SkarpSkarp
Get the App

Chapter 13 of 13

Övergångsbestämmelser, tidslinje och praktisk implementeringsplan

Avslutande modul som går igenom artiklarna om ikraftträdande, övergångsperioder och delegerade/implementerande akter, och omsätter dem i en praktisk färdplan för efterlevnad fram till full tillämpning.

15 min readsv

1. Överblick: Från antagen CRA till full tillämpning

I den här avslutande modulen binder vi ihop allt kring Cyber Resilience Act (CRA) och fokuserar på:

  • Ikraftträdande vs. tillämpning (olika datum)
  • Övergångsperioder för olika aktörer
  • Delegerade akter och genomförandeakter (hur regler kan preciseras och ändras över tid)
  • Hur du gör en praktisk färdplan för efterlevnad i en organisation fram till full tillämpning.

> Obs: CRA är en EU-förordning (inte ett direktiv). Det betyder att den gäller direkt i alla medlemsstater utan nationell genomförandelag, men medlemsstaterna behöver ändå vidta vissa kompletterande åtgärder (t.ex. utse marknadskontrollmyndigheter och fastställa sanktionsnivåer).

Vi utgår i modulen från den tidslinje som fastställts i den antagna CRA‑texten (antagen 2024) och placerar den relativt idag (februari 2026). Syftet är att du ska kunna svara på:

  • Vad gäller redan nu?
  • Vad börjar gälla inom de närmaste åren?
  • Hur planerar en organisation sin resa till full efterlevnad?

2. Centrala datum: ikraftträdande och tillämpning

EU‑förordningar har ofta tre nyckelbegrepp i slutartiklarna:

  1. Antagande – när EU:s lagstiftare beslutar om förordningen (parlament + råd).
  2. Ikraftträdande – när förordningen träder i kraft (oftast 20 dagar efter publicering i EU:s officiella tidning, EUT).
  3. Tillämpningsdatum – när reglerna börjar gälla i praktiken för företag och andra aktörer.

För CRA innebär det i korthet (förenklad modell för denna kurs):

  • 2024 – CRA antogs och publicerades i EUT.
  • 2024 – förordningen trädde i kraft (20 dagar efter publicering).
  • Ca 3 år efter ikraftträdandet – huvuddelen av kraven på produkter med digitala element börjar tillämpas (allmän övergångsperiod).
  • Särskilda datum för:
  • Kapitel IV (t.ex. sanktionsbestämmelser och marknadskontroll) – börjar gälla tidigare än de tekniska kraven på produkter.
  • Artikel 14 (sårbarhetsrapportering) – får ett eget tidigare tillämpningsdatum, eftersom rapporteringskedjan till CSIRT/ENISA måste fungera innan alla övriga krav slår till.

> Viktigt för dig som student: Du behöver inte kunna exakta dag‑månad‑år utantill, men du ska förstå ordningen:

> 1. Ikraftträdande (juridiskt “på plats”).

> 2. Viss tid för förberedelser (övergångsperiod).

> 3. Tillämpning av olika kapitel/artiklar vid olika datum.

3. Övergångsbestämmelser: vad händer med befintliga produkter?

Övergångsbestämmelserna i CRA svarar på frågor som:

  • Gäller CRA retroaktivt?
  • Nej, CRA gäller framåt i tiden. Men det finns regler för hur man hanterar produkter som redan finns på marknaden.
  • Får produkter som släppts före tillämpningsdatumet fortsätta säljas?
  • Typiskt: produkter som redan satts på EU‑marknaden före full tillämpning får fortsätta säljas under vissa villkor.
  • Men: om du väsentligt ändrar en produkt (t.ex. större firmware‑uppdatering som ändrar säkerhetsprofilen) kan den betraktas som en ny produkt och då omfattas av CRA‑kraven.
  • Övergång för standarder och bedömningsförfaranden:
  • Under övergångsperioden kan tillverkare luta sig mot befintliga standarder (t.ex. ISO/IEC 27001, ETSI EN 303 645), men efterhand kommer harmoniserade standarder kopplade till CRA att publiceras.

