SkarpSkarp
Get the App

Chapter 5 of 13

Styrning, intressentdialog och kompetens (artiklarna 9–10)

Genomgång av hur CRA organiserar intressentkonsultation, styrning och kompetensuppbyggnad, inklusive medlemsstaternas och kommissionens roller i att främja cybersäkerhetskompetens.

10 min readsv

Överblick: Varför artiklarna 9–10 är viktiga

I tidigare moduler har du sett vad Cyber Resilience Act (CRA) kräver av produkter (artiklarna 4–8).

I denna modul fokuserar vi på hur EU ser till att reglerna:

  • tas fram i dialog med berörda aktörer, och
  • backas upp av rätt kompetens och utbildning i medlemsstaterna.

Det styrs framför allt av:

  • Artikel 9 – Intressentkonsultation
  • Artikel 10 – Främjande av cybersäkerhetskompetens

Mål med modulen (kopplat till kursens lärandemål):

  1. Kunna beskriva hur intressentdialogen kring CRA organiseras enligt artikel 9.
  2. Kunna redogöra för vilka kompetens- och utbildningsåtgärder som efterfrågas i artikel 10.
  3. Förstå hur dessa artiklar stödjer den praktiska implementeringen av CRA i medlemsstaterna.

> Tidskontext: CRA antogs formellt under 2024 och är sedan dess en EU-förordning (direkt tillämplig rättsakt), inte ett direktiv. Artiklarna 9–10 är därför en del av dagens gällande EU‑ramverk för cybersäkerhet (tillsammans med bl.a. NIS2 och EU:s cybersäkerhetsakt).

Artikel 9: Vad menas med intressentkonsultation?

Artikel 9 handlar om hur kommissionen organiserar dialog med alla som påverkas av CRA.

Typiska intressenter är:

  • Tillverkare av hårdvara och mjukvara
  • Importörer, distributörer och återförsäljare
  • Standardiseringsorganisationer (t.ex. CEN, CENELEC, ETSI)
  • Cybersäkerhetsforskare och sårbarhetsfinnare ("ethical hackers")
  • Konsumentorganisationer
  • Små och medelstora företag (SMF/SME)
  • Myndigheter och tillsynsorgan i medlemsstaterna

Syftet med artikel 9:

  • Säkerställa att tekniska krav och genomförandeakter inte tas fram i ett vakuum.
  • Fånga upp praktiska problem tidigt (t.ex. för dyra krav för SMF, eller orimliga rapporteringsrutiner).
  • Göra reglerna tekniskt uppdaterade genom dialog med experter.

> Koppling till tidigare moduler: När kommissionen t.ex. uppdaterar listorna över viktiga och kritiska produkter (bilagorna II–III, artikel 7–8) eller preciserar grundläggande krav (artikel 6, bilaga I), ska detta ske med stöd av den intressentdialog som artikel 9 beskriver.

Hur organiseras intressentdialogen i praktiken?

Enligt artikel 9 kan kommissionen använda flera strukturer för dialog:

  1. Formella expertgrupper
  • Exempel: en CRA Expert Group med representanter från medlemsstaterna, ENISA och ibland inbjudna intressenter.
  • Ger råd när kommissionen tar fram delegerade akter eller genomförandeakter som preciserar krav.
  1. Offentliga samråd (public consultations)
  • Publiceras på kommissionens webbplats med möjlighet för alla att lämna synpunkter.
  • Vanligt inför större ändringar, t.ex. uppdatering av bilagor eller tekniska regler.
  1. Workshops, hearingar och rundabordssamtal
  • Riktade möten med t.ex. branschorganisationer, forskare eller civilsamhälle.
  • Kan fokusera på ett visst tema, t.ex. IoT‑säkerhet eller sårbarhetsrapportering.
  1. Samarbete med ENISA och andra EU‑organ
  • ENISA bidrar med teknisk expertis och kan driva flerpartsforum eller arbetsgrupper.

> Viktigt: Artikel 9 handlar inte om enskilda tillsynsfall (t.ex. en viss produkt som inte uppfyller kraven), utan om övergripande styrning och utveckling av reglerna.

