Modul 6 – Kapitel II, del 4 (Art. 23–34): Bedömning av överensstämmelse och CE-märkning

Översikt: Varför bedömning av överensstämmelse och CE-märkning?

I denna modul går vi igenom Kapitel II, del 4 (Art. 23–34) i den nya Cyber Resilience Act (CRA)‑förordningen om produkter med digitala element.

Sedan CRA antogs på EU‑nivå (2024) har den blivit den centrala regleringen för cybersäkerhet i konsument- och industriprodukter med digitala funktioner. Artiklarna 23–34 handlar om:

• Hur du visar att din produkt uppfyller kraven (bedömning av överensstämmelse)
• Vem som får hjälpa dig (anmälda organ)
• Vilka verktyg du kan använda (harmoniserade standarder och gemensamma specifikationer)
• Hur du får sätta CE‑märkning och upprätta EU‑försäkran om överensstämmelse

Koppling till tidigare moduler:

• I Modul 4 såg du vilka krav tillverkaren måste uppfylla (riskanalys, sårbarhetshantering, dokumentation).
• I Modul 5 såg du vem som ansvarar för vad (importörer, distributörer, andra aktörer).
• I denna modul handlar det om vägen från krav → tillåten CE‑märkt produkt på marknaden.

Under ~15 minuter går vi stegvis igenom:

1. Översikt över bedömningsförfarandena (Art. 23–25)
2. Skillnad mellan låg- och högriskprodukter
3. Roller för anmälda organ (Art. 26–28)
4. Harmoniserade standarder & gemensamma specifikationer (Art. 29–31)
5. CE‑märkning & EU‑försäkran (Art. 32–34)
6. Praktiska exempel och minikontroller längs vägen

Håll särskilt utkik efter praktiska beslutssteg: När räcker egenkontroll? När måste jag anlita ett anmält organ?

Steg 1 – Art. 23–25: Vad är bedömning av överensstämmelse?

Artiklarna 23–25 i CRA beskriver procedurerna för bedömning av överensstämmelse. Grundidén:

> Innan en produkt med digitala element släpps ut på EU‑marknaden måste tillverkaren visa – med en strukturerad process – att produkten uppfyller alla väsentliga cybersäkerhetskrav i CRA.

Detta görs genom ett eller flera bedömningsförfaranden (conformity assessment procedures). I CRA bygger de på samma logik som i många andra produktförordningar (t.ex. LVD, EMC, RED):

• Intern tillverkningskontroll (egen bedömning)
• Tredjepartsbedömning via ett anmält organ (notified body)

Nyckelidéer:

• Bedömningen ska täcka hela livscykeln: design, utveckling, produktion, support, uppdateringar (koppling till Modul 4).
• Bevisningen samlas i den tekniska dokumentationen (riskanalys, testresultat, sårbarhetsprocesser m.m.).
• Resultatet sammanfattas i EU‑försäkran om överensstämmelse och visas utåt genom CE‑märkningen.

Tänk på bedömningen som en ”röd tråd”:

1. Identifiera vilka krav i CRA som gäller för din produkt.
2. Välj lämpligt bedömningsförfarande (beror på riskkategori och användning av standarder/specifikationer).
3. Genomför tester, granskningar, dokumentation.
4. Dokumentera allt och deklarera överensstämmelse.

I nästa steg tittar vi på hur riskkategori styr vilket förfarande som är möjligt eller nödvändigt.

Steg 2 – Riskkategorier och val av förfarande (Art. 23–25)

CRA delar i praktiken upp produkter i olika risknivåer. Detaljerna preciseras i bilagor och genomförandeakter, men för din förståelse räcker denna förenklade bild:

1. Lägre risk / standardprodukter

Exempel: enkel smart lampa, uppkopplad kaffebryggare, enkel uppkopplad leksak.

• Innehåller digitala element men används inte i kritisk infrastruktur eller högriskmiljöer.
• Har relativt begränsad påverkan om de hackas (främst integritet/komfort, inte säkerhetskritiskt).

