Bristande överensstämmelse (Art. 49)

När en produkt inte uppfyller ett eller flera krav i CRA, t.ex. brister i säkerhetsfunktioner, dokumentation eller CE-märkning, utan att det nödvändigtvis finns en akut allvarlig risk.

Allvarlig risk (Art. 50)

En situation där en produkt kan orsaka betydande skada (t.ex. omfattande cyberangrepp, påverkan på kritisk infrastruktur eller risk för liv/hälsa), vilket motiverar snabba och kraftiga åtgärder.

Administrativt bistånd (Art. 47)

När en marknadskontrollmyndighet i en medlemsstat hjälper en myndighet i en annan medlemsstat, t.ex. med information, inspektioner eller uppföljning av ett företag som är etablerat i den egna staten.

Samordning med kommissionen (Art. 48 & 51)

EU-kommissionens roll att stödja informationsutbyte, samordna gemensamma åtgärder och lösa tvister mellan medlemsstater för att säkerställa en enhetlig tillämpning av CRA.

What is CE-märkning?

Märkning som visar att tillverkaren intygar att produkten uppfyller alla tillämpliga EU-krav, inklusive de som följer av CRA för relevanta produkter.

What is Allvarlig risk?

En risknivå där en produkt kan orsaka betydande skada på kort eller medellång sikt, vilket motiverar snabba och omfattande åtgärder från myndigheter.

What is Marknadskontroll?

Systemet där nationella myndigheter övervakar produkter på marknaden och ser till att de uppfyller gällande EU-krav. Innefattar inspektioner, tester och åtgärder mot icke-överensstämmande produkter.

Modul 8 – Kapitel IV (Art. 44–51): Marknadskontroll och tillsyn — Cyberresiliensförordningen artikel för artikel

Q: En uppkopplad industrisensor saknar fullständig dokumentation enligt CRA, men de tester som gjorts visar inga kända kritiska sårbarheter. Vilket regelspår är mest sannolikt först?

Artikel 49 – Bristande överensstämmelse. Här handlar problemet främst om **formell och materiell överensstämmelse** (dokumentation, eventuellt vissa krav som inte är korrekt visade), inte om en påvisad allvarlig risk. Därför är **Art. 49** mest relevant. Art. 50 används när en konkret **allvarlig risk** finns.

Översikt: Varför marknadskontroll i cyberresiliensförordningen?

Cyberresiliensförordningen (Cyber Resilience Act, CRA) är en EU-förordning om cybersäkerhet för produkter med digitala element. Den antogs på EU-nivå 2024 och är direkt tillämplig i medlemsstaterna (ingen nationell implementeringslag krävs för att den ska gälla, men kompletterande nationella regler om t.ex. sanktioner och tillsyn kan tillkomma).

I Kapitel IV (artiklarna 44–51) regleras marknadskontroll och tillsyn.

Syftet med kapitlet är att säkerställa att:

produkter som inte uppfyller kraven i CRA kan upptäckas, stoppas och åtgärdas
marknadskontrollmyndigheter i olika medlemsstater samarbetar effektivt
det finns rutiner för allvarliga risker, t.ex. kritiska sårbarheter som kan utnyttjas brett
tvister mellan medlemsstater löses och att EU-nivån (särskilt kommissionen) kan samordna.

Tänk på detta kapitel som ”polis och räddningstjänst” för CRA:

Kapitel II–III (modul 6–7) handlade om hur produkter ska bli rätt från början (bedömning av överensstämmelse, CE-märkning, anmälda organ).
Kapitel IV handlar om vad som händer när något går fel på marknaden.

I den här modulen går vi stegvis igenom:

Marknadskontrollmyndigheternas roll och befogenheter (Art. 44–46)
Samarbete och informationsutbyte inom EU (Art. 47–48)
Åtgärder vid bristande överensstämmelse och allvarlig risk (Art. 49–50)
Tvistlösning och EU-samordning (Art. 51)
Vad detta betyder praktiskt för företag som omfattas av CRA.

Art. 44–46: Vilka är marknadskontrollmyndigheterna och vad får de göra?