Exempel: Hur ett samråd enligt artikel 9 kan se ut

Föreställ dig att kommissionen, två år efter att CRA börjat tillämpas, ser att många incidenter rör smarta hem‑produkter (t.ex. uppkopplade kameror och lås).

Ett möjligt förlopp enligt artikel 9:

  1. Datainsamling

ENISA och medlemsstaterna rapporterar ökade problem med vissa produktkategorier.

  1. Offentligt samråd

Kommissionen öppnar ett online-samråd om att:

  • lägga till fler produktkategorier i bilaga II eller III, eller
  • skärpa vissa grundläggande krav i bilaga I för just dessa produkter.
  1. Intressenternas synpunkter
  • Tillverkare lämnar in konsekvensanalyser (kostnader, tekniska hinder).
  • Konsumentorganisationer beskriver säkerhetsproblem och integritetsrisker.
  • Forskare ger exempel på vanliga sårbarheter.
  1. Tekniska workshops

ENISA och kommissionen håller workshops med tekniska experter för att formulera realistiska men höga krav.

  1. Reviderad reglering

Efter analys och diskussioner antar kommissionen en genomförandeakt som preciserar kraven, med stöd i artikel 9:s konsultationsprocess.

> Poängen: Intressentdialogen gör att reglerna blir praktiskt genomförbara och tekniskt relevanta, samtidigt som säkerhetsnivån höjs.

Artikel 10: Främjande av cybersäkerhetskompetens

Artikel 10 flyttar fokus till människor och kompetens: hur ser EU till att det finns tillräckligt med kunniga personer för att genomföra CRA i praktiken?

Kärnan i artikel 10 är att:

  • Medlemsstaterna och kommissionen ska främja utvecklingen av cybersäkerhetskompetens, med särskilt fokus på de områden som är relevanta för produkter med digitala inslag.
  • Detta ska kopplas till befintliga EU‑initiativ, t.ex.:
  • NIS2‑direktivets krav på nationella cybersäkerhetsstrategier
  • European Cybersecurity Competence Centre (ECCC) i Bukarest
  • EU‑program som Digital Europe och Horisont Europa (forsknings- och innovationsprojekt)

Exempel på kompetensområden som artikel 10 syftar på:

  • Säker mjukvaruutveckling (secure coding)
  • Sårbarhetshantering och koordinering av sårbarhetsrapportering
  • Riskanalys för produkter (kopplat till artikel 6 och bilaga I)
  • Bedömning av överensstämmelse för viktiga och kritiska produkter (artiklarna 7–8)
  • Incidenthantering och forensik kopplat till produkter på marknaden

Reflektionsövning: Var behövs kompetens i din vardag?

Fundera 2–3 minuter över följande frågor (skriv gärna ned korta stödord):

  1. Vilka typer av uppkopplade produkter använder du dagligen (mobil, router, smartklocka, bil, etc.)?
  2. För var och en av dessa: vilken kompetens tror du krävdes för att:
  • designa produkten säkert?
  • testa och granska säkerheten?
  • hantera sårbarheter efter att produkten släppts på marknaden?
  1. I vilken grad tror du att brist på kompetens kan leda till:
  • fler sårbarheter i produkter?
  • sämre incidentrespons när något går fel?

> Jämför dina anteckningar med artikel 10:s fokus: ser du hur kompetensbrister kan bli ett praktiskt hinder för att uppfylla kraven i CRA?

Roller: Kommissionen, ENISA och medlemsstaterna

Artikel 10 hänger ihop med ett större ekosystem av aktörer:

1. Europeiska kommissionen

  • Tar fram strategier och program för att stötta kompetensuppbyggnad (t.ex. finansiering av utbildningsprojekt genom EU‑program).
  • Säkerställer att kompetensaspekter vävs in i genomförandeakter och vägledningar till CRA.
  • Samordnar med andra politikområden, t.ex. digital kompetens, forskning och innovation.