1. Högre risk / kritiska produkter

Exempel: industriella styrsystem, nätverksroutrar för företagsnät, produkter för kritisk infrastruktur, vissa säkerhetsrelaterade IoT‑enheter.

• Angrepp kan få stor påverkan på samhällsfunktioner, ekonomi eller personsäkerhet.

Grundregel enligt Art. 23–25:

• För lägre risk kan ofta intern tillverkningskontroll (egen bedömning) räcka – om du kan visa överensstämmelse, ofta med hjälp av harmoniserade standarder.
• För högre risk krävs normalt inblandning av ett anmält organ, åtminstone för vissa delar av bedömningen.

I praktiken innebär det att du som tillverkare först måste:

1. Avgöra om din produkt hamnar i en högriskkategori enligt CRA:s bilagor.
2. Kontrollera om det finns relevanta harmoniserade standarder eller gemensamma specifikationer.
3. Utifrån detta välja förfarande:

• Modul A‑liknande (ren intern kontroll) för enklare fall.
• Modul B + C/D/F‑liknande (typkontroll + löpande övervakning) för högriskprodukter, där anmält organ deltar.

I nästa steg konkretiserar vi vad ett anmält organ faktiskt gör.

Steg 3 – Art. 26–28: Vad är ett anmält organ och hur utses det?

Artiklarna 26–28 i CRA reglerar anmälda organ (notified bodies).

Ett anmält organ är ett oberoende, tekniskt kompetent tredjepartsorgan som:

• bedömer om produkter och/eller tillverkares processer uppfyller EU‑krav
• utses (notifieras) av en medlemsstat
• övervakas löpande av den medlemsstaten

Art. 26 – Utnämning

• Varje medlemsstat utser ett eller flera organ som uppfyller krav på kompetens, opartiskhet, oberoende och resurser.
• Organet bedöms mot detaljerade bedömningskriterier (ofta i linje med ISO/IEC‑standarder för certifieringsorgan).
• När staten är nöjd, anmäler den organet till EU‑kommissionen och övriga medlemsstater.

Art. 27 – Anmälningsförfarande

• Informationen om anmälda organ publiceras i en offentlig EU‑databas (NANDO), där du kan kontrollera:
• vilket område/användning de är behöriga för
• vilka moduler/procedurer de får utföra

Art. 28 – Tillsyn

• Medlemsstaten måste regelbundet granska prestation och opartiskhet hos sina anmälda organ.
• Om ett organ inte längre uppfyller kraven kan dess anmälan begränsas, tillfälligt upphävas eller dras tillbaka.

För dig som tillverkare är det viktiga:

• Du väljer ett anmält organ som är anmält för just den typ av produkt och det bedömningsförfarande du behöver.
• Bedömningen från ett anmält organ i ett EU‑land gäller i hela EU (ömsesidigt erkännande).

Steg 4 – Praktisk övning: Behöver du ett anmält organ?

Föreställ dig att du är produktansvarig hos en tillverkare. Läs scenarierna och resonera högt (eller skriv ned) om ett anmält organ troligen krävs eller inte, utifrån CRA:s logik med risknivåer.

Scenario A – Smart vägguttag för hemmet

• Produkt: WiFi‑styrt vägguttag för konsumentmarknaden.
• Funktioner: Fjärrstyrning via app, energimätning, enkel schemaläggning.
• Konsekvenser vid angrepp: Kan stänga av/på eluttaget, viss integritetsrisk (mönster i elanvändning), men ingen direkt samhällskritisk påverkan.

Fråga:

1. Låter detta som en lägre eller högre riskprodukt?
2. Skulle du initialt utgå från intern tillverkningskontroll eller tredjepartsbedömning?

---

Scenario B – Industriell router för energibolag

• Produkt: Nätverksrouter avsedd för energibolag och annan kritisk infrastruktur.
• Funktioner: Fjärradministration, VPN‑tunnlar, segmentering av SCADA‑nät.
• Konsekvenser vid angrepp: Risk för avbrott i elförsörjning, störningar i samhällsviktiga tjänster.

