SkarpSkarp
Get the App

Chapter 7 of 13

Tillverkarens skyldigheter II: Sårbarhetshantering och uppdateringar (inkl. artikel 14)

Fördjupning i artiklarna om hantering av sårbarheter, säkerhetsuppdateringar och incidentrapportering, särskilt rapporteringsskyldigheterna enligt artikel 14 och relaterade bestämmelser.

15 min readsv

Översikt: Varför sårbarhetshantering är central i CRA

Den här modulen bygger vidare på föregående del om riskbedömning och säker design, men flyttar fokus till livet efter lansering av produkten.

Cyber Resilience Act (CRA) kräver att tillverkare inte bara designar säkra produkter, utan också:

  • Har en strukturerad process för sårbarhetshantering under hela produktens livscykel.
  • Levererar säkra uppdateringar, särskilt säkerhetsuppdateringar, på ett kontrollerat och förutsägbart sätt.
  • Rapporterar aktivt utnyttjade sårbarheter och allvarliga incidenter enligt artikel 14, till rätt aktörer (främst CSIRTs och ENISA) inom bestämda tidsfrister.

Sedan CRA antogs (2024) och framåt har den blivit en del av EU:s bredare cybersäkerhetsram tillsammans med bl.a. NIS2 och EU:s cybersäkerhetsakt. Det innebär att tillverkarens ansvar efter att produkten släppts är tydligare reglerat än tidigare.

I den här modulen fokuserar vi på tre huvudblock:

  1. Sårbarhetshanteringsprocessen (processer, roller, kommunikation).
  2. Säkerhetsuppdateringar (separering från funktionsuppdateringar, automatiska uppdateringar, användarinformation).
  3. Artikel 14 – rapportering av aktivt utnyttjade sårbarheter och allvarliga incidenter, inklusive rollfördelning mellan CSIRTs och ENISA.

> Mål: Efter modulen ska du kunna beskriva hur en CRA-kompatibel sårbarhetshantering ser ut, hur uppdateringar ska hanteras, samt vad, när och till vem som ska rapporteras enligt artikel 14.

Steg 1 – Kärnkrav på sårbarhetshanteringsprocessen

CRA kräver att varje tillverkare har en formell, dokumenterad sårbarhetshanteringsprocess. Den ska vara proportionell mot produktens risker, men vissa byggstenar är i princip obligatoriska:

  1. Mottagning av sårbarhetsrapporter
  • Offentlig kontaktpunkt (t.ex. `security@företag.se` eller webbaserat formulär).
  • Stöd för ansvarsfull sårbarhetsrapportering (coordinated vulnerability disclosure, CVD).
  • Tydlig policy på webbplatsen: hur man rapporterar, vad man kan förvänta sig, ev. belöningar.
  1. Triagering och prioritering
  • Bedömning av allvarlighetsgrad (t.ex. med CVSS) och om sårbarheten är aktivt utnyttjad.
  • Koppling till produktens cybersäkerhetsriskbedömning (från modul I): vilka tillgångar påverkas? vilka hotaktörer är relevanta?
  1. Åtgärdsplanering och åtgärd
  • Beslut om patch, konfigurationsändring eller annan mitigering.
  • Tidsramar anpassade till allvarlighetsgrad (t.ex. kritiska brister snabbare än lågprioriterade).
  1. Kommunikation
  • Till kunder/användare (säkerhetsnotiser, release notes).
  • Till andra aktörer (t.ex. komponentleverantörer, integratörer, CERT/CSIRT).
  • Vid aktivt utnyttjade sårbarheter: rapportering enligt artikel 14.
  1. Spårbarhet och dokumentation
  • Logga inkommande rapporter, beslut, åtgärder och tidpunkter.
  • Underlag för tillsynsmyndigheter, intern uppföljning och förbättringar.

> Koppling till artiklarna 9–10: Styrning och kompetens är avgörande – utan rätt organisation, roller och kunskap blir processen bara ett dokument på papper.

Övning – Skissa en enkel sårbarhetshanteringskedja

Föreställ dig att du är säkerhetsansvarig på ett mindre företag som tillverkar uppkopplade sensorer för industri (IIoT). Ni har hittills ingen formell sårbarhetsprocess.

Uppgift

Skissa i text (på ett papper eller i en anteckning) en enkel kedja från att en extern forskare hittar en sårbarhet tills att kunden får en patch.