> Koppling till tidigare moduler: Marknadskontrollmyndigheter och sanktioner (kapitel IV) kan börja gälla innan alla tekniska krav är fullt tillämpliga. Det gör att tillsyn kan förberedas och vissa skyldigheter (t.ex. rapportering) kan gälla tidigt.

4. Snabb repetition: nyckelbegrepp

Använd korten för att repetera centrala begrepp inför tidslinjen och planeringen.

Ikraftträdande
Den tidpunkt då en förordning juridiskt börjar gälla (ofta 20 dagar efter publicering i EUT), men inte nödvändigtvis när alla materiella krav börjar tillämpas på aktörer.
Tillämpningsdatum
Den dag då de praktiska skyldigheterna för företag och andra aktörer börjar gälla. Kan vara flera olika datum för olika kapitel/artiklar.
Övergångsperiod
Tidsfönster mellan ikraftträdande och tillämpning då aktörer ska förbereda sig, anpassa processer och produkter till de nya kraven.
Delegerad akt
Rättsakt antagen av EU‑kommissionen som kompletterar eller ändrar icke‑väsentliga delar av en förordning, t.ex. uppdaterar bilagor eller tekniska detaljer.
Genomförandeakt
Rättsakt där kommissionen fastställer enhetliga villkor för hur en förordning ska genomföras praktiskt, t.ex. formulär, rapporteringsformat eller tekniska procedurer.

5. Delegerade akter: hur CRA kan ändras över tid

CRA innehåller artiklar som ger EU‑kommissionen befogenhet att anta delegerade akter. Dessa är viktiga för att hålla reglerna tekniskt uppdaterade utan att behöva göra en helt ny förordning.

Typiska områden där delegerade akter kan användas i CRA:

  • Ändra bilagor med:
  • Detaljerade säkerhetskrav för produkter med digitala element
  • Listor över kritiska produktkategorier (som kan få strängare bedömning)
  • Uppdatera referenser till standarder eller tekniska specifikationer när tekniken utvecklas.

Process (förenklad):

  1. Kommissionen tar fram förslag (ofta efter tekniska expertgrupper, samråd m.m.).
  2. Europaparlamentet och rådet får möjlighet att invända inom en viss tid.
  3. Om ingen invändning – den delegerade akten publiceras i EUT och blir bindande.

> Konsekvens för organisationer:

> - Du kan inte bara läsa själva förordningstexten en gång och “bli klar”.

> - Du måste ha en löpande omvärldsbevakning av delegerade akter som kan skärpa eller precisera kraven.

Exempel (hypotetiskt men realistiskt):

  • 2027: Kommissionen antar en delegerad akt som lägger till en ny kategori "uppkopplade industrisensorer" i en bilaga som kräver striktare säkerhetsbedömning.
  • Företag som tillverkar sådana sensorer måste då:
  • uppdatera sin riskanalys,
  • eventuellt byta bedömningsförfarande,
  • säkerställa att tekniska dokumentationen uppfyller de nya kraven.

6. Genomförandeakter: praktiska detaljer och samspel med NIS2/AI‑förordningen

Där delegerade akter ändrar innehåll, används genomförandeakter framför allt för att säkerställa enhetlig tillämpning i hela EU.

I CRA kan genomförandeakter t.ex. användas för att:

  • Fastställa form och innehåll för:
  • sårbarhetsrapporter enligt artikel 14 (t.ex. rapporteringsmallar),
  • anmälningar från tillverkare till marknadskontrollmyndigheter.
  • Definiera tekniska format för informationsutbyte mellan:
  • tillverkare,
  • nationella CSIRT,
  • ENISA och andra EU‑organ.