I EU bygger marknadskontroll på den horisontella förordningen om marknadskontroll – (EU) 2019/1020. Cyberresiliensförordningen lägger ovanpå detta ett cybersäkerhetsperspektiv och preciserar uppgifter för dessa myndigheter.

Artikel 44 – Koppling till EU:s allmänna system

Artikel 44 säger i korthet att:

marknadskontroll för CRA följer samma struktur som annan produktlagstiftning i EU
medlemsstaterna ska ha utsedda myndigheter som ansvarar för att kontrollera produkter med digitala element.

I Sverige är det (enligt nuvarande ordning för liknande regelverk):

ofta Konsumentverket, Post- och telestyrelsen (PTS), Elsäkerhetsverket, MSB eller andra sektorsmyndigheter som får roller; exakt ansvar för CRA fastställs nationellt och kan fördelas mellan flera myndigheter.

Artikel 45 – Myndigheternas befogenheter (översikt)

Marknadskontrollmyndigheter ska bland annat kunna:

begära dokumentation (t.ex. EU-försäkran om överensstämmelse, teknisk dokumentation, sårbarhetshanteringsprocesser)
genomföra inspektioner (på plats eller digitalt) och testa produkter
kräva korrigerande åtgärder (t.ex. säkerhetsuppdateringar, återkallelser, varningar till användare)
begränsa eller förbjuda att en produkt görs tillgänglig på marknaden om den inte uppfyller kraven
samarbeta med tullmyndigheter, så att produkter som inte uppfyller kraven stoppas redan vid gränsen.

Artikel 46 – Ansvar och resurser

Medlemsstaterna ska säkerställa att marknadskontrollmyndigheterna:

har tillräckliga resurser (kompetens inom cybersäkerhet, IT-forensik, juridik)
arbetar opartiskt och transparent
kan agera snabbt vid allvarliga risker.

> Koppling till modul 6–7:

> Myndigheterna kontrollerar i efterhand att det du gjorde i bedömningen av överensstämmelse (Kapitel II) och via anmälda organ (Kapitel III) faktiskt håller i verkligheten. CE-märket är inte slutet – det är startpunkten för löpande tillsyn.

Exempel: Ett uppkopplat lås under lupp

Föreställ dig ett företag, SecureHome AB, som säljer ett uppkopplat dörrlås till konsumenter i hela EU.

Lansering

SecureHome AB har gjort en bedömning av överensstämmelse enligt CRA, tagit fram teknisk dokumentation, satt CE-märkning på produkten och upprättat en EU-försäkran om överensstämmelse.

Rapport om sårbarhet

En säkerhetsforskare upptäcker en sårbarhet som gör att låset kan öppnas på distans via internet. Forskaren rapporterar till företaget och till en nationell marknadskontrollmyndighet.

Myndighetens första steg (Art. 44–46)

Myndigheten kan nu:

begära all dokumentation från SecureHome AB (riskanalys, sårbarhetshanteringsprocess, loggar över incidenter)
köpa in eller begära ett testexemplar av låset
låta ett tekniskt laboratorium testa produkten

Om brister bekräftas

Om myndigheten konstaterar att låset inte uppfyller CRA-kraven (t.ex. bristande säkerhetsuppdateringar eller dålig kryptografi) kan den kräva att SecureHome AB:

släpper en säkerhetsuppdatering inom en viss tidsfrist
informerar alla användare om risken och hur de ska uppdatera
tillfälligt stoppar försäljningen tills problemet är löst.

Detta är ett typiskt scenario där artiklarna 44–46 aktiveras: myndigheten använder sina befogenheter för att skydda användarna och EU:s inre marknad.

Snabbcheck: Myndigheternas befogenheter

Testa din förståelse av artiklarna 44–46.

Vilken av följande **är inte** en typisk befogenhet för en marknadskontrollmyndighet enligt CRA och den allmänna EU-ramen för marknadskontroll?

