SkarpSkarp
Get the App

Chapter 1 of 13

Översikt: Syfte, struktur och tidslinje (artiklarna 1–2, inledning)

Denna modul ger en överblick över Cyber Resilience Act: varför den införts, hur den är uppbyggd (kapitel och artiklar) och när olika delar börjar gälla. Vi placerar förordningen i relation till annan EU-cybersäkerhetslagstiftning.

15 min readsv

1. Vad är Cyber Resilience Act (CRA)?

Cyber Resilience Act (CRA) är en EU-förordning om cybersäkerhet för produkter med digitala element (eng. products with digital elements, PDE).

Några grundfakta (läge: februari 2026):

  • Fullständigt namn: Förordning (EU) 2024/… om horisontella cybersäkerhetskrav för produkter med digitala element (allmänt kallad Cyber Resilience Act).
  • Antagen: 2024 (som del av EU:s cybersäkerhets- och digitaliseringspaket).
  • Typ av rättsakt: Förordning = gäller direkt i alla medlemsstater (behöver normalt inte genomföras i nationell lag som ett direktiv).

Varför behövdes CRA?

  • Allt fler produkter är uppkopplade (IoT, smarta hem, industriella styrsystem, fordon, medicinteknik m.m.).
  • Många sårbarheter beror på bristfällig säkerhetsdesign och avsaknad av uppdateringar.
  • Före CRA fanns fragmenterad reglering: vissa sektorer hade krav (t.ex. medicinteknik, fordon), andra inte.
  • Syftet är att skapa minimikrav på cybersäkerhet för alla relevanta produkter på EU-marknaden.

I denna modul fokuserar vi särskilt på artiklarna 1–2 och inledningen (skälen), som förklarar:

  • Syftet (varför förordningen finns)
  • Tillämpningsområde (vilka produkter och aktörer som omfattas)
  • Hur förordningen är uppbyggd (kapitel/artiklar)
  • När olika delar börjar gälla (tidslinje).

2. Syftet med CRA – de övergripande målen

Artiklarna 1–2 och skälen i början av förordningen anger flera centrala mål.

Tre kärnmål

  1. Höja cybersäkerhetsnivån för produkter
  • Säkerhet ska byggas in från början (security by design), inte läggas på i efterhand.
  • Produkter ska ha grundläggande säkerhetsfunktioner (t.ex. inga standardlösenord, säkra uppdateringar).
  1. Skydda användare och samhälle
  • Minska risken för:
  • intrång i privatlivet
  • ekonomiska förluster
  • störningar i samhällsviktiga tjänster (energi, transport, sjukvård).
  1. Stärka den inre marknaden
  • Samma horisontella (brett tillämpade) krav i hela EU.
  • Undvika att varje medlemsstat inför egna, olika regler.
  • Underlätta för företag att sälja säkra produkter i hela EU.

> Koppling till lärandemål: Här ska du kunna förklara med egna ord varför CRA har antagits och vilka problem den ska lösa.

3. Konkreta exempel: Varför behövs horisontella krav?

Föreställ dig följande situationer:

  1. Smarta hem-prylar
  • En billig smart-kamera har standardlösenord (t.ex. "admin/admin").
  • Tillverkaren ger inga säkerhetsuppdateringar.
  • Resultat: kameran kapas och används i en botnet-attack mot en sjukhuswebbplats.
  1. Industriell IoT-sensor
  • Sensorer i en fabrik är uppkopplade men saknar krypterad kommunikation.
  • En angripare manipulerar data → produktionen störs.
  1. Liten mjukvaruleverantör
  • Ett litet företag säljer programvara i flera EU-länder.
  • Utan CRA: olika krav i olika länder → dyrt och komplicerat.
  • Med CRA: ett gemensamt regelverk.

I alla dessa fall vill CRA:

  • tvinga fram miniminivåer av säkerhet,
  • göra det tydligt vem som ansvarar (tillverkare, importör, distributör),
  • skapa lika villkor på marknaden.

4. Horisontell karaktär och relation till annan EU-lagstiftning

CRA är en horisontell förordning, vilket betyder att den gäller brett över många sektorer.

Hur förhåller sig CRA till annan EU-cybersäkerhetsrätt?

