vilket industrisensorn inte är. NIS2 gäller främst användarorganisationerna (t.ex. fabriken), inte tillverkaren av produkten.

Tillämpningsövning: Kartlägg regelverk för en smart produkt

Välj en valfri smart produkt (t.ex. smart klocka, uppkopplad värmepump, smarta belysningssystem, industriell robot) och gör följande:

  1. Identifiera aktörer
  • Vem är tillverkare?
  • Finns importör/distributör inom EU?
  • Vem är slutanvändare (konsument, industri, offentlig sektor)?
  1. Koppla regelverk
  • Gäller CRA? Motivera kort.
  • Är produkten en konsumentprodukt → då är sannolikt GPSR relevant.
  • Innehåller produkten AI-funktioner? Skulle de kunna omfattas av AI-förordningen (t.ex. biometrik, säkerhetskritisk styrning)?
  • Kan slutanvändaren vara en NIS2-aktör (t.ex. sjukhus, elbolag, kommun)? I så fall: hur påverkar det kraven på produktens leverantör (t.ex. i upphandling)?
  1. Fundera på konflikter/överlapp
  • Finns det krav som liknar varandra (t.ex. riskanalyser, dokumentation)?
  • Hur kan företaget återanvända samma processer och dokumentation för att uppfylla flera regelverk samtidigt?

> Om du vill göra övningen mer konkret: skriv en enkel tabell med kolumnerna "Regelverk", "Vilken del av produkten/verksamheten", "Huvudkrav" och fyll i för CRA, NIS2, AI-förordningen och GPSR.

Repetition: centrala begrepp och skillnader

Använd korten för att repetera skillnader och samband mellan regelverken.

CRA – huvudfokus
Cybersäkerhet hos **produkter med digitala element** (hårdvara + mjukvara), från design till uppdateringar, med krav på tillverkare, importörer och distributörer.
NIS2 – huvudfokus
Informations- och cybersäkerhet på **organisations- och tjänstenivå** för viktiga och särskilt viktiga verksamhetsutövare (t.ex. energi, transport, hälso- och sjukvård), inklusive riskhantering, incidentrapportering och styrning.
AI-förordningen (AI Act) – huvudfokus
Reglerar **utveckling, tillhandahållande och användning av AI-system** utifrån risknivå, med särskilt strikta krav för **hög-risk AI-system** (t.ex. datakvalitet, transparens, mänsklig tillsyn).
GPSR – huvudfokus
Säkerhet för **konsumentprodukter** i allmänhet, inklusive fysiska och digitala risker, med krav på spårbarhet, varningar och återkallelser.
Produktnivå vs tjänstenivå
Produktnivå: CRA (och sektorsspecifik produktlagstiftning) – säkerhet i själva produkten. Tjänstenivå/organisationsnivå: NIS2 – hur organisationen hanterar risker, system och incidenter.
Hög-risk AI-system och CRA
Ett hög-risk AI-system kan omfattas av både **AI-förordningen** (AI-specifika krav) och **CRA** (cybersäkerhet hos produkten som bär AI-systemet). Kraven ska tolkas **komplementärt**.
Konflikthantering mellan regelverk
Grundprincip: **lex specialis** – mer specifik lagstiftning går före inom sitt område. CRA, AI-förordningen och GPSR är utformade för att **samverka**, inte motverka varandra.

Key Terms

Lex specialis
Juridisk princip som innebär att mer specifik lagstiftning går före mer allmän lagstiftning när båda skulle kunna tillämpas på samma situation.
NIS2-direktivet
EU-direktiv (2022/2555) om åtgärder för en hög gemensam nivå på cybersäkerhet i hela unionen, riktat mot viktiga och särskilt viktiga verksamhetsutövare.
Marknadskontroll
Myndigheternas övervakning av att produkter på marknaden uppfyller tillämpliga krav och att otillåtna eller farliga produkter kan förbjudas, dras tillbaka eller återkallas.
Hög-risk AI-system
AI-system som enligt AI-förordningen anses innebära hög risk för hälsa, säkerhet eller grundläggande rättigheter och därför omfattas av strängare krav.
AI-förordningen (AI Act)
EU-förordning som reglerar AI-system utifrån risknivå, med särskilt strikta krav på hög-risk AI-system, inklusive krav på datakvalitet, transparens och mänsklig tillsyn.
CRA (Cyber Resilience Act)
EU-förordning om cybersäkerhetskrav för produkter med digitala element som sätts på EU-marknaden, inklusive krav på design, utveckling, sårbarhetshantering och uppdateringar.
Överensstämmelsebedömning
Processen där det kontrolleras om en produkt uppfyller relevanta rättsliga krav (t.ex. enligt CRA, AI-förordningen), ibland med hjälp av anmälda organ.
Produkter med digitala element
Produkter (hårdvara och/eller mjukvara) som innehåller digitala komponenter och kan bearbeta eller kommunicera data, t.ex. IoT-enheter, operativsystem, applikationer.
Tjänstenivå (organisationsnivå)
Den nivå där en organisation planerar, driver och säkrar sina tjänster och system, inklusive processer, personal, incidenthantering och styrning (typiskt fokus för NIS2).
GPSR (allmänna produktsäkerhetsförordningen)
EU-förordning som säkerställer att konsumentprodukter på EU-marknaden är säkra, inklusive produkter med digitala element.