Att begära teknisk dokumentation och EU-försäkran om överensstämmelse
Att kräva att en produkt uppdateras eller dras tillbaka från marknaden
Att ta över produktutvecklingen från företaget och själv designa en säker version

Show Answer

Answer: C) Att ta över produktutvecklingen från företaget och själv designa en säker version

Myndigheterna får begära dokumentation och kräva korrigerande åtgärder (A och B). De får däremot **inte** själva ta över produktutvecklingen (C); ansvaret att uppfylla kraven ligger kvar hos tillverkare/importör/distributör.

Art. 47–48: Samarbete och informationsutbyte inom EU

Cyberhot bryr sig inte om nationsgränser. Därför är artiklarna 47–48 avgörande.

Artikel 47 – Samarbete mellan medlemsstater

Medlemsstaterna ska:

utse kontaktpunkter för CRA-relaterad marknadskontroll
använda befintliga EU-nätverk (t.ex. under förordning (EU) 2019/1020) för att:
dela information om farliga eller icke-överensstämmande produkter
samordna gemensamma insatser (t.ex. gemensamma marknadskontrollprojekt)
ge varandra administrativt bistånd, t.ex. när ett företag är etablerat i en annan medlemsstat.

Artikel 48 – Samarbete med kommissionen

EU-kommissionen får en central samordningsroll:

tillhandahåller och utvecklar IT-verktyg för informationsutbyte (t.ex. ICSMS, RAPEX/Safety Gate och liknande system – anpassade eller utökade för cybersäkerhetsincidenter)
kan samordna gemensamma åtgärder mot en viss produkt eller produktgrupp
kan utfärda vägledningar och tolkningsstöd för hur CRA ska tillämpas i praktiken.

I praktiken innebär detta att om en allvarlig brist upptäcks i ett uppkopplat lås i ett land, kan informationen snabbt spridas till alla andra medlemsstater och till kommissionen, så att koordinering kan ske i hela EU.

> Viktigt 2026-perspektiv:

> EU har under de senaste åren (fram till idag, 2026) förstärkt sina digitala samarbetsstrukturer, bl.a. genom NIS2-direktivet och cybersäkerhetsakten. CRA ansluter till denna trend genom att göra cybersäkerhet i konsument- och industriprodukter till en del av den ordinarie marknadskontrollen.

Reflektionsövning: Hur sprids information om en sårbar produkt?

Föreställ dig att en allvarlig sårbarhet upptäcks i en populär uppkopplad router som säljs i hela EU.

Fundera kort (skriv gärna ned stödord) på följande steg:

Upptäckt i ett land

Vem kan upptäcka problemet? (t.ex. CERT, forskare, användare, företag själva)
Vilken nationell myndighet kontaktas troligen först?

Nationell åtgärd

Vilka omedelbara åtgärder kan den nationella marknadskontrollmyndigheten vidta?
Hur kan den kommunicera med användare i landet?

EU-samordning (Art. 47–48)

Vilken information behöver delas med andra medlemsstater och kommissionen?
Vilka skäl finns för att samordna i stället för att varje land agerar separat?

> Uppgift:

> Skriv en kort punktlista (5–8 punkter) som beskriver ett tidsförlopp från upptäckt i ett land till EU-omfattande samordnade åtgärder. Försök använda begreppen marknadskontrollmyndighet, administrativt bistånd och samordning med kommissionen.

Art. 49–50: Åtgärder vid bristande överensstämmelse och allvarlig risk

Nu kommer vi till ”verktygslådan” som aktiveras när en produkt inte uppfyller CRA.

Artikel 49 – Bristande överensstämmelse

Om en marknadskontrollmyndighet finner att en produkt inte uppfyller kraven, men utan omedelbar extrem risk, kan den:

Kräva att det ansvariga företaget (tillverkare, importör, distributör) åtgärdar bristen inom en rimlig tidsfrist.
Kräva rättelser i dokumentation, märkning eller instruktioner.
Vid utebliven åtgärd: vidta restriktiva åtgärder, t.ex.

begränsa eller förbjuda tillhandahållande av produkten på marknaden
kräva att produkten återkallas eller dras tillbaka.

