EN SV
legislation

Cyber Resilience Act EU-forordning for sikre produkter

23 minutters læsning
Cyber Resilience Act EU-forordning for sikre produkter

Cyber Resilience Act (CRA) regulerer sikkerheden af produkter med digitale elementer i EU. Lær om anvendelsesområde, producentforpligtelser og CE-mærkning.

Anvendelsesområde og gyldighedsområde for CRA

Cyber Resilience Act gælder grundlæggende for alle produkter med digitale elementer (dvs. der er eller indeholder software), der har en netværks- eller enhedsforbindelse og markedsføres i EU.

Dog er produkter, der allerede reguleres af anden EU-lovgivning - som medicinsk udstyr, køretøjer eller luftfart - udelukket. Forsvarsprodukter, reservedele og produkter, hvor Kommissionen har vedtaget en undtagelse, er heller ikke omfattet. Forordningen har hovedsageligt til formål at harmonisere og styrke cybersikkerhedskrav for de fleste forbundne produkter i EU.

En særlig rolle inden for anvendelsesområdet spilles af Open Source Software og cloud-løsninger eller Software-as-a-Service (SaaS).

Open Source Software

Open source software er eksplicit inkluderet i anvendelsesområdet. Artikel 3(48) definerer "Fri og Open Source Software" som software, hvis kildekode er åbent delt og gjort tilgængelig under en fri og åben licens, der tillader den at blive tilgået, brugt, modificeret og redistribueret frit. For sådanne open source produkter kræver artikel 24, at "open source software forvaltere" implementerer en cybersikkerhedspolitik og samarbejder med myndigheder i risikobegrænsning.

Cloud og software