2. ENISA (EU:s cybersäkerhetsbyrå)

  • Tar fram riktlinjer, utbildningsmaterial och best practice kring cybersäkerhet för produkter.
  • Stödjer medlemsstaterna i att bygga upp träningsprogram och övningar.
  • Deltar i intressentdialogen (artikel 9) med teknisk expertis.

3. Medlemsstaterna

  • Ska enligt artikel 10 främja utbildning och kompetens på nationell nivå, t.ex. genom:
  • universitetsprogram och yrkeshögskolor
  • vidareutbildning för utvecklare och IT‑specialister
  • stöd till små och medelstora företag för att höja cybersäkerhetsnivån
  • Kopplar CRA‑kompetens till nationella cybersäkerhetsstrategier (som också krävs enligt NIS2).

> För dig som student innebär detta fler möjligheter till specialiserade utbildningar och forskningsprojekt kopplade till cybersäkerhet i produkter.

Exempel: Koppling till nationella strategier och initiativ

Tänk dig ett EU‑land (vi kallar det Land X) som ska genomföra CRA.

Så här kan artikel 10 omsättas i praktiken:

  1. Nationell cybersäkerhetsstrategi uppdateras

Land X lägger till ett särskilt avsnitt om produkter med digitala inslag, där man:

  • beskriver mål för säkrare produkter
  • pekar ut ansvariga myndigheter
  1. Universitet och högskolor
  • Nya kurser i Secure Software Engineering och Product Cybersecurity skapas.
  • Gemensamma program mellan datavetenskap, elektronik och juridik (för att förstå både teknik och reglering).
  1. Stöd till företag
  • Ett nationellt program ger subventionerade utbildningar för små tillverkare av IoT‑produkter.
  • Myndigheter tar fram praktiska guider om hur man uppfyller kraven i bilaga I.
  1. Samarbete med ENISA och ECCC
  • Land X deltar i EU‑gemensamma övningar om incidenthantering för uppkopplade produkter.
  • Forskare från Land X deltar i EU‑projekt om säkra mjukvarukedjor.

Allt detta är konkreta sätt att uppfylla artikel 10:s krav på att främja cybersäkerhetskompetens.

Snabbkoll: Förstår du skillnaden mellan artiklarna 9 och 10?

Besvara frågan nedan för att testa din förståelse.

Vilket påstående beskriver bäst **huvudskillnaden** mellan artikel 9 och artikel 10 i CRA?

  1. Artikel 9 handlar om intressentdialog och hur regler tas fram/justeras, medan artikel 10 handlar om att bygga upp cybersäkerhetskompetens hos människor och organisationer.
  2. Artikel 9 handlar om tekniska säkerhetskrav för produkter, medan artikel 10 handlar om sanktioner mot företag som inte följer reglerna.
  3. Artikel 9 gäller bara för kritiska produkter i bilaga III, medan artikel 10 bara gäller för viktiga produkter i bilaga II.
Show Answer

Answer: A) Artikel 9 handlar om intressentdialog och hur regler tas fram/justeras, medan artikel 10 handlar om att bygga upp cybersäkerhetskompetens hos människor och organisationer.

Alternativ 1 är korrekt. Artikel 9 fokuserar på **styrning och intressentkonsultation** kring hur CRA utvecklas och genomförs, medan artikel 10 fokuserar på **kompetensuppbyggnad** och utbildning så att reglerna kan följas i praktiken. Alternativ 2 blandar ihop med andra artiklar (om krav och tillsyn), och alternativ 3 är fel eftersom artiklarna 9–10 gäller mer generellt för genomförandet av CRA, inte bara vissa bilagor.

Repetition av nyckelbegrepp

Använd korten för att repetera centrala begrepp från modulen.

