Modul 1 – Överblick: Vad är cyberresiliensförordningen och hur är den uppbyggd?

1. Start: Varför ännu en EU‑förordning om cybersäkerhet?

Den här modulen ger dig en snabb men strukturerad överblick över cyberresiliensförordningen – på engelska Cyber Resilience Act (CRA), förordning (EU) 2024/2847.

Tänk dig att nästan alla prylar du använder – mobil, router, smart‑TV, uppkopplad bil, industrirobot – är små datorer på nätet. Om de har säkerhetsbrister kan de:

• användas för attacker (t.ex. botnät)
• läcka personuppgifter
• störa samhällsviktiga tjänster

Tidigare har EU haft regler som indirekt påverkar cybersäkerhet (t.ex. NIS2, GDPR, DORA), men inte ett horisontellt regelverk som ställer tydliga säkerhetskrav på själva produkterna med digitala inslag.

Det är här cyberresiliensförordningen kommer in.

I denna modul fokuserar vi på fyra saker:

1. Vad cyberresiliensförordningen är och dess övergripande syfte
2. Hur förordningen är uppbyggd (kapitel, artiklar, bilagor)
3. Tidslinje: viktiga datum och övergångsperioder
4. Hur den förhåller sig till annan EU‑cyberlagstiftning (NIS2, DORA, Cybersecurity Act m.fl.)

> Tips för dig som student: Försök hela tiden koppla reglerna till konkreta produkter du använder eller system du känner till – det gör juridiken mycket lättare att förstå.

2. Vad är cyberresiliensförordningen – i en mening?

En mening:

> Cyberresiliensförordningen är en EU‑förordning som ställer bindande cybersäkerhetskrav på produkter med digitala element under hela deras livscykel, för att skydda användare och minska sårbarheter i EU:s inre marknad.

Nyckelord att lägga på minnet:

• Förordning: Gäller direkt i alla medlemsstater (ingen nationell genomförandelag krävs för att den ska bli tillämplig).
• Produkter med digitala element (products with digital elements, PDE): Hårdvara eller programvara som direkt eller indirekt är uppkopplad, eller som behandlar digitala data.
• Livscykel: Från design och utveckling till försäljning, uppdateringar och slutet av produktens stödperiod.

Syftet är inte att detaljstyra tekniska lösningar, utan att sätta minimikrav och ansvar på:

• Tillverkare
• Importörer
• Distributörer

…så att produkter som släpps ut på EU‑marknaden har en grundläggande, inbyggd cybersäkerhet (security by design & by default).

3. Tillämpa: Känns igen från andra områden?

Fundera själv i 2–3 minuter innan du läser vidare.

Tankefråga 1

Vilken annan EU‑lagstiftning tycker du att cyberresiliensförordningen liknar, om du tänker på säkerhet och produktkrav?

• A. Livsmedelssäkerhet (t.ex. krav på märkning och innehåll)
• B. CE‑märkning av leksaker eller maskiner
• C. Trafiksäkerhetskrav på bilar

> Reflektion: Alla tre alternativen kan vara rimliga associationer. Gemensamt tema: du får inte sälja vad som helst hur som helst – det måste uppfylla vissa grundläggande säkerhetskrav. Cyberresiliensförordningen gör samma sak, fast för digitala produkter.

Tankefråga 2

Välj en produkt du äger (mobiltelefon, spelkonsol, router, smart klocka, etc.). Skriv kort (för dig själv):

• Vilka cybersäkerhetsrisker finns med just den produkten?
• Vem tycker du borde ta mest ansvar för säkerheten – du, tillverkaren, internetleverantören, någon annan?

4. Förordningens struktur: kapitel, artiklar och bilagor

Cyberresiliensförordningen är uppbyggd på ett ganska klassiskt EU‑sätt. Du behöver inte kunna alla nummer utantill, men det är bra att förstå logiken.

> Obs: Den exakta artikelindelningen kan variera något mellan olika konsoliderade versioner, men huvudstrukturen är densamma.

4.1 Övergripande struktur

Förordningen innehåller i huvudsak:

• Kapitel I – Allmänna bestämmelser

Syfte, tillämpningsområde, definitioner.

• Kapitel II – Skyldigheter för ekonomiska aktörer

Framför allt tillverkares skyldigheter, men också importörer och distributörer.

• Kapitel III – Väsentliga cybersäkerhetskrav och bedömning av överensstämmelse

Hänvisar till bilagor där de tekniska kraven preciseras, samt regler för CE‑märkning och bedömning.

