Cyberresiliensförordningen artikel för artikel

Cyberresiliensförordningen (CRA)

Förordning (EU) 2024/2847 – ett horisontellt EU‑regelverk som ställer bindande cybersäkerhetskrav på produkter med digitala element under hela deras livscykel.

Produkt med digitala element

Hårdvara eller programvara som direkt eller indirekt är uppkopplad eller behandlar digitala data, och där cybersäkerhet är relevant för produktens användning.

Bilaga I (Annex I) i CRA

Innehåller de väsentliga cybersäkerhetskraven som produkter med digitala element måste uppfylla (t.ex. sårbarhetshantering, uppdateringar, säker konfiguration).

NIS2‑direktivet

EU‑direktiv som ställer krav på riskhantering, incidentrapportering och styrning för viktiga och särskilt viktiga aktörer i samhällsviktiga och digitala sektorer.

DORA‑förordningen

EU‑förordning om digital operativ motståndskraft i finanssektorn; fokuserar på hantering av IKT‑risker, tester och tredjepartsleverantörer.

Security by design & by default

Princip att cybersäkerhet ska byggas in i produkter redan från designfasen och vara aktiverad som standard, inte något som läggs till i efterhand.

Produkt med digitala element

En produkt som innehåller data- eller programvarukomponenter och som direkt eller indirekt kan anslutas till ett nätverk eller annan enhet.

Tillverkare

Den som tillverkar eller låter tillverka en produkt och släpper ut den på marknaden under eget namn eller varumärke.

Importör

En i EU etablerad aktör som släpper ut en produkt från tredjeland på EU-marknaden.

Distributör

En aktör i leveranskedjan, annan än tillverkare eller importör, som tillhandahåller en produkt på marknaden (t.ex. återförsäljare).

Sårbarhet

En svaghet i ett system, en komponent eller en process som kan utnyttjas av en angripare.

Produkt med digitala element

En produkt som innehåller programvara eller kan kopplas till ett nätverk, där cybersäkerhet är nödvändig för att produkten ska fungera som avsett.

Kritiska produktklasser (klass I och II)

Särskilt riskutsatta kategorier av produkter med digitala element som listas i bilagor till CRA. De omfattas av strängare bedömning av överensstämmelse.

Väsentliga cybersäkerhetskrav (Art. 8)

Övergripande krav på att produkter ska skydda konfidentialitet, integritet och tillgänglighet, tåla attacker, hantera data säkert, och stödja säker livscykel och dokumentation.

Secure by design (Art. 9)

Principen att säkerhet ska byggas in i produktens design och utvecklingsprocess från början, baserat på riskanalys och säkra utvecklingsmetoder.

Secure by default (Art. 10)

Principen att produkten ska levereras med säkra standardinställningar, utan att användaren måste göra avancerade konfigurationer.

Harmoniserade standarder

EU-godkända standarder (t.ex. EN ISO/IEC) som, när de följs, ger presumtion om överensstämmelse med motsvarande krav i CRA.

Tillverkare (enligt CRA)

En fysisk eller juridisk person som tillverkar en produkt med digitala element eller låter konstruera eller tillverka en sådan produkt och marknadsför den i eget namn eller under eget varumärke.

Teknisk dokumentation (art. 13)

Samlad dokumentation som visar att produkten uppfyller CRA:s krav, inklusive produktbeskrivning, riskanalys, cybersäkerhetslösningar, testresultat och uppgifter om överensstämmelse.

Sårbarhetshantering (art. 14)

En organiserad process för att ta emot, bedöma, åtgärda, testa och kommunicera kring sårbarheter i produkten, inklusive samspel med externa rapportörer och myndigheter.

Supportperiod (art. 15)

Den tidsperiod under vilken tillverkaren åtagit sig att tillhandahålla säkerhetsuppdateringar och aktivt hantera sårbarheter för en produkt med digitala element.

Post-market surveillance

Tillverkarens fortlöpande övervakning av produkten efter att den släppts på marknaden, inklusive insamling och analys av information om incidenter, sårbarheter och fel.

Coordinated Vulnerability Disclosure (CVD)

En process där forskare, användare och tillverkare samverkar på ett strukturerat sätt för att rapportera, åtgärda och offentliggöra sårbarheter på ett kontrollerat och ansvarsfullt sätt.