Försök inkludera:

  • Vem tar emot rapporten? (roll, inte namn)
  • Hur bedöms allvarlighetsgrad?
  • Vem beslutar om åtgärd och prioritet?
  • Hur kommuniceras uppdateringen till kunderna?
  • När i kedjan skulle artikel 14 kunna bli relevant (aktivt utnyttjad sårbarhet eller allvarlig incident)?

> Tips: Rita gärna en enkel flödesskiss med 5–7 rutor (t.ex. "Rapport in" → "Triagering" → "Utredning" → "Patch" → "Utrullning" → "Rapportering/Kommunikation").

Steg 2 – Krav på säkerhetsuppdateringar enligt CRA

CRA skiljer tydligt på säkerhetsuppdateringar och funktionsuppdateringar.

1. Separering av säkerhets- och funktionsuppdateringar

Tillverkaren ska:

  • Så långt det är tekniskt möjligt separera säkerhetsuppdateringar från andra uppdateringar (t.ex. nya funktioner, UI-förändringar).
  • Göra det möjligt att ta emot säkerhetsuppdateringar även om användaren avvaktar funktionsuppdateringar.

Syftet är att användaren inte ska behöva välja mellan säkerhet och stabilitet. En verksamhet kanske inte vill ändra funktionalitet mitt i en kritisk produktionsperiod, men måste ändå få säkerhetsfixar.

2. Automatiska uppdateringar

CRA driver på för snabb och förutsägbar distribution av säkerhetsuppdateringar:

  • Automatiska säkerhetsuppdateringar ska normalt vara aktiverade som standard när det är rimligt och förenligt med användningsområdet.
  • Användaren ska informeras och kunna hantera inställningar, men får inte lämnas oskyddad utan att förstå riskerna.

3. Säker distribution och integritet

Uppdateringsmekanismen ska bl.a.:

  • Säkerställa autenticitet (att uppdateringen verkligen kommer från tillverkaren).
  • Säkerställa integritet (att uppdateringen inte manipulerats).
  • Skydda mot man-in-the-middle-attacker i uppdateringskanalen.

> Tänk på: Uppdateringsmekanismen är själv en kritisk del av produktens attackyta. En komprometterad uppdateringskanal kan vara värre än att inte uppdatera alls.

Exempel – Separata säkerhetsuppdateringar i praktiken

Föreställ dig en tillverkare av smarta hem-routrar.

Scenario A – Dålig praxis

  • Tillverkaren släpper stora firmware-paket några gånger per år.
  • Varje paket innehåller både nya funktioner (t.ex. nytt webbgränssnitt) och säkerhetsfixar.
  • Användaren kan bara välja: uppdatera allt eller inte uppdatera alls.

Konsekvens: Verksamheter som är rädda för driftsstörningar skjuter upp uppdateringar. Kritiska säkerhetsfixar installeras inte – CRA-inkompatibelt arbetssätt.

Scenario B – Bättre, CRA-anpassad praxis

  • Säkerhetsfixar paketeras som små, fokuserade säkerhetsuppdateringar.
  • Funktionsuppdateringar levereras separat och kan installeras vid planerade fönster.
  • I admin-gränssnittet finns två val:
  • `Installera säkerhetsuppdateringar automatiskt` (rekommenderat).
  • `Meddela mig om funktionsuppdateringar`.
  • Release notes är tydligt uppdelade: Säkerhetsfixar vs Nya funktioner.

Konsekvens: Kunder kan hålla sig säkra utan att ta funktionsrisker, vilket ligger i linje med CRA:s krav.

Steg 3 – Artikel 14: Vad ska rapporteras och till vem?

Artikel 14 i CRA reglerar rapportering av aktivt utnyttjade sårbarheter och allvarliga incidenter.

1. Två huvudtyper av händelser

  1. Aktivt utnyttjade sårbarheter
  • En svaghet i produkten där det finns bevis eller starka indikationer på att angripare faktiskt utnyttjar den.
  1. Allvarliga incidenter
  • Säkerhetshändelser kopplade till produkten som betydligt påverkar:
  • konfidentialitet, integritet eller tillgänglighet hos data eller tjänster, eller
  • säkerheten i nätverk och informationssystem som produkten används i.

2. Mottagare i rapporteringskedjan

  • Nationellt CSIRT (eller annan nationell kontaktpunkt) i den medlemsstat där tillverkaren är etablerad är normalt första mottagare.
  • ENISA (EU:s cybersäkerhetsbyrå) får informationen via:
  • nationella CSIRTs, och/eller
  • direkt rapportering i vissa fall (t.ex. om ENISA tillhandahåller särskilda rapporteringskanaler enligt genomförandeakter).