Fråga:

1. Låter detta som en lägre eller högre riskprodukt?
2. Är det sannolikt att CRA kräver inblandning av anmält organ här?

> Reflektion:

> Jämför dina svar med din intuitiva känsla: Varför känns scenario B mer kritiskt? Koppla till begrepp som samhällskritisk infrastruktur, storskalig påverkan och personsäkerhet.

Steg 5 – Art. 29–31: Harmoniserade standarder & gemensamma specifikationer

Artiklarna 29–31 förklarar hur harmoniserade standarder och gemensamma specifikationer fungerar som genvägar till att visa överensstämmelse.

Harmoniserade standarder (Art. 29)

• Detta är EU‑harmoniserade EN‑standarder som kommissionen listar i EU:s officiella tidning.
• Om du uppfyller en relevant harmoniserad standard får du ofta ”presumption of conformity” – en presumtion om att du uppfyller motsvarande krav i CRA.
• Exempel (förenklat):
• En EN‑standard för säker mjukvaruutveckling
• En EN‑standard för säker uppdateringsmekanism

Praktisk betydelse:

• Du slipper bevisa från noll att din lösning är säker – du visar att du följer en erkänd standard.
• Myndigheter och anmälda organ utgår från att standarden ligger i linje med CRA‑kraven.

Gemensamma specifikationer (Art. 30)

• Om det inte finns lämpliga harmoniserade standarder, eller om de är otillräckliga/inte uppdaterade, kan EU‑kommissionen ta fram gemensamma specifikationer.
• Dessa är mer detaljerade tekniska regler på EU‑nivå som också ger presumtion om överensstämmelse när de följs.
• De är särskilt viktiga för snabbt föränderliga områden, t.ex. nya typer av IoT‑attacker eller AI‑relaterade cybersäkerhetsrisker.

Art. 31 – Frivillighet kontra realitet

• Formellt är standarder och gemensamma specifikationer frivilliga.
• I praktiken är de ofta ”nästan nödvändiga”, eftersom:
• de förenklar bedömningen
• de minskar risken för att ett anmält organ eller myndighet ifrågasätter din lösning

I nästa steg ser vi på ett konkret exempel där en tillverkare använder harmoniserade standarder för att slippa uppfinna hjulet själv.

Steg 6 – Exempel: Så använder ett företag harmoniserade standarder

Föreställ dig företaget SecureHome AB som tar fram en smart dörrlåsprodukt för bostäder.

Utgångspunkt

• Produkten omfattas av CRA eftersom den är en produkt med digitala element.
• Risknivån bedöms som relativt hög jämfört med en smart lampa (intrång i hemmet, personsäkerhet), men inte lika kritisk som en industrikontroller.

Steg-för-steg hur de använder standarder

1. Identifiera krav i CRA

SecureHome går igenom de väsentliga cybersäkerhetskraven: säker autentisering, kryptering, hantering av sårbarheter, uppdateringar, loggning m.m.

1. Söka harmoniserade standarder

De kontrollerar i EU:s officiella lista (och i NANDO/standardiseringsorganens katalog) vilka EN‑standarder som är harmoniserade under CRA för:

• säker mjukvaruutveckling
• krypteringshantering
• säker uppdateringsmekanism (OTA‑uppdateringar)

1. Mappa standard → krav

För varje CRA‑krav gör de en tabell:

| CRA‑krav | Vald standard | Relevanta avsnitt |

|---------|---------------|-------------------|

| Säker uppdatering | EN‑XYZ:2025 | Kap. 5–7 |

| Sårbarhetshantering | EN‑ABC:2024 | Kap. 3–4 |

1. Genomföra utveckling och tester enligt standarderna

• Utvecklingsteamet skriver kod och designar arkitekturen så att de uppfyller standardernas krav.
• Testteamet använder testmetoder som standarderna beskriver.

1. Dokumentera i tekniska filen

I den tekniska dokumentationen (koppling till Modul 4) skriver de:

• Vilka standarder som följts
• Hur kraven i standarderna uppfylls i produkten
• Testprotokoll och riskanalys

1. Val av bedömningsförfarande

Eftersom de i stor utsträckning följer harmoniserade standarder kan de i många fall:

• använda intern tillverkningskontroll för vissa delar
• och, om produkten klassas som högrisk, begränsa anmält organs granskning till kritiska aspekter.