Importör (enligt CRA)

En fysisk eller juridisk person etablerad inom EU som släpper ut en produkt från ett tredjeland på EU-marknaden. Måste kontrollera CE-märkning, dokumentation, tillverkarens uppgifter och vid behov vidta åtgärder vid brister.

Distributör (enligt CRA)

En aktör i leveranskedjan (annan än tillverkare eller importör) som tillhandahåller en produkt på marknaden. Ska säkerställa korrekt märkning, information och hantering, samt agera vid misstänkta brister eller risker.

Artikel 19 – När blir du tillverkare?

När en importör eller distributör släpper ut en produkt på marknaden under eget namn/varumärke eller ändrar produkten på ett sätt som kan påverka överensstämmelsen med CRA. Då får aktören fulla tillverkaransvaret.

Spårbarhet (Art. 20)

Krav på att ekonomiska aktörer ska kunna identifiera från vem de köpt produkter och till vem de sålt dem, för att möjliggöra effektiva återkallelser och riskhantering.

Informationskrav (Art. 21)

Krav på tydliga namn- och kontaktuppgifter för tillverkare (och importör) samt instruktioner och säkerhetsinformation på ett språk som användarna i den berörda medlemsstaten förstår.

Samarbete med myndigheter (Art. 22)

Skyldighet för ekonomiska aktörer att på begäran lämna information, medverka vid korrigerande åtgärder och informera myndigheter vid allvarliga risker.

Bedömning av överensstämmelse

En strukturerad process där tillverkaren (ibland med hjälp av anmält organ) visar att en produkt uppfyller alla relevanta krav i CRA och andra EU‑rättsakter.

Anmält organ (Notified body)

Ett oberoende tredjepartsorgan som utsetts av en medlemsstat för att utföra vissa bedömningsförfaranden. Det granskar produkter/processer och utfärdar intyg som stöd för CE‑märkning.

Harmoniserad standard

En teknisk standard (ofta EN‑standard) som EU‑kommissionen har listat som harmoniserad under en viss rättsakt. Att följa den ger normalt en presumtion om överensstämmelse med motsvarande krav.

Gemensam specifikation

Teknisk specifikation som EU‑kommissionen tar fram när harmoniserade standarder saknas eller är otillräckliga. Att följa den ger också presumtion om överensstämmelse.

CE‑märkning

En märkning på produkten som visar att den uppfyller alla tillämpliga EU‑krav, inklusive CRA. Den måste vara synlig, läsbar och outplånlig.

EU‑försäkran om överensstämmelse

Ett juridiskt dokument där tillverkaren formellt intygar att produkten uppfyller alla relevanta EU‑rättsakter. Det ska vara undertecknat och sparas (vanligen minst 10 år).

Anmält organ (Notified Body)

En oberoende organisation som av en medlemsstat har **utsetts och anmälts** till EU-kommissionen för att utföra **bedömning av överensstämmelse** enligt specifik EU-lagstiftning och publicerats i NANDO.

Art. 35–37 – Huvudfokus

Ställer krav på **kompetens, opartiskhet, resurser, sekretess** och hantering av **underleverantörer** för att ett organ ska kunna bli (och förbli) anmält organ.

NANDO

EU:s offentliga databas över **anmälda organ**. Ett organ anses formellt vara anmält organ först när det har publicerats i NANDO.

Återkallelse av anmälan (Art. 40)

När en medlemsstat drar tillbaka ett organs status som anmält organ, t.ex. på grund av bristande uppfyllelse av kraven. Detta måste meddelas till kommissionen och övriga medlemsstater och påverkar **giltigheten av organets certifikat**.

Övervakning (Art. 41)

Den löpande **tillsynen** som medlemsstaten utövar över sina anmälda organ, genom revisioner, granskningar och hantering av klagomål, för att säkerställa att kraven fortsatt uppfylls.

Risk för tillverkare vid statusförlust

Tillverkaren kan behöva **ombedömning** av produkter, få sina certifikat ifrågasatta och riskera **störningar på marknaden** om det anmälda organet förlorar sin status.

Marknadskontrollmyndighet

En nationell myndighet som övervakar att produkter på marknaden uppfyller gällande krav (t.ex. enligt CRA) och kan vidta åtgärder mot icke-överensstämmande eller farliga produkter.