  1. NIS2-direktivet (direktiv (EU) 2022/2555)
  • NIS2 gäller organisationer och tjänster (t.ex. energibolag, sjukhus, molntjänster).
  • Fokus: organisatorisk säkerhet, riskhantering, incidentrapportering.
  • Genomförs i nationell rätt (i Sverige genom bl.a. ny NIS-lagstiftning runt 2024–2025).
  • CRA kompletterar NIS2:
  • NIS2: krav på hur organisationer arbetar med säkerhet.
  • CRA: krav på själva produkterna (hårdvara/mjukvara) de använder eller tillhandahåller.
  1. Produktsäkerhet och produktreglering
  • Allmän produktsäkerhet: Förordning (EU) 2023/988 (General Product Safety Regulation, GPSR) – trädde i kraft 2023 och blev tillämplig 2024.
  • Särskilda produktlagar: t.ex. maskinförordningen, leksaksdirektivet, medicinteknikförordningen.
  • CRA bygger vidare på EU:s produktregelverk genom att lägga till cybersäkerhetskrav som en del av produktsäkerheten.
  1. EU:s cybersäkerhetsakt (Cybersecurity Act, förordning (EU) 2019/881)
  • Införde EU-certifiering av IT-produkter och tjänster.
  • CRA kan kopplas till dessa certifieringsramar, men inför egna bindande krav oberoende av frivillig certifiering.

> Nyckelpoäng: CRA ersätter inte NIS2 eller annan sektorsspecifik lagstiftning, utan kompletterar dem med grundläggande cybersäkerhetskrav för produkter.

5. Struktur: Kapitel och artiklar i CRA (översikt)

För att förstå artiklarna 1–2 är det bra att se hela strukturen.

En förenklad översikt över hur CRA är uppbyggd (kapitelrubriker kan variera något i översättningar, men innehållet är stabilt):

  1. Kapitel I – Allmänna bestämmelser
  • Artiklarna 1–2 (fokus i denna modul) + definitioner m.m.
  • Innehåll: syfte, tillämpningsområde, centrala begrepp.
  1. Kapitel II – Skyldigheter för ekonomiska aktörer
  • Tillverkare, importörer, distributörer, auktoriserade representanter.
  • Krav på design, utveckling, sårbarhetshantering, säkerhetsuppdateringar.
  1. Kapitel III – Krav för produkter med digitala element
  • Väsentliga cybersäkerhetskrav (tekniska och organisatoriska).
  • Dokumentation, teknisk fil, riskanalys.
  1. Kapitel IV – Bedömning av överensstämmelse och CE-märkning
  • Hur man visar att produkten uppfyller kraven (moduler, anmälda organ, harmoniserade standarder).
  • CE-märkning och EU-försäkran om överensstämmelse.
  1. Kapitel V – Marknadskontroll och tillsyn
  • Nationella myndigheters befogenheter.
  • Åtgärder mot farliga eller icke-kompatibla produkter.
  1. Kapitel VI – Sanktioner och genomförande
  • Administrativa sanktionsavgifter, andra åtgärder.
  1. Kapitel VII – Övergångsbestämmelser och tidslinje
  • När förordningen träder i kraft.
  • När olika krav börjar gälla (övergångsperioder).

> Artiklarna 1–2 ligger alltså i Kapitel I och fungerar som ingången till hela förordningen.

6. Snabbkontroll: Syfte och horisontell karaktär

Besvara frågan nedan innan du läser vidare.

Vad menas med att CRA är en *horisontell* förordning?

  1. Att den bara gäller för en specifik sektor, t.ex. sjukvården
  2. Att den gäller brett för många typer av produkter och sektorer, som en grundnivå av krav
  3. Att den bara gäller för produkter som är certifierade enligt EU:s cybersäkerhetsakt
Show Answer

Answer: B) Att den gäller brett för många typer av produkter och sektorer, som en grundnivå av krav

Horisontell betyder att reglerna gäller brett, över flera sektorer och produkttyper, som en gemensam grundnivå. Svarsalternativ A beskriver snarare sektorsspecifik reglering, och C blandar ihop CRA med frivillig certifiering enligt cybersäkerhetsakten.

7. Artiklarna 1–2: Syfte och tillämpningsområde

Nu går vi mer direkt på artiklarna 1–2.

