Cyber Resilience Act (CRA)

Cyber Resilience Act (CRA) er EU's forordning, der stiller horisontale cybersikkerhedskrav til alle produkter med digitale elementer. Forordningen pålægger fabrikanter, importører og distributører at sikre, at produkter er designet, udviklet og vedligeholdt med cybersikkerhed som en integreret del af hele livscyklussen.

Tilbage til ordbog

Baggrund og formål

Produkter med digitale elementer har historisk været reguleret ujævnt i EU. Software har i mange tilfælde slet ikke været underlagt sikkerhedskrav, og forbrugere har haft svært ved at vurdere, om et produkt var sikkert. CRA ændrer det grundlæggende.

Forordningen blev foreslået af Europa-Kommissionen i september 2022 og vedtaget i 2024. Målet er klart: at reducere antallet af sårbarheder i produkter med digitale elementer og sikre, at fabrikanter tager ansvar for cybersikkerheden i hele produktets levetid.

CRA er en forordning, ikke et direktiv. Det betyder, at reglerne gælder direkte i alle EU-lande uden national implementering. For dig som fabrikant, importør eller distributør er der ét samlet regelsæt at forholde sig til.

Centrale krav i CRA

CRA bygger på to søjler af krav, defineret i forordningens bilag I:

Sikkerhedskrav til produktet: Produkter skal designes og udvikles med sikkerhed by design. Det indebærer kryptering af data, minimering af angrebsflader, sikker standardkonfiguration og beskyttelse mod uautoriseret adgang. Produktet skal leveres uden kendte, udnyttelige sårbarheder.

Krav til sårbarhedshåndtering: Fabrikanten skal etablere en proces til at identificere, dokumentere og rette sårbarheder. Sikkerhedsopdateringer skal leveres gratis i hele supportperioden, og aktivt udnyttede sårbarheder skal rapporteres til ENISA inden 24 timer.

Fabrikanten skal udarbejde en Software Bill of Materials (SBOM) og opretholde teknisk dokumentation i mindst ti år. Produkter skal CE-mærkes som bevis på, at kravene er opfyldt.

Hvem er omfattet?

CRA rammer bredt. Alle økonomiske aktører i forsyningskæden har forpligtelser:

Fabrikanter bærer det primære ansvar. De skal sikre, at produktet overholder alle væsentlige krav, gennemføre overensstemmelsesvurdering og levere sikkerhedsopdateringer.
Importører skal verificere, at fabrikanten har opfyldt sine forpligtelser, og at produktet bærer CE-mærkning.
Distributører skal kontrollere, at produktet har den nødvendige mærkning og dokumentation.

Visse produkter er undtaget, bl.a. medicinsk udstyr (der er reguleret under MDR), motorkøretøjer og produkter, der udelukkende bruges til nationalt sikkerhedsformål. Open source-software, der udvikles uden for kommerciel kontekst, er også undtaget.

Tidsfrister og indfasning

CRA indfases i tre trin:

Juni 2026: Reglerne for bemyndigede organer (notified bodies) gælder.
September 2026: Rapporteringspligten for aktivt udnyttede sårbarheder træder i kraft. Fra denne dato skal fabrikanter indberette til ENISA inden 24 timer.
December 2027: Alle øvrige krav gælder fuldt ud. Produkter skal CE-mærkes, og teknisk dokumentation skal være på plads.

Virksomheder, der allerede arbejder med hændelsesrespons og logning, har et forspring. Men selv modne organisationer bør starte forberedelserne nu for at nå fristen i 2027.

Samspil med andre reguleringer

CRA eksisterer ikke i et vakuum. Forordningen supplerer og overlapper med flere andre EU-reguleringer:

NIS2-direktivet stiller krav til organisationers cybersikkerhed, mens CRA regulerer produkterne. De to regelsæt komplementerer hinanden: en organisation, der køber CRA-konforme produkter, har lettere ved at opfylde NIS2-kravene til sin forsyningskæde.

DORA regulerer cybersikkerhed i den finansielle sektor og stiller krav til IKT-tredjepartsleverandører. Produkter, der bruges i finansielle institutioner, skal opfylde både CRA og DORA's krav.

GDPR stiller krav til beskyttelse af persondata. CRA's krav om sikkerhed by design og dataminimering understøtter GDPR's principper om databeskyttelse gennem design.

Ofte stillede spørgsmål om cyber resilience act (cra)

Hvad er Cyber Resilience Act?

Cyber Resilience Act (CRA) er en EU-forordning, der stiller bindende cybersikkerhedskrav til alle produkter med digitale elementer. Forordningen dækker både hardware og software og kræver, at fabrikanter sikrer deres produkter i hele livscyklussen.

Hvornår træder CRA i kraft?

CRA blev vedtaget i 2024. Rapporteringspligten for aktivt udnyttede sårbarheder gælder fra september 2026. De øvrige krav, herunder CE-mærkning, gælder fra december 2027.

Hvem er omfattet af CRA?

CRA rammer alle, der bringer produkter med digitale elementer i omsætning på EU-markedet: fabrikanter, importører og distributører. Det gælder både EU-baserede virksomheder og virksomheder uden for EU, der sælger til europæiske kunder.

Hvad er forskellen på CRA og NIS2?

CRA regulerer produkter, mens NIS2 regulerer organisationer. CRA stiller krav til fabrikanter af digitale produkter om sikkerhed by design og sårbarhedshåndtering. NIS2 stiller krav til operatører af væsentlige og vigtige tjenester om deres interne cybersikkerhed.

Hvilke bøder kan man få under CRA?

De højeste bøder er op til 15 millioner euro eller 2,5 % af den globale årsomsætning for overtrædelse af de væsentlige sikkerhedskrav. Andre overtrædelser kan give bøder op til 10 millioner euro eller 2 % af omsætningen.