Modul 2 – Kapitel I (Art. 1–5): Syfte, tillämpningsområde och definitioner

Överblick: Vad reglerar kapitel I (art. 1–5)?

I den här modulen går vi in i kapitel I (artiklarna 1–5) i cyberresiliensförordningen – Cyber Resilience Act, förordning (EU) 2024/2847.

Syftet med kapitel I är att besvara fyra grundfrågor:

1. Varför finns förordningen?

→ Syfte och mål (art. 1–2)

1. Vad omfattas?

→ Vilka produkter med digitala element och vilka situationer (art. 1–2)

1. Var gäller reglerna geografiskt?

→ Kopplingen till EU-marknaden (art. 3)

1. Vilka nyckelbegrepp använder vi?

→ Centrala definitioner (art. 4–5)

Du behöver inte kunna alla detaljer utantill, men efter modulen ska du kunna:

• Förklara vad förordningen syftar till enligt art. 1–2.
• Resonera kring om en viss produkt eller aktör typiskt sett omfattas.
• Använda nyckelbegrepp som produkt med digitala element, tillverkare, importör, distributör och sårbarhet på ett korrekt sätt.

> Tidskontext: Förordning (EU) 2024/2847 antogs 2024 och är nu (våren 2026) en gällande EU-förordning, med stegvis tillämpning enligt övergångsbestämmelserna. I den här kursen utgår vi från den antagna, aktuella lydelsen.

Art. 1–2: Syfte och mål – vad vill cyberresiliensförordningen uppnå?

Cyberresiliensförordningen har ett tydligt konsument- och samhällsperspektiv. Förenklat kan man säga att den vill göra programvara och uppkopplade prylar mindre sårbara.

Kärnsyften (förenklat efter art. 1–2)

1. Hög nivå av cybersäkerhet för produkter med digitala element i hela EU.

→ Färre sårbarheter, bättre skydd mot attacker.

1. Fungera som inre marknadsreglering.

→ Samma grundregler i alla EU-länder, så att tillverkare slipper 27 olika nationella system.

1. Skydda användare och samhällsviktiga funktioner.

→ Både konsumenter (t.ex. smarta hem-produkter) och organisationer (t.ex. industriella styrsystem).

1. Införa tydliga skyldigheter under hela livscykeln.

→ Inte bara vid design och försäljning, utan även under support- och uppdateringsfasen.

Hur hänger detta ihop med andra EU-regler?

• NIS2-direktivet riktar sig mot organisationer/tjänsteleverantörer (t.ex. sjukhus, elbolag).
• Cyberresiliensförordningen riktar sig mot produkterna (hårdvara + mjukvara) som används.

> Att komma ihåg: Syftet är inte att reglera alla aspekter av cybersäkerhet, utan just säkerheten i produkter med digitala element som släpps ut på EU-marknaden.

Reflektionsövning: Syfte i praktiken

Fundera kort (1–2 minuter) över följande scenario och skriv gärna ned stödord:

> Ett företag säljer en billig uppkopplad övervakningskamera för hemmabruk. Kameran har många kända sårbarheter, uppdateras aldrig och används ofta i botnät-attacker.

1. Vilka av syftena i art. 1–2 träffas tydligast av detta exempel?

• Hög nivå av cybersäkerhet?
• Skydd av konsumenter?
• Fungerande inre marknad?

1. Vad tror du att förordningen vill tvinga tillverkaren att göra annorlunda?

• Tänk i termer av: design, standardinställningar, uppdateringar, information till användare.

> För dig som vill gå djupare: Försök formulera en mening som skulle kunna stå i skältexten (betraktandesatserna) till förordningen, utifrån detta scenario.

Art. 2: Materiellt tillämpningsområde – vad omfattas i sak?

Art. 2 förklarar vilka typer av produkter och aktiviteter som omfattas.

Kärnbegrepp: Produkter med digitala element

Förordningen gäller i grunden "produkter med digitala element". Det innebär (förenklat):

> En produkt som innehåller data- eller programvarukomponenter och som kan direkt eller indirekt anslutas till ett nätverk eller annan enhet.

Det inkluderar t.ex.:

• Hårdvara med mjukvara:
• Smarta högtalare, uppkopplade tv-apparater, router, IoT-sensorer.
• Industriella styrsystem, PLC:er, uppkopplade produktionsmaskiner.
• Fristående programvara:
• Operativsystem (t.ex. Linux-distributioner, Windows, Android).
• Applikationer (t.ex. molnbaserade klienter, skrivbordsprogram, vissa mobilappar).