• Kapitel IV – Marknadskontroll och tillsyn

Hur myndigheter ska övervaka att reglerna följs, åtgärder vid brister, sanktionsmöjligheter.

• Kapitel V – Sanktioner, delegerade akter m.m.

Regler om böter, kommissionens befogenheter att uppdatera bilagor, m.m.

• Kapitel VI – Övergångsbestämmelser och ikraftträdande

Tidslinje, när olika delar börjar gälla, övergångsperioder.

4.2 Bilagor (Annexes)

Bilagorna är mycket viktiga i CRA, eftersom de innehåller:

• Bilaga I – Väsentliga cybersäkerhetskrav för produkter med digitala element

(t.ex. krav på hantering av sårbarheter, uppdateringar, dokumentation, loggning).

• Bilaga II – Kategorier av kritiska produkter

Dessa får hårdare krav eller särskilda bedömningsförfaranden.

• Bilaga III – Förfaranden för bedömning av överensstämmelse

(t.ex. intern kontroll, anmält organ, certifiering).

I den här kursen kommer vi att gå artikel för artikel, men ofta hoppa mellan huvudtexten och bilagorna, eftersom de hänger tätt ihop.

5. Exempel: Så hittar du i förordningen (mental "karta")

Föreställ dig att du arbetar på ett företag som utvecklar en uppkopplad dörrlåsprodukt för hemmabruk.

Du får uppgiften: “Ta reda på vad CRA kräver av oss som tillverkare.”

En praktisk lässtrategi kan se ut så här:

1. Kapitel I – Kolla om produkten omfattas

• Läs artiklarna om tillämpningsområde och definitioner.
• Fråga: Är ett uppkopplat dörrlås en produkt med digitala element? (Ja.)

1. Kapitel II – Tillverkarens skyldigheter

• Här hittar du krav på t.ex. riskanalys, teknisk dokumentation, incidentrapportering, supportperiod.

1. Bilaga I – Väsentliga krav

• T.ex. att produkten ska:
• vara utvecklad enligt security by design
• ha säkra standardinställningar
• kunna ta emot säkerhetsuppdateringar
• hantera sårbarheter på ett strukturerat sätt.

1. Bilaga II – Är det en kritisk produkt?

• Om ja: extra krav, t.ex. krav på anmält organ vid bedömning av överensstämmelse.

1. Kapitel III + Bilaga III – Hur visar vi att vi följer reglerna?

• Välja rätt bedömningsförfarande (självbedömning, tredjepartsbedömning, certifiering).

> Poäng: Försök alltid placera din fråga i förordningens struktur:

> “Är det här en fråga om tillämpningsområde, om tekniska krav, om procedurer, eller om tillsyn/sanktioner?”

6. Tidslinje: viktiga datum och övergångsperioder

Eftersom du läser detta i mars 2026 är det viktigt att förstå var på tidslinjen vi befinner oss.

> Obs: Exakta datum nedan bygger på förordning (EU) 2024/2847 så som den antogs 2024. Kontrollera alltid en uppdaterad konsoliderad version för detaljer.

6.1 Centrala tidpunkter

• Antagande och offentliggörande (2024)

Cyberresiliensförordningen antogs 2024 och offentliggjordes i EU:s officiella tidning samma år.

• Ikraftträdande

Förordningen trädde i kraft 20 dagar efter offentliggörandet (standardregel för EU‑förordningar). Från den tidpunkten finns den, men många materiella skyldigheter börjar gälla senare.

• Tillämpning (huvudregler)

De flesta skyldigheter för tillverkare, importörer och distributörer börjar gälla efter en övergångsperiod på ca 36 månader från ikraftträdandet.

→ Det betyder att vi i början av 2026 befinner oss mitt i förberedelsefasen.

• Vissa bestämmelser tidigare

Vissa artiklar, särskilt de som rör anmälda organ, standardisering och rapportering av sårbarheter till ENISA, börjar gälla tidigare (t.ex. efter 12 eller 24 månader) för att systemet ska vara på plats när huvudreglerna börjar gälla.

6.2 Vad betyder det praktiskt nu (2026)?

För företag och organisationer innebär tidslinjen att:

• 2024–2025: Analys och planering
• Kartlägga vilka produkter som omfattas
• Göra gap‑analyser mot bilaga I
• 2025–2026: Implementering
• Uppdatera utvecklingsprocesser (secure SDLC)
• Förbereda dokumentation och processer för sårbarhetshantering
• När huvudreglerna väl börjar gälla:
• Nya produkter måste uppfylla kraven redan vid utsläppande på marknaden.