CRA knyter därmed samman tillverkarnas rapportering med den infrastruktur som redan byggts upp inom EU för incidenthantering (CSIRTs, ENISA, NIS2).

Steg 4 – Tidsfrister och innehåll i rapporteringen (artikel 14)

Artikel 14 anger tidsfrister och minimikrav på innehåll i rapporterna. Exakta formuleringar kan preciseras i genomförandeakter, men huvudprinciperna är:

1. Tidsfrister (översiktlig logik)

  • Snabb första rapport efter att tillverkaren fått kännedom om:
  • en aktivt utnyttjad sårbarhet, eller
  • en allvarlig incident.
  • Därefter uppföljande rapporter när mer information finns.
  • Slutligen en slutrapport när händelsen är hanterad.

I praktiken ligger tidsfönster ofta i storleksordningen timmar till få dagar för första rapport, beroende på allvarlighetsgrad – i linje med hur EU tidigare reglerat incidentrapportering (t.ex. NIS2). Som tillverkare bör du därför planera för mycket snabba interna eskaleringsvägar.

2. Innehåll i rapporterna (miniminivå)

En inledande rapport bör åtminstone innehålla:

  • Identifiering av produkten (modell, version, berörda komponenter).
  • Kort beskrivning av sårbarheten eller incidenten.
  • Om den utnyttjas aktivt och i vilken omfattning det är känt.
  • Påverkan: vilka typer av system, data eller användare som drabbas eller riskerar att drabbas.
  • Initiala åtgärder som redan vidtagits eller planeras (t.ex. mitigeringar, kommande patch).

En slutrapport innehåller dessutom:

  • Mer detaljerad orsaksanalys (root cause).
  • Beskrivning av slutliga åtgärder (patch, förbättrade kontroller, uppdaterade processer).
  • Lärdomar och eventuella förebyggande åtgärder för framtiden.

> Viktigt: CRA:s artikel 14 är inte bara en formalitet. Den ger CSIRTs och ENISA underlag för koordinerade varningar, hotbildsanalys och stöd till andra drabbade aktörer.

Snabbkoll – Vad omfattas av artikel 14?

Testa din förståelse av vad som utlöser rapporteringsskyldighet enligt artikel 14.

Vilken av följande situationer är MEST tydligt rapporteringspliktig enligt artikel 14?

  1. En potentiell sårbarhet hittas internt i labb, men inga tecken finns på att den utnyttjas och produkten är ännu inte släppt.
  2. En redan släppt produkt har en känd sårbarhet som nu bekräftas utnyttjas aktivt i attacker mot flera kunder.
  3. En mindre bugg i användargränssnittet gör att en ikon visas fel, utan säkerhetspåverkan.
Show Answer

Answer: B) En redan släppt produkt har en känd sårbarhet som nu bekräftas utnyttjas aktivt i attacker mot flera kunder.

Artikel 14 fokuserar på aktivt utnyttjade sårbarheter och allvarliga incidenter. Alternativ 2 beskriver en släppt produkt där sårbarheten utnyttjas aktivt mot kunder – typiskt rapporteringspliktigt. Alternativ 1 gäller en intern upptäckt utan aktivt utnyttjande och innan produkten är släppt. Alternativ 3 saknar säkerhetspåverkan.

Övning – Förbered din organisations artikel 14-flöde

Föreställ dig att du ska designa ett internt larmflöde för artikel 14 i din (fiktiva eller verkliga) organisation.

Besvara för dig själv (gärna skriftligt):

  1. Upptäckt
  • Vilka roller/funktioner kan först upptäcka en aktivt utnyttjad sårbarhet eller allvarlig incident? (t.ex. SOC, support, utveckling, extern forskare)
  1. Intern eskalering
  • Vem beslutar att detta når tröskeln för artikel 14-rapportering? (titel/roll)
  1. Extern rapportering
  • Vem ansvarar för att skicka den faktiska rapporten till CSIRT/ENISA?
  • Vilka mallar eller checklistor behöver ni för att inte missa viktig information?
  1. Tidsaspekt
  • Hur säkerställer ni att första rapporten kan skickas inom timmar, inte veckor?
  • Vilka hinder ser du (t.ex. juridisk granskning, otydliga beslutsvägar)?

> Reflektera: Vad skulle du ändra i organisationens nuvarande arbetssätt för att uppfylla CRA:s krav utan att skapa onödig byråkrati?

Repetition – Nyckelbegrepp

Använd korten för att repetera de viktigaste begreppen kring sårbarhetshantering och artikel 14.