Observera: Förordningen försöker omfatta både traditionell inbyggd mjukvara och ren mjukvara som säljs eller tillhandahålls separat.

Livscykelperspektiv

Tillämpningsområdet omfattar bl.a.:

• Utsläppande på marknaden (när en produkt görs tillgänglig för första gången i EU).
• Tillhandahållande på marknaden (senare försäljning/distribution).
• Säkerhetsrelaterade uppdateringar under en viss minimitid.

> För vardagsbruk kan du tänka: Om det är en produkt (hårdvara eller mjukvara) med någon form av nätverkskoppling eller digital komponent, som släpps ut på EU-marknaden, är den sannolikt inom räckvidd – om den inte uttryckligen är undantagen.

Exempel: Omfattas produkten eller inte?

Nedan följer några typfall. Försök först själv avgöra om de sannolikt omfattas, omfattas men med undantag eller inte omfattas – läs sedan förklaringen.

1. En smart glödlampa som styrs via wifi-app

→ Produkten innehåller programvara och är uppkopplad.

Bedömning: Omfattas som en produkt med digitala element. Tillverkaren måste uppfylla cybersäkerhetskraven.

1. En enkel ficklampa utan elektronik (bara batteri + glödtråd/LED)

→ Ingen programvara, ingen nätverkskoppling.

Bedömning: Omfattas inte. Den är inte en produkt med digitala element.

1. Ett industriellt styrsystem (PLC) som styr en vattenreningsanläggning

→ Hårdvara + programvara, uppkopplat, kan påverka samhällsviktiga tjänster.

Bedömning: Omfattas. Kan dessutom falla inom en högre riskkategori (se senare moduler) p.g.a. potentiell samhällspåverkan.

1. En ren molntjänst (Software-as-a-Service) utan lokal komponent

→ Här blir det mer komplext. Cyberresiliensförordningen fokuserar på produkter; rena tjänster regleras främst via andra instrument (t.ex. NIS2).

Bedömning: Omfattas i normalfallet inte som produkt, men om det finns klientprogramvara som installeras hos användaren kan den klienten omfattas.

1. Öppen källkod som utvecklas ideellt och publiceras gratis på GitHub

→ Förordningen gör en viktig åtskillnad för icke-kommersiell, öppen källkod.

Bedömning: Själva projektet kan vara undantaget om det inte sker i kommersiellt syfte. Men företag som paketerar och säljer sådan kod i produkter omfattas av kraven.

Art. 3: Geografisk räckvidd – när gäller reglerna i EU?

Art. 3 handlar om var och för vilka aktörer reglerna gäller.

Grundprincip: Koppling till EU-marknaden

Förordningen gäller i huvudsak när:

• En produkt med digitala element släpps ut på EU-marknaden (oavsett var den tillverkats).
• En produkt tillhandahålls eller tas i bruk inom EU/EES.

Det innebär att:

• Ett företag i t.ex. USA eller Kina som säljer produkter till EU-kunder måste följa reglerna, om produkterna släpps ut på EU-marknaden.
• Aktörer utanför EU kan därför omfattas om deras produkter når EU-marknaden.

Vilka aktörer träffas?

• Tillverkare (även utanför EU) som släpper ut produkter på EU-marknaden.
• Importörer (etablerade i EU) som tar in produkter från tredjeland.
• Distributörer (återförsäljare, grossister m.m.) i EU.

> Viktigt: Förordningen gäller inte bara teknik utan också rollerna i leverantörskedjan. Vem du är i kedjan avgör vilka skyldigheter du har.

Snabbtest: Geografisk räckvidd

Testa din förståelse av art. 3.

Art. 4–5: Centrala definitioner – byggstenarna i regelverket

För att kunna avgöra vem som gör vad och vilka produkter som omfattas behöver vi förstå några nyckeldefinitioner i art. 4–5.

1. Produkt med digitala element

Förenklat: En produkt som innehåller programvara eller data-komponenter och kan kopplas till ett nätverk eller annan enhet.

2. Tillverkare

En tillverkare är den fysiska eller juridiska person som:

• Tillverkar en produkt, eller
• Låter konstruera eller tillverka en produkt, och
• Släpper ut produkten på marknaden under sitt eget namn eller varumärke.