Koppling till annan EU‑lagstiftning:

  • NIS2‑direktivet – reglerar cybersäkerhet för viktiga och viktiga enheter (t.ex. energi, hälsosektor). CRA reglerar produkterna de använder. Genomförandeakter kan säkerställa att rapporteringskedjor enligt CRA synkar med NIS2‑rapportering.
  • AI‑förordningen (AI Act) – säkerhetskrav för AI‑system, särskilt högrisk. Om en produkt med digitala element innehåller AI‑funktioner kan den omfattas av både CRA och AI‑förordningen. Genomförandeakter kan klargöra gränssnitt (t.ex. vilka bedömningsmoduler som får återanvändas).

> Praktisk lärdom: Företag behöver inte bara följa CRA i sig, utan också bevaka hur genomförandeakter knyter ihop CRA med NIS2, AI‑förordningen och den allmänna produktsäkerhetsförordningen (GPSR).

7. Rita din egen CRA‑tidslinje (övning)

Gör denna övning med papper och penna eller i ett digitalt anteckningsverktyg.

Steg 1 – Rita en horisontell tidslinje

Markera följande ungefärliga punkter (årtal räcker):

  • 2024 – CRA antogs och trädde i kraft.
  • T0 + 1–2 år – vissa tidiga bestämmelser börjar tillämpas (t.ex. artikel 14 om sårbarhetsrapportering och delar av kapitel IV om tillsyn/sanktioner).
  • T0 + ca 3 år – huvuddelen av de tekniska kraven på produkter börjar gälla.

> T0 = datum för ikraftträdande 2024.

Steg 2 – Lägg till roller

Under tidslinjen, rita tre rader:

  1. Tillverkare
  2. Importörer/distributörer
  3. Nationella myndigheter (marknadskontroll, CSIRT)

För varje tidsperiod (2024 – T0+1, T0+1 – T0+3, efter T0+3):

  • Skriv 2–3 konkreta aktiviteter per roll.

Exempel för tillverkare (inspirationslista):

  • 2024–T0+1: kartlägga produkter, göra gap‑analys mot CRA, utse intern ansvarig.
  • T0+1–T0+3: etablera säker utvecklingsprocess, uppdatera teknisk dokumentation, sätta upp sårbarhetsrapportering.
  • Efter T0+3: löpande efterlevnad, intern revision, bevaka delegerade/implementerande akter.

Fundera avslutningsvis:

  • Vilka aktiviteter är mest tidskritiska?
  • Vilka kräver budget/ledningens beslut?
  • Vad skulle du prioritera om du bara fick välja tre saker första året?

8. Fallstudie: Medelstort IoT‑företag planerar sin CRA‑resa

Föreställ dig företaget NordicHome IoT AB som utvecklar uppkopplade termostater och dörrlås för konsumenter i EU.

Utgångsläge (2024)

  • Produkten säljs redan i flera EU‑länder.
  • Företaget följer viss cybersäkerhetspraxis, men utan formell standard.

Deras hög‑nivåplan (förenklad)

Fas 1 – Förberedelse (2024–T0+1)

  • Tillsätter en CRA‑ansvarig under CTO.
  • Gör en inventering:
  • vilka produkter är på marknaden,
  • vilka mjukvarukomponenter (inkl. öppen källkod) används.
  • Genomför en gap‑analys mot CRA‑kraven:
  • finns säker utvecklingslivscykel?
  • finns sårbarhetshantering och patch‑process?

Fas 2 – Implementering (T0+1–T0+3)

  • Inför säker utvecklingsprocess (t.ex. kodgranskning, fuzz‑testning, hotmodellering).
  • Etablerar en sårbarhetsrapportkanal (artikel 14‑relaterad):
  • säker e‑postadress eller web formulär,
  • intern process för triagering och åtgärd.
  • Uppdaterar teknisk dokumentation för alla produkter:
  • riskanalys,
  • beskrivning av säkerhetsfunktioner,
  • uppdateringspolicy.