I senare moduler går vi mer exakt in på vilka artiklar som gäller när. I denna introduktion räcker det att du minns att det finns en tydlig övergångsperiod så att marknaden hinner anpassa sig.

7. Hur CRA hänger ihop med NIS2, DORA, Cybersecurity Act m.fl.

Det är lätt att gå vilse bland alla förkortningar. Här är en översiktlig karta över hur cyberresiliensförordningen passar in i EU:s cybersäkerhetsramverk.

7.1 Förenklad rollfördelning

• Cyberresiliensförordningen (CRA) – Produktperspektiv
• Ställer säkerhetskrav på produkter med digitala element (hårdvara + mjukvara).
• Fokuserar på tillverkare/importörer/distributörer.

• NIS2‑direktivet – Organisations- och tjänsteperspektiv
• Gäller viktiga och särskilt viktiga aktörer (energi, transport, hälso‑ och sjukvård, digital infrastruktur m.m.).
• Kräver riskhantering, incidentrapportering, styrning.
• Genomförs via nationell lagstiftning i medlemsstaterna.

• DORA‑förordningen (Digital Operational Resilience Act) – Finanssektor
• Gäller banker, försäkringsbolag, värdepappersföretag m.fl.
• Fokuserar på operativ motståndskraft: IT‑risker, tester, tredjepartsleverantörer.

• Cybersecurity Act (CSA) – Certifieringsramverk
• Skapar EU‑ramverk för cybersäkerhetscertifiering av produkter, tjänster och processer.
• ENISA får en central roll.

• GDPR – Persondataperspektiv
• Skyddar personuppgifter.
• Cybersäkerhet är här ett medel för att skydda integritet.

7.2 Komplement, inte dubbelreglering (i teorin)

I teorin är tanken att:

• CRA säkerställer att produkterna är tillräckligt säkra från början.
• NIS2/DORA säkerställer att organisationer hanterar sina system och tjänster säkert.
• Cybersecurity Act ger en ram för certifiering som ibland kan användas som bevis för att CRA:s krav uppfylls.

I praktiken kan samma aktör omfattas av flera regelverk samtidigt.

Exempel: En bank (DORA + NIS2), som använder en uppkopplad betalterminal (CRA‑omfattad produkt), och behandlar personuppgifter (GDPR).

> För dig som student: När du ser ett cybersäkerhetsproblem, fråga:

> - Är detta främst ett problem med produkten? → Tänk CRA.

> - Eller med hur organisationen styr sitt arbete? → Tänk NIS2/DORA.

> - Eller med personuppgifter? → Tänk GDPR.

8. Snabbtest: Roller i EU:s cyberramverk

Testa om du kan skilja på rollerna för CRA, NIS2 och DORA.

9. Hur kursen arbetar artikel för artikel

Den här kursen är upplagd så att du steg för steg bygger en djupare förståelse för förordningen.

I kommande moduler kommer vi att:

1. Ta ett kapitel i taget (eller en grupp relaterade artiklar).
2. För varje artikel:

• Förklara vad den säger med enklare ord.
• Visa vilka aktörer som påverkas (tillverkare, importörer, distributörer, användare, myndigheter).
• Ge konkreta exempel (t.ex. uppkopplad medicinteknisk utrustning, IoT‑prylar i hemmet, industriella styrsystem).
• Koppla till bilagor och andra EU‑regler när det behövs.

Din aktiva roll

För att få ut mest av kursen, gör så här:

• Ha gärna förordningstexten (EU) 2024/2847 öppen i en flik eller som PDF.
• När vi pratar om en artikel, läs den kort själv och markera ord/termer du inte förstår.
• Försök alltid tänka:

“Hur skulle detta se ut i praktiken för en konkret produkt eller organisation?”

Mini‑övning (2–3 minuter):

Skriv ner (för dig själv):

• En produkt eller ett system du är intresserad av (t.ex. spelkonsol, medicinteknik, industrirobot, molntjänst).
• Vad du spontant tror att CRA kan komma att kräva för just den typen av produkt.

Spara anteckningen – vi kommer att återkoppla till den i senare moduler.

10. Repetition: centrala begrepp

Använd korten för att repetera de viktigaste begreppen från modulen.