Artikel 1 – Syfte och föremål

Artikel 1 anger i huvudsak:

  • att förordningen fastställer cybersäkerhetskrav för produkter med digitala element,
  • att den ska säkerställa:
  • en hög nivå av cybersäkerhet i hela EU,
  • väl fungerande inre marknad,
  • skydd av användare och samhällsviktiga funktioner.

Artikel 2 – Tillämpningsområde

Artikel 2 preciserar vilka produkter och aktörer som omfattas.

Övergripande gäller CRA för:

  • Produkter med digitala element (PDE), t.ex.:
  • uppkopplade konsumentprodukter (smarta klockor, kameror, högtalare),
  • industriella styrsystem och sensorer,
  • routrar, brandväggar, nätverksutrustning,
  • mjukvara som säljs eller tillhandahålls på marknaden.
  • Ekonomiska aktörer:
  • tillverkare,
  • importörer,
  • distributörer,
  • auktoriserade representanter.

Samtidigt innehåller artikel 2 undantag, t.ex. för:

  • vissa produkter som redan är omfattande reglerade av annan EU-lagstiftning med likvärdiga cybersäkerhetskrav (t.ex. vissa medicintekniska produkter, luftfart),
  • produkter som utvecklas uteslutande för forskning och utveckling och inte släpps på marknaden.

> För tentamen/uppgifter är det viktigt att du kan förklara i stora drag vilka produkter som omfattas och att det finns specifika undantag – detaljerna finns i själva artikeltexten och bilagor.

8. Tillämpningsområde: Vem omfattas? (tankeövning)

Fundera på följande tre exempel. Försök avgöra om de troligen omfattas av CRA eller inte. Motivera kort för dig själv.

  1. En smart glödlampa du kan styra via en app i mobilen.
  2. Ett internt utvecklat verktyg på ett företag som bara används internt och aldrig säljs eller licensieras externt.
  3. En industriell router som säljs till elnätsoperatörer i flera EU-länder.

Reflektion (facit i ord):

  • (1) Smart glödlampa: Ja, typiskt omfattad – en konsumentprodukt med digitala element och uppkoppling.
  • (2) Internt verktyg: Ofta utanför CRA, så länge det inte sätts på marknaden (dvs. inte säljs/överlåts). Men NIS2 eller annan reglering kan ändå ställa krav på organisationens säkerhet.
  • (3) Industriell router: Ja, tydligt exempel på produkt med digitala element med stor betydelse för cybersäkerheten.

> Poängen är att CRA fokuserar på produkter på marknaden, inte på allt som råkar innehålla mjukvara.

9. Tidslinje: Ikraftträdande och tillämpning

En viktig del av inledningen och de avslutande kapitlen är tidslinjen – när olika delar av CRA börjar gälla.

> OBS: Exakta datum kan variera något mellan källor. Här är strukturen som är viktigast att förstå (läge: 2026):

Typisk modell för EU-förordningar som CRA

  1. Antagande
  • Förordningen antogs 2024.
  1. Ikraftträdande
  • Förordningen trädde i kraft ett visst datum 2024 (vanligen 20 dagar efter publicering i EU:s officiella tidning).
  • Från ikraftträdandet finns förordningen formellt, men många artiklar börjar gälla först senare.
  1. Tillämpning (huvuddelarna)
  • De flesta materiella kraven (på tillverkare, produkter, CE-märkning) börjar gälla efter en övergångsperiod – typiskt 2–3 år efter ikraftträdandet.
  • Syftet är att ge företag och myndigheter tid att anpassa sig.
  1. Tidigare start för vissa skyldigheter
  • En del regler om t.ex. rapportering av sårbarheter och samarbete mellan myndigheter kan börja gälla tidigare än produktkraven.

Vad behöver du kunna nu?

För denna modul är det viktigast att du kan:

  • skilja mellan ikraftträdande (förordningen existerar i rättsordningen) och tillämpning (när kraven faktiskt måste följas),
  • förstå att olika kapitel/artiklar kan ha olika startdatum,
  • inse att vi 2026 befinner oss i en övergångs- och förberedelsefas där företag och myndigheter anpassar sig inför full tillämpning.

När du arbetar praktiskt (t.ex. i ett företag) måste du alltid kolla exakta datum i den officiella konsoliderade texten eller via din nationella myndighet (i Sverige t.ex. MSB eller ansvariga sektorsmyndigheter).

10. Quiz: Ikraftträdande vs tillämpning

Testa att du förstått skillnaden mellan ikraftträdande och tillämpning.