Myndigheten ska också informera andra medlemsstater och kommissionen om betydande åtgärder, så att man undviker att en produkt stoppas i ett land men säljs fritt i ett annat.

Artikel 50 – Allvarlig risk

Om en produkt utgör en allvarlig risk (t.ex. en sårbarhet som kan möjliggöra massangrepp, påverka kritisk infrastruktur eller hota liv och hälsa) skärps kraven:

myndigheten kan vidta omedelbara provisoriska åtgärder, t.ex.:
omedelbart försäljningsstopp
krav på omedelbara säkerhetsuppdateringar
varningar till användare och allmänheten
åtgärderna ska anpassas till riskens allvar, men försiktighetsprincipen gör att man hellre agerar för mycket än för lite vid stora cyberhot.

> Skillnad mellan Art. 49 och 50:

> - Art. 49: fokus på icke-överensstämmelse (formella eller materiella brister), ibland utan akut fara.

> - Art. 50: fokus på allvarlig risk – här är tiden kritisk, och åtgärder kan vara mer drastiska och snabba.

Fallbedömning: Brist eller allvarlig risk?

Avgör vilket artikelspår som troligen är mest relevant.

En uppkopplad industrisensor saknar fullständig dokumentation enligt CRA, men de tester som gjorts visar inga kända kritiska sårbarheter. Vilket regelspår är mest sannolikt först?

Artikel 49 – Bristande överensstämmelse
Artikel 50 – Allvarlig risk
Ingen av artiklarna är relevanta

Show Answer

Answer: A) Artikel 49 – Bristande överensstämmelse

Här handlar problemet främst om **formell och materiell överensstämmelse** (dokumentation, eventuellt vissa krav som inte är korrekt visade), inte om en påvisad allvarlig risk. Därför är **Art. 49** mest relevant. Art. 50 används när en konkret **allvarlig risk** finns.

Art. 51: Tvister och EU-samordning vid oenighet

Vad händer om medlemsstaterna inte är överens om hur en viss produkt ska hanteras?

Typiskt problem

Land A anser att en viss uppkopplad produkt utgör allvarlig risk och förbjuder den.
Land B menar att riskerna kan hanteras med mindre ingripande åtgärder och vill tillåta försäljning.

Artikel 51 – EU-nivåns roll

Artikel 51 ger EU-kommissionen en roll att:

samordna och medla mellan medlemsstater
analysera den tekniska och juridiska situationen
vid behov anta genomförandeakter eller andra beslut som klargör hur CRA ska tolkas i det aktuella fallet.

Detta ska leda till att:

samma produkt inte behandlas radikalt olika i olika länder utan goda skäl
företag får mer förutsägbarhet på EU-marknaden
skyddsnivån för cybersäkerhet hålls jämn och hög i hela unionen.

I praktiken innebär Art. 51 att det finns en ”eskaleringsväg” när nationella bedömningar krockar, så att CRA inte fragmenteras i 27 olika tolkningar.

Praktisk övning: Hur bör företag förbereda sig för marknadskontroll?

Tänk dig att du är compliance-ansvarig i ett medelstort techföretag som utvecklar en uppkopplad konsumentprodukt (t.ex. en smart termostat).

Din uppgift är att förbereda företaget på en eventuell marknadskontroll enligt CRA.

> Uppgift: Skapa en kort intern checklista med 6–10 punkter.

> Checklistan ska minst täcka:

> 1. Dokumentation – Var finns teknisk dokumentation, riskanalyser och EU-försäkran? Hur snabbt kan ni lämna dem till en myndighet?

> 2. Kontaktpersoner – Vem hanterar myndighetskontakter (juridik, teknik, ledning)?

> 3. Sårbarhetshantering – Hur tar ni emot rapporter från forskare och kunder? Hur dokumenterar ni åtgärder?

> 4. Incidentberedskap – Hur snabbt kan ni ta fram och rulla ut en säkerhetsuppdatering vid allvarlig risk?

> 5. Kommunikation – Hur informerar ni användare vid säkerhetsproblem (mejl, app-notiser, webbplats)?