Sårbarhetshanteringsprocess
En strukturerad, dokumenterad process för att ta emot, bedöma, åtgärda och kommunicera sårbarheter i en produkt under hela dess livscykel.
Aktivt utnyttjad sårbarhet
En sårbarhet där det finns bevis eller starka indikationer på att angripare faktiskt använder den i attacker mot system eller användare.
Allvarlig incident (CRA-kontekst)
En cybersäkerhetshändelse kopplad till produkten som betydligt påverkar konfidentialitet, integritet eller tillgänglighet hos data eller tjänster, eller säkerheten i nätverk och informationssystem.
CSIRT
Computer Security Incident Response Team – nationellt eller sektorsspecifikt team som tar emot incidentrapporter, koordinerar respons och sprider varningar.
ENISA
EU:s cybersäkerhetsbyrå som stödjer medlemsstater, samlar in och analyserar incidentdata, ger rekommendationer och kan samordna informationsdelning på EU-nivå.
Separering av säkerhets- och funktionsuppdateringar
Principen att säkerhetsfixar ska kunna distribueras och installeras oberoende av nya funktioner, så att användare kan förbli säkra utan att tvingas ta funktionsrisker.
Automatiska säkerhetsuppdateringar (default-on)
Att säkerhetsuppdateringar som huvudregel installeras automatiskt om det är rimligt, för att minska tiden då kända sårbarheter är oåtgärdade.
Artikel 14 (CRA)
Bestämmelsen som reglerar tillverkarens skyldighet att rapportera aktivt utnyttjade sårbarheter och allvarliga incidenter till CSIRTs och, indirekt eller direkt, till ENISA.

Avslutande kunskapscheck

Svara på frågan för att testa din förståelse av uppdateringskraven.

Vilket påstående ligger BÄST i linje med CRA:s krav på uppdateringar?

  1. Alla uppdateringar (säkerhet och funktion) ska alltid installeras automatiskt utan möjlighet för användaren att påverka.
  2. Säkerhetsuppdateringar ska så långt möjligt kunna installeras separat från funktionsuppdateringar, och bör normalt vara aktiverade automatiskt som standard.
  3. Tillverkaren behöver bara erbjuda säkerhetsuppdateringar om kunden uttryckligen begär det.
Show Answer

Answer: B) Säkerhetsuppdateringar ska så långt möjligt kunna installeras separat från funktionsuppdateringar, och bör normalt vara aktiverade automatiskt som standard.

Alternativ 2 speglar kärnan i CRA:s krav: separering av säkerhets- och funktionsuppdateringar samt att säkerhetsuppdateringar som huvudregel ska kunna installeras automatiskt. Alternativ 1 är för kategoriskt och bortser från proportionalitet och användningsfall. Alternativ 3 uppfyller inte skyldigheten att aktivt tillhandahålla säkerhetsuppdateringar.

Key Terms

CSIRT
Computer Security Incident Response Team, ansvarar för att ta emot och hantera incidentrapporter, koordinera respons och sprida varningar.
ENISA
European Union Agency for Cybersecurity, EU:s cybersäkerhetsbyrå som stödjer medlemsstater och EU-institutioner i cybersäkerhetsfrågor.
Triagering
Första bedömningen och prioriteringen av inkomna sårbarhetsrapporter eller incidenter, för att avgöra allvarlighetsgrad och nästa steg.
Allvarlig incident
Incident med betydande negativ påverkan på säkerheten i nätverk, informationssystem eller data kopplade till produkten.
Funktionsuppdatering
Uppdatering som tillför, ändrar eller tar bort funktioner utan primärt fokus på säkerhetsfixar.
Sårbarhetshantering
Kontinuerlig process för att identifiera, bedöma, åtgärda och följa upp sårbarheter i system och produkter.
Säkerhetsuppdatering
Programvaruuppdatering som främst syftar till att åtgärda säkerhetsbrister, inte att lägga till eller ändra funktionalitet.
Cyber Resilience Act (CRA)
EU-förordning som ställer krav på cybersäkerhet för produkter med digitala element under hela deras livscykel, inklusive design, utveckling, distribution, uppdateringar och incidentrapportering.
Aktivt utnyttjad sårbarhet
Sårbarhet som används av angripare i verkliga attacker mot system eller användare.
Koordinerad sårbarhetsavslöjande (CVD)
Process där forskare, tillverkare och ibland tredje part samarbetar för att hantera och offentliggöra sårbarheter på ett kontrollerat och ansvarsfullt sätt.