Vad betyder det att CRA har *trätt i kraft* men att vissa artiklar ännu inte *tillämpas* fullt ut?

  1. Att förordningen inte gäller i någon medlemsstat ännu
  2. Att förordningen formellt gäller, men vissa krav börjar gälla först efter en övergångsperiod
  3. Att medlemsstaterna kan välja om de vill följa förordningen eller inte
Show Answer

Answer: B) Att förordningen formellt gäller, men vissa krav börjar gälla först efter en övergångsperiod

Ikraftträdande innebär att förordningen blivit en del av EU-rätten. Men många EU-förordningar har övergångsperioder innan alla krav börjar gälla i praktiken. Medlemsstaterna kan inte välja bort en förordning (så B är rätt).

11. Centrala begrepp från artiklarna 1–2

Använd korten för att repetera viktiga nyckelbegrepp.

Cyber Resilience Act (CRA)
EU-förordning från 2024 som inför horisontella cybersäkerhetskrav för produkter med digitala element på EU-marknaden.
Produkt med digitala element (PDE)
En produkt som innehåller mjukvara eller uppkopplade komponenter och där cybersäkerhet är relevant för produktens funktion och säkerhet.
Horisontell reglering
Regler som gäller brett över många sektorer och produkttyper, till skillnad från sektorsspecifik lagstiftning.
Artikel 1 i CRA
Anger syftet med förordningen: att fastställa cybersäkerhetskrav för produkter med digitala element och säkerställa en hög säkerhetsnivå och en fungerande inre marknad.
Artikel 2 i CRA
Definierar tillämpningsområdet: vilka produkter och aktörer som omfattas, samt vissa undantag.
Ikraftträdande
Tidpunkten då en förordning formellt blir gällande rätt (ofta 20 dagar efter publicering i EU:s officiella tidning).
Tillämpning
Tidpunkten då reglerna faktiskt måste följas i praktiken; kan infalla senare än ikraftträdandet efter en övergångsperiod.
Relation CRA – NIS2
NIS2 reglerar organisationers cybersäkerhetsarbete och tjänster, medan CRA reglerar säkerhetskraven för själva produkterna med digitala element.

12. Sammanfattande reflektionsuppgift

Avsluta modulen genom att skriva (för dig själv, 5–7 meningar) svar på följande tre frågor:

  1. Varför har EU infört CRA, och vilka problem försöker förordningen lösa?
  2. Hur skulle du förklara skillnaden mellan CRA och NIS2 för en person som inte läst juridik?
  3. Beskriv kort strukturen i CRA (kapitel och huvudteman) och nämn minst två viktiga tidpunkter i dess tidslinje (t.ex. antagande, ikraftträdande, full tillämpning).

Försök att använda så många av följande ord som möjligt:

horisontell, produkt med digitala element, ikraftträdande, tillämpning, ekonomiska aktörer, inre marknad.

> Om du kan svara tydligt på dessa tre frågor ligger du väldigt bra till för att uppfylla modulens lärandemål.

Key Terms

Inre marknad
EU:s gemensamma marknad där varor, tjänster, personer och kapital kan röra sig fritt, med harmoniserade regler för att undvika handelshinder.
Tillämpning
Tidpunkten då reglerna faktiskt måste följas; kan ligga senare än ikraftträdandet och kan variera mellan olika artiklar.
Ikraftträdande
Tidpunkten då en rättsakt formellt blir en del av gällande rätt (t.ex. en EU-förordning som börjar gälla efter publicering).
NIS2-direktivet
Direktiv (EU) 2022/2555 som ställer krav på cybersäkerhet, riskhantering och incidentrapportering för viktiga och samhällsviktiga tjänster.
Ekonomiska aktörer
Tillverkare, importörer, distributörer och auktoriserade representanter som sätter produkter på marknaden eller tillhandahåller dem.
Horisontell reglering
Lagstiftning som gäller brett över flera sektorer och produkttyper, i motsats till sektorsspecifik reglering.
Cyber Resilience Act (CRA)
EU-förordning från 2024 som inför horisontella cybersäkerhetskrav för produkter med digitala element.
Produkt med digitala element (PDE)
En produkt (hårdvara och/eller mjukvara) där digitala komponenter spelar en central roll och där cybersäkerhet är relevant för funktion och säkerhet.