> Formulera checklistan som enkla punkter, t.ex.:

> - "Vi har en uppdaterad och centraliserad mapp för all CRA-relaterad dokumentation."

> - "Vi har utsedda kontaktpersoner för tekniska frågor gentemot myndigheter."

När du är klar, fundera: Vilka punkter är svagast i ditt hypotetiska företag? Det visar var företaget bör prioritera sina förbättringar.

Repetition: Nyckelbegrepp i marknadskontroll och tillsyn

Använd korten för att repetera centrala begrepp från artiklarna 44–51.

Marknadskontrollmyndighet: En nationell myndighet som övervakar att produkter på marknaden uppfyller gällande krav (t.ex. enligt CRA) och kan vidta åtgärder mot icke-överensstämmande eller farliga produkter.
Bristande överensstämmelse (Art. 49): När en produkt inte uppfyller ett eller flera krav i CRA, t.ex. brister i säkerhetsfunktioner, dokumentation eller CE-märkning, utan att det nödvändigtvis finns en akut allvarlig risk.
Allvarlig risk (Art. 50): En situation där en produkt kan orsaka betydande skada (t.ex. omfattande cyberangrepp, påverkan på kritisk infrastruktur eller risk för liv/hälsa), vilket motiverar snabba och kraftiga åtgärder.
Administrativt bistånd (Art. 47): När en marknadskontrollmyndighet i en medlemsstat hjälper en myndighet i en annan medlemsstat, t.ex. med information, inspektioner eller uppföljning av ett företag som är etablerat i den egna staten.
Samordning med kommissionen (Art. 48 & 51): EU-kommissionens roll att stödja informationsutbyte, samordna gemensamma åtgärder och lösa tvister mellan medlemsstater för att säkerställa en enhetlig tillämpning av CRA.
Korrigerande åtgärder: Åtgärder som ett företag måste vidta efter krav från en marknadskontrollmyndighet, t.ex. säkerhetsuppdateringar, ändrad dokumentation, återkallelse eller försäljningsstopp.

Key Terms

CE-märkning: Märkning som visar att tillverkaren intygar att produkten uppfyller alla tillämpliga EU-krav, inklusive de som följer av CRA för relevanta produkter.
Allvarlig risk: En risknivå där en produkt kan orsaka betydande skada på kort eller medellång sikt, vilket motiverar snabba och omfattande åtgärder från myndigheter.
Marknadskontroll: Systemet där nationella myndigheter övervakar produkter på marknaden och ser till att de uppfyller gällande EU-krav. Innefattar inspektioner, tester och åtgärder mot icke-överensstämmande produkter.
Korrigerande åtgärd: En åtgärd som syftar till att få en produkt att uppfylla kraven eller minska/ta bort risker, t.ex. uppdateringar, modifieringar, återkallelser eller informationskampanjer.
Administrativt bistånd: Samarbete där en myndighet i en medlemsstat hjälper en annan medlemsstat, t.ex. genom informationsdelning eller genomförande av kontroller på dess begäran.
Samordning på EU-nivå: Process där EU-kommissionen och ibland andra EU-organ hjälper medlemsstater att agera enhetligt, särskilt vid tvister eller gränsöverskridande risker.
Tvistlösning (Art. 51): Mekanismen där oenigheter mellan medlemsstater om hur en produkt ska hanteras kan lyftas till EU-nivå för samordning och, vid behov, bindande beslut.
Förordning (EU) 2019/1020: EU:s horisontella marknadskontrollförordning som sätter den allmänna ramen för marknadskontroll av produkter inom EU:s inre marknad.
Cyberresiliensförordningen (CRA): EU-förordning som ställer cybersäkerhetskrav på produkter med digitala element under hela deras livscykel. Antogs 2024 och är direkt tillämplig i medlemsstaterna.
EU-försäkran om överensstämmelse: Ett dokument där tillverkaren formellt intygar att produkten uppfyller alla relevanta EU-krav. Måste kunna uppvisas för marknadskontrollmyndigheter.