Bristande överensstämmelse (Art. 49)

När en produkt inte uppfyller ett eller flera krav i CRA, t.ex. brister i säkerhetsfunktioner, dokumentation eller CE-märkning, utan att det nödvändigtvis finns en akut allvarlig risk.

Allvarlig risk (Art. 50)

En situation där en produkt kan orsaka betydande skada (t.ex. omfattande cyberangrepp, påverkan på kritisk infrastruktur eller risk för liv/hälsa), vilket motiverar snabba och kraftiga åtgärder.

Administrativt bistånd (Art. 47)

När en marknadskontrollmyndighet i en medlemsstat hjälper en myndighet i en annan medlemsstat, t.ex. med information, inspektioner eller uppföljning av ett företag som är etablerat i den egna staten.

Samordning med kommissionen (Art. 48 & 51)

EU-kommissionens roll att stödja informationsutbyte, samordna gemensamma åtgärder och lösa tvister mellan medlemsstater för att säkerställa en enhetlig tillämpning av CRA.

Korrigerande åtgärder

Åtgärder som ett företag måste vidta efter krav från en marknadskontrollmyndighet, t.ex. säkerhetsuppdateringar, ändrad dokumentation, återkallelse eller försäljningsstopp.

Administrativ sanktionsavgift

En ekonomisk påföljd (böter) som en behörig myndighet kan besluta om vid överträdelser av CRA. Ska vara effektiv, proportionell och avskräckande, och kan uppgå till en betydande andel av den globala omsättningen eller ett fast maxbelopp.

Rättsmedel (Art. 55–56)

Möjligheter för berörda aktörer att få myndighetsbeslut prövade, t.ex. genom överklagande till domstol. Inkluderar rätten att bli hörd och rätten till motiverade beslut.

Delegerad akt (Art. 58)

Ett rättsakt där EU-kommissionen får befogenhet att ändra icke-väsentliga delar av förordningen, t.ex. uppdatera bilagor med tekniska krav. Europaparlamentet och rådet kan invända mot sådana akter.

Genomförandeakt (Art. 59)

En rättsakt som antas av kommissionen för att säkerställa enhetlig tillämpning av förordningen, t.ex. genom att fastställa gemensamma format för rapportering eller procedurer för samarbete mellan myndigheter.

Ikraftträdande

Tidpunkten då en EU-förordning formellt börjar gälla (vanligen 20 dagar efter offentliggörandet i EU:s officiella tidning). Skiljer sig från tidpunkten då de materiella kraven börjar tillämpas.

Övergångsbestämmelser (Art. 60)

Regler som anger hur och när de nya kraven ska börja tillämpas, inklusive övergångsperioder för befintliga produkter och eventuella etappvisa införanden av olika skyldigheter.

Bilaga I (CRA)

Bilagan med **väsentliga cybersäkerhetskrav** för produkter med digitala element. Här preciseras vad produkten praktiskt måste uppfylla (t.ex. säker design, uppdateringar, sårbarhetshantering).

Bilaga III (CRA)

Bilagan som anger **kraven på teknisk dokumentation**. Innehåller bl.a. produktbeskrivning, arkitektur, riskanalys, testresultat och processbeskrivningar för sårbarhetshantering.

EU-försäkran om överensstämmelse

Ett formellt dokument (mall i Bilaga IV) där tillverkaren intygar att produkten uppfyller tillämpliga EU-regler, inklusive CRA, och hänvisar till relevanta standarder.

Samspel CRA – NIS2

CRA fokuserar på **produktens cybersäkerhet**, NIS2 på **organisationens och tjänsternas säkerhet**. Dokumentation och kontroller från CRA kan återanvändas för NIS2:s krav på riskhantering och säkerhetsåtgärder.

Samspel CRA – GDPR

Båda kräver **tekniska och organisatoriska säkerhetsåtgärder**. CRA skyddar produkten och dess funktioner; GDPR skyddar personuppgifter och registrerades rättigheter. Riskanalyser och tekniska kontroller kan ofta användas för båda.

Samspel CRA – AI-förordningen

Om en produkt innehåller ett högrisk-AI-system gäller både CRA och AI-förordningen. CRA täcker grundläggande cybersäkerhet; AI-förordningen lägger till krav på bl.a. data governance, loggning och mänsklig översyn.