Intressent (stakeholder) i CRA‑sammanhang
En aktör som påverkas av eller kan påverka hur CRA utformas och genomförs, t.ex. tillverkare, standardiseringsorgan, forskare, konsumentorganisationer och myndigheter.
Artikel 9 – huvudsyfte
Att säkerställa strukturerad **intressentkonsultation** när kommissionen och andra EU‑organ utvecklar och preciserar regler kopplade till CRA.
Artikel 10 – huvudsyfte
Att medlemsstaterna och kommissionen ska **främja cybersäkerhetskompetens**, särskilt kopplat till produkter med digitala inslag, så att CRA kan genomföras effektivt.
ENISA:s roll kopplat till artiklarna 9–10
Bidrar med teknisk expertis i intressentdialogen (artikel 9) och stöder utbildning, riktlinjer och övningar för att bygga cybersäkerhetskompetens (artikel 10).
Koppling till nationella cybersäkerhetsstrategier
Medlemsstaterna förväntas integrera CRA‑relaterad kompetensuppbyggnad i sina nationella strategier, i linje med bl.a. NIS2‑direktivets krav.

Övning: Koppla artiklarna 9–10 till praktisk implementering

Föreställ dig att du jobbar på ett mindre företag som utvecklar en uppkopplad produkt (t.ex. en smart sensor). Besvara följande frågor kortfattat:

  1. Artikel 9 – intressentdialog
  • Hur skulle du vilja att kommissionen eller din nationella myndighet involverar ditt företag när nya tekniska krav diskuteras?
  • Exempel: enkla remisser, webbseminarier, branschmöten…
  1. Artikel 10 – kompetens
  • Vilken konkret utbildning eller vilket stöd skulle göra störst skillnad för att ni ska kunna uppfylla CRA‑kraven?
  • Exempel: kurs i säker mjukvaruutveckling, mallar för riskanalyser, vägledning om sårbarhetsrapportering…
  1. Samlad reflektion
  • Hur kan bra intressentdialog (artikel 9) och stark cybersäkerhetskompetens (artikel 10) tillsammans minska risken för att ert företag:
  • missförstår kraven,
  • gör dyra felinvesteringar,
  • eller släpper osäkra produkter på marknaden?

> Syftet med övningen är att du ska se hur artiklarna 9–10 inte bara är "juridik", utan praktiska verktyg för att göra CRA genomförbar i vardagen.

Key Terms

ENISA
EU:s cybersäkerhetsbyrå (European Union Agency for Cybersecurity) som stödjer medlemsstaterna och EU‑institutionerna med expertis, riktlinjer och utbildning.
Artikel 9 (CRA)
Bestämmelse om hur kommissionen ska organisera intressentkonsultation och expertmedverkan vid utveckling och genomförande av regler kopplade till CRA.
NIS2-direktivet
Uppdaterat EU‑direktiv om åtgärder för en hög gemensam nivå av cybersäkerhet inom hela unionen, som bl.a. kräver nationella cybersäkerhetsstrategier.
Artikel 10 (CRA)
Bestämmelse om att kommissionen och medlemsstaterna ska främja cybersäkerhetskompetens, särskilt kopplat till produkter med digitala inslag.
Intressentkonsultation
Strukturerad process där berörda aktörer (företag, myndigheter, forskare, civilsamhälle m.fl.) får lämna synpunkter och bidra med expertis innan regler beslutas eller ändras.
Cyber Resilience Act (CRA)
EU‑förordning som ställer cybersäkerhetskrav på produkter med digitala inslag på den inre marknaden.
Produkter med digitala inslag
Hårdvara och mjukvara som innehåller eller är beroende av digitala komponenter (t.ex. uppkopplade IoT‑enheter, programvara, operativsystem).
Bedömning av överensstämmelse
Process för att kontrollera att en produkt uppfyller tillämpliga krav i CRA, särskilt viktig för produkter som klassas som viktiga eller kritiska.
Nationell cybersäkerhetsstrategi
Övergripande plan på medlemsstatsnivå för hur landet ska arbeta med cybersäkerhet, inklusive mål, ansvarsfördelning och prioriterade åtgärder.
European Cybersecurity Competence Centre (ECCC)
EU‑centrum i Bukarest som samordnar forskning, innovation och kapacitetsbyggande inom cybersäkerhet på EU‑nivå.