CE-mærkning (cybersikkerhed)

CE-mærkning i en cybersikkerhedskontekst dokumenterer, at et produkt med digitale elementer lever op til de væsentlige sikkerhedskrav i Cyber Resilience Act. Mærkningen er en forudsætning for, at produktet lovligt kan sælges på EU-markedet og signalerer til både brugere og myndigheder, at produktet er sikkerhedsvurderet.

Tilbage til ordbog

Hvad er CE-mærkning for cybersikkerhed?

CE-mærkningen er i forvejen velkendt fra produktsikkerhed, legetøj og elektronik. Med Cyber Resilience Act (CRA) udvides mærkningen til også at dække cybersikkerhed for produkter med digitale elementer.

Når du ser CE-mærket på et softwareprodukt eller en forbundet enhed, betyder det, at fabrikanten har gennemført en overensstemmelsesvurdering og erklærer, at produktet opfylder CRA's væsentlige krav. Det gælder både sikkerhedskrav til selve produktet og krav til sårbarhedshåndtering i hele produktets levetid.

CE-mærkning er ikke frivillig. Det er en lovpligtig forudsætning for at bringe produkter med digitale elementer i omsætning på EU's indre marked. Uden mærkningen kan produktet ikke sælges lovligt i EU.

Krav og overensstemmelsesvurdering

Processen for at opnå CE-mærkning under CRA følger et struktureret forløb. Fabrikanten skal:

Gennemføre en risikovurdering af produktets cybersikkerhedsegenskaber
Sikre, at produktet overholder de væsentlige krav i CRA's bilag I, herunder sikkerhed by design og dataminimering
Udarbejde teknisk dokumentation, inkl. en Software Bill of Materials (SBOM)
Gennemføre den relevante overensstemmelsesvurdering (selvevaluering eller tredjepartsvurdering)
Udstede en EU-overensstemmelseserklæring
Påsætte CE-mærkningen på produktet eller dets emballage

Dokumentationen skal opbevares i mindst ti år efter produktet er bragt i omsætning. Det stiller krav til din organisations ISMS og dokumenthåndtering.

Produktkategorier og risikoklasser

CRA opdeler produkter i tre kategorier, og hver kategori har sin egen vej til CE-mærkning:

Standardkategorien (default) dækker de fleste produkter med digitale elementer. Fabrikanten kan gennemføre en intern overensstemmelsesvurdering (selvevaluering) uden involvering af et eksternt organ. Det er den hurtigste og billigste vej til CE-mærkning.

Kritiske produkter, klasse I, omfatter identitetsstyringssoftware, VPN-løsninger og netværksadministrationsværktøjer. Her kan fabrikanten stadig bruge selvevaluering, men kun hvis produktet er certificeret efter en anerkendt europæisk standard. Ellers kræves tredjepartsvurdering.

Kritiske produkter, klasse II, er de mest sikkerhedsfølsomme produkter, fx firewalls, hardware-sikkerhedsmoduler og industrielle kontrolsystemer. Disse kræver altid tredjepartscertificering af et bemyndiget organ. Her er penetrationstest og grundig sikkerhedsevaluering en fast del af processen.

Uanset kategori skal fabrikanten dokumentere alle forpligtelser under CRA og kunne fremvise dokumentation ved inspektion.

Konsekvenser ved manglende CE-mærkning

Markedsovervågningsmyndigheder i EU-landene har beføjelser til at kontrollere, om produkter bærer gyldig CE-mærkning. Konsekvenserne ved manglende eller fejlagtig mærkning er betydelige:

Produktet kan forbydes solgt eller kræves trukket tilbage fra markedet
Bøder på op til 15 millioner euro eller 2,5 % af den globale årsomsætning
Offentliggørelse af overtrædelsen, hvilket kan skade virksomhedens omdømme

For virksomheder, der opererer på tværs af EU, er CE-mærkning derfor ikke bare et regulatorisk krav. Det er en markedsadgangsbillet. Organisationer, der allerede arbejder med tekniske og organisatoriske foranstaltninger under GDPR eller NIS2, har et godt fundament at bygge videre på.

Ofte stillede spørgsmål om ce-mærkning (cybersikkerhed)

Hvad betyder CE-mærkning for cybersikkerhed?

CE-mærkning for cybersikkerhed betyder, at fabrikanten erklærer, at produktet opfylder de væsentlige cybersikkerhedskrav i Cyber Resilience Act (CRA). Mærkningen giver brugere og myndigheder et synligt bevis på, at produktet er vurderet og godkendt til det europæiske marked.

Hvornår skal produkter have CE-mærkning for cybersikkerhed?

Kravene indfases fra 2027. Fra den dato skal alle produkter med digitale elementer, der sælges på EU-markedet, bære CE-mærkning som dokumentation for overholdelse af CRA-kravene.

Hvad sker der, hvis et produkt ikke har CE-mærkning?

Produkter uden gyldig CE-mærkning kan ikke lovligt sælges på EU-markedet. Markedsovervågningsmyndigheder kan kræve produktet trukket tilbage, og fabrikanten risikerer bøder på op til 15 millioner euro eller 2,5 % af den globale årsomsætning.

Skal alle digitale produkter igennem tredjepartscertificering?

Nej. De fleste produkter (standardkategorien) kan anvende selvevaluering, hvor fabrikanten selv dokumenterer overholdelse. Kritiske produkter i klasse I og II kræver dog involvering af et bemyndiget organ (notified body) til vurdering.