Fas 3 – Full efterlevnad (efter T0+3)

  • Säkerställer att nya produktlanseringar följer CRA från dag ett.
  • Sätter upp årlig intern revision av CRA‑efterlevnad.
  • Inför en omvärldsbevakningsrutin:
  • följer kommissionens delegerade/implementerande akter,
  • följer ENISA‑rekommendationer och harmoniserade standarder.

> Lärdom: Planen är inte extremt detaljerad, men ger en tydlig struktur: förberedelse → implementering → löpande efterlevnad.

9. Kunskapscheck: datum och akter

Besvara frågan nedan för att testa din förståelse av tidslinjen och rättsakterna.

Vilket påstående beskriver bäst skillnaden mellan delegerade akter och genomförandeakter i CRA‑kontexten?

  1. Delegerade akter används främst för att ändra bilagor och tekniska krav, medan genomförandeakter används för att fastställa praktiska procedurer och format för hur förordningen ska tillämpas.
  2. Genomförandeakter ersätter alltid artiklar i förordningen, medan delegerade akter bara gäller nationella lagar.
  3. Både delegerade och genomförandeakter kan fritt ändra alla delar av förordningen utan kontroll från parlament och råd.
Show Answer

Answer: A) Delegerade akter används främst för att ändra bilagor och tekniska krav, medan genomförandeakter används för att fastställa praktiska procedurer och format för hur förordningen ska tillämpas.

Alternativ A är korrekt: delegerade akter används för att komplettera eller ändra icke‑väsentliga delar av förordningen, ofta genom att uppdatera bilagor och tekniska krav. Genomförandeakter används för att skapa enhetliga villkor för tillämpningen, t.ex. procedurer och formulär. Alternativ B och C stämmer inte med EU‑rättens system.

10. Skissa en implementeringsplan för en vald aktör

Välj en av följande roller och skissa en hög‑nivå implementeringsplan fram till full tillämpning av CRA:

  1. Tillverkare av uppkopplade konsumentprodukter (t.ex. smarta lampor).
  2. Importör/distributör som tar in produkter från tredjeland till EU.
  3. Offentlig upphandlande myndighet som köper in produkter med digitala element.

Uppgift

För den valda rollen, skriv (i punktform):

  1. Målbild (3–5 punkter)
  • Hur ser “full CRA‑efterlevnad” ut för denna aktör?
  1. Fas 1 – 0–12 månader från ikraftträdande
  • 3–5 viktiga aktiviteter (t.ex. inventering, gap‑analys, utbildning).
  1. Fas 2 – fram till huvudtillämpningsdatumet (ca 3 år)
  • 3–5 aktiviteter som etablerar processer (t.ex. säker utveckling, rapporteringsrutiner, leverantörskrav).
  1. Fas 3 – efter full tillämpning
  • 3–5 aktiviteter för löpande efterlevnad (t.ex. intern revision, bevakning av delegerade akter, uppföljning av incidenter).

> Reflektionsfråga: Hur skulle denna plan behöva justeras om nya delegerade akter införs som skärper kraven för just din produktkategori?

11. Uppföljning, utvärdering och möjlig revidering av CRA

EU‑förordningar som CRA är inte statiska. Det finns artiklar som reglerar:

  • Utvärdering och rapportering:
  • Kommissionen ska efter en viss tid (vanligen några år efter att reglerna börjat tillämpas) utvärdera hur CRA fungerar i praktiken.
  • Man tittar t.ex. på: minskade incidenter, kostnader för företag, samspel med NIS2 och AI‑förordningen.
  • Möjlig revidering:
  • Om utvärderingen visar att vissa delar inte fungerar eller att tekniken sprungit förbi reglerna, kan kommissionen föreslå ändringar av själva förordningen (vanligt lagstiftningsförfarande) utöver delegerade/implementerande akter.