Resultat: processen blir förutsägbar, och SecureHome kan tydligare visa överensstämmelse med CRA vid marknadskontroll.

Steg 7 – Art. 32–34: CE‑märkning och EU‑försäkran om överensstämmelse

Nu kommer vi till det synligaste – CE‑märket – och det formella beviset – EU‑försäkran om överensstämmelse.

Art. 32 – CE‑märkning

• CE‑märket visar att produkten uppfyller alla tillämpliga EU‑krav, inklusive CRA.
• För produkter med digitala element som omfattas av flera rättsakter (t.ex. CRA + lågspänningsdirektivet + EMC), betyder CE‑märket att alla dessa är uppfyllda.
• Märkningen ska:
• vara synlig, läsbar och outplånlig
• finnas på produkten, eller om det inte går: på förpackningen och/eller medföljande dokument
• inte kombineras med märkningar som kan förväxlas med CE

Om ett anmält organ deltagit i produktionsfasens övervakning (i vissa moduler) kan dess ID‑nummer stå vid CE‑märket.

Art. 33 – EU‑försäkran om överensstämmelse

• Detta är ett juridiskt dokument där tillverkaren:
• intygar att produkten uppfyller CRA och andra relevanta rättsakter
• identifierar produkt, tillverkare, tillämpade standarder/specifikationer och bedömningsförfarande
• Försäkran ska:
• undertecknas av en person med befogenhet att företräda tillverkaren
• hållas uppdaterad så länge produkten finns på marknaden
• göras tillgänglig för marknadsövervakningsmyndigheter (ofta även för kunder via webbsida)

Art. 34 – Dokumentationskrav

• Tillverkaren ska bevara:
• teknisk dokumentation (riskanalys, designbeskrivning, testresultat, sårbarhetshanteringsprocesser)
• EU‑försäkran om överensstämmelse
• eventuella intyg/rapporter från anmälda organ
• Bevarandetiden är normalt minst 10 år efter att produkten släppts ut på marknaden (kontrollera alltid den exakta tidsangivelsen i den slutliga CRA‑texten och ev. uppdateringar).

Koppla detta till Modul 4 och 5:

• Allt arbete med sårbarhetshantering, uppdateringar och spårbarhet måste speglas i dokumentationen.
• Importörer och distributörer (Modul 5) måste kunna få tillgång till EU‑försäkran och kontrollera CE‑märkningen.

Steg 8 – Snabbcheck: Förståelse av CE‑märkning och försäkran

Besvara frågan nedan för att kontrollera din förståelse.

Steg 9 – Repetition av nyckelbegrepp

Använd korten för att repetera centrala begrepp från artiklarna 23–34.

Steg 10 – Sammanfattande tillämpningsövning

Avsluta modulen genom att tillämpa allt på ett eget miniexempel.

Uppgift

Välj en valfri produkt med digitala element (riktig eller påhittad). Skriv kortfattat ned svar på följande frågor:

1. Produktbeskrivning

Vad gör produkten? Vem är användaren (konsument, industri, offentlig sektor)?

1. Risknivå

Skulle du bedöma den som lägre eller högre risk utifrån CRA‑logiken? Varför?

1. Bedömningsförfarande

• Skulle du börja med intern tillverkningskontroll?
• Finns det något som talar för att ett anmält organ bör eller måste involveras?

1. Standarder/specifikationer

Vilka typer av harmoniserade standarder eller gemensamma specifikationer skulle du leta efter (t.ex. sådana som rör säkra uppdateringar, kryptering, sårbarhetshantering)?

1. CE‑märkning och dokumentation

• Var skulle du placera CE‑märket?
• Var skulle du lagra EU‑försäkran om överensstämmelse och den tekniska dokumentationen?

> Tips: Om du arbetar eller studerar med en verklig produkt (t.ex. i ett projekt), använd den – då blir övningen direkt användbar.