> Exempel: Ett svenskt bolag som köper in en generisk IoT-sensor från Asien, sätter sitt eget varumärke på den och säljer den i EU räknas som tillverkare i förordningens mening.

3. Importör

En importör är en aktör etablerad i EU som:

• Släpper ut en produkt från ett tredjeland (utanför EU/EES) på EU-marknaden.

> Exempel: Ett tyskt företag som tar in routrar från ett amerikanskt bolag och säljer dem i EU är importör.

4. Distributör

En distributör är en aktör i leveranskedjan (annan än tillverkare eller importör) som:

• Tillhandahåller en produkt på marknaden.

→ T.ex. återförsäljare, grossister, webbutiker.

5. Sårbarhet

En sårbarhet är en svaghet i en komponent, ett system eller en process som kan utnyttjas av en angripare.

> Typiska exempel: standardlösenord, bristande indata-validering, osäkra uppdateringsmekanismer.

Vi återkommer i senare moduler till fler specialiserade definitioner (t.ex. kritiska produkter, säkerhetsuppdatering, exploatering). Här räcker det att du har grundkänsla för de viktigaste rollerna och begreppen.

Begreppsträning: centrala definitioner

Använd korten för att repetera nyckelbegreppen från art. 4–5.

Avgränsningar och undantag: vad faller utanför?

Art. 2 innehåller också undantag, som är viktiga för att förstå gränserna.

Några centrala avgränsningar (förenklat):

1. Icke-kommersiell öppen källkod

• Projekt som drivs ideellt, utan kommersiellt syfte, faller i stor utsträckning utanför.
• Men: när företag paketerar, säljer eller integrerar sådan kod i produkter, omfattas företagens produkter.

1. Produkter som redan är fullt reglerade av särskilda EU-regler

• Vissa produkter som omfattas av sektorsspecifik lagstiftning med egna cybersäkerhetskrav kan vara delvis undantagna eller samordnade, t.ex.:
• Medicintekniska produkter (MDR/IVDR).
• Luftfart, fordon, järnväg, om sektorsreglerna innehåller likvärdiga cybersäkerhetskrav.

1. Vissa säkerhets- och försvarsrelaterade produkter

• Produkter som används för nationell säkerhet, militärt bruk m.m. kan vara undantagna eller hanteras via annan rättsakt.

> Poängen: Cyberresiliensförordningen är tänkt att vara horisontell – men inte att krocka med redan mycket specialiserade sektorsregler. I praktiken måste man ofta kontrollera både CRA och sektorsspecifik lagstiftning.

Tillämpningsövning: Faller produkten inom förordningen?

Använd följande enkla beslutsstöd för att öva. För varje scenario: följ frågorna steg för steg och avgör om produkten troligen omfattas.

Beslutsstöd (förenklad checklista)

1. Har produkten någon form av programvara/data-komponent?

• Om nej → troligen inte en produkt med digitala element.
• Om ja → gå vidare.

1. Kan produkten direkt eller indirekt kopplas till ett nätverk eller en annan enhet?

• Om nej → kontrollera detaljer, men den kan falla utanför.
• Om ja → troligen produkt med digitala element.

1. Släpps produkten ut på EU-marknaden eller tas den i bruk i EU?

• Om nej → cyberresiliensförordningen gäller normalt inte.
• Om ja → gå vidare.

1. Är produkten redan fullt reglerad av sektorsspecifik EU-lagstiftning med egna cybersäkerhetskrav, eller är det en ren icke-kommersiell öppen källkodsprodukt?

• Om ja → kan vara helt/delvis undantagen; kontrollera sektorsregler.
• Om nej → troligen omfattad.

Övningsscenarier

För varje scenario: gå igenom checklistan ovan och skriv (för dig själv) ett kort svar: "omfattas", "troligen omfattas delvis/med undantag" eller "omfattas inte".

1. En gratis öppen källkodsserver utvecklad av volontärer, utan företag inblandade, som publiceras på GitHub.
2. En uppkopplad insulinpump som regleras som medicinteknisk produkt enligt EU:s MDR.
3. En svensk webbutik som säljer smarta dörrlås under eget varumärke, men låter tillverka dem i Asien.

> Tips: Försök också identifiera vilken roll (tillverkare, importör, distributör) aktören i varje scenario har.

Kunskapscheck: Roller och ansvar

Välj det alternativ som bäst stämmer med definitionerna i art. 4–5.