Vad betyder detta för efterlevnad i praktiken?

  • Organisationer behöver:
  • ha en kontinuerlig förbättringscykel (plan–do–check–act) för cybersäkerhet,
  • undvika lösningar som är “precis på miniminivån” utan marginal,
  • bygga system och processer som är flexibla nog att anpassas när:
  • nya hot uppstår,
  • nya standarder publiceras,
  • delegerade och genomförandeakter preciserar kraven.

I relation till tidigare moduler (tillsyn, sanktioner, samspel med annan lagstiftning) innebär detta att efterlevnad inte är ett engångsprojekt utan en långsiktig governance‑fråga.

12. Avslutande check: tidslinje och planering

En sista fråga för att knyta ihop övergångsbestämmelser och praktisk planering.

Vilken av följande strategier är mest rimlig för ett företag som vill planera sin CRA‑efterlevnad fram till full tillämpning?

  1. Vänta tills huvudtillämpningsdatumet och sedan snabbt försöka anpassa alla produkter samtidigt.
  2. Börja tidigt med kartläggning och gap‑analys, bygga upp processer under övergångsperioden och ha en rutin för att följa kommande delegerade och genomförandeakter.
  3. Fokusera bara på NIS2 och AI‑förordningen, eftersom dessa automatiskt garanterar efterlevnad av CRA.
Show Answer

Answer: B) Börja tidigt med kartläggning och gap‑analys, bygga upp processer under övergångsperioden och ha en rutin för att följa kommande delegerade och genomförandeakter.

Alternativ B är mest rimligt: en proaktiv strategi med tidig kartläggning, gradvis uppbyggnad av processer och löpande omvärldsbevakning av delegerade/implementerande akter. Alternativ A är riskabelt och kan leda till bristande efterlevnad och sanktioner. Alternativ C är felaktigt eftersom NIS2 och AI‑förordningen inte automatiskt täcker alla specifika produktkrav i CRA.

Key Terms

Delegerad akt
En rättsakt antagen av EU‑kommissionen som kompletterar eller ändrar icke‑väsentliga delar av en förordning, ofta genom att uppdatera bilagor eller tekniska krav.
Ikraftträdande
Den tidpunkt då en EU‑förordning juridiskt börjar gälla, vanligtvis 20 dagar efter publicering i Europeiska unionens officiella tidning.
Artikel 14 (CRA)
Bestämmelse i CRA om rapportering av sårbarheter och säkerhetsincidenter, inklusive skyldigheter för tillverkare att rapportera till relevanta myndigheter/CSIRT.
Genomförandeakt
En rättsakt där EU‑kommissionen fastställer enhetliga villkor för hur en förordning ska genomföras i praktiken, t.ex. formulär, rapporteringsformat eller tekniska procedurer.
Kapitel IV (CRA)
Det kapitel i CRA som behandlar bl.a. marknadskontroll, tillsyn och sanktioner. Vissa delar börjar tillämpas tidigare än de fulla tekniska produktkraven.
NIS2‑direktivet
EU‑direktiv om åtgärder för en hög gemensam nivå av cybersäkerhet i hela unionen, med krav på säkerhet och incidentrapportering för viktiga och särskilt viktiga enheter.
Övergångsperiod
Perioden mellan ikraftträdande och tillämpning då aktörer förväntas förbereda sig för de kommande kraven.
AI‑förordningen
EU‑förordning som reglerar utveckling, användning och marknadsföring av AI‑system, med särskilt strikta krav för högrisk‑AI.
Tillämpningsdatum
Datum då de materiella skyldigheterna i en förordning börjar gälla för företag och andra aktörer. Kan skilja sig mellan olika kapitel och artiklar.
Allmänna produktsäkerhetsförordningen (GPSR)
EU‑förordning som ställer horisontella krav på säkerhet för konsumentprodukter, inklusive digitala och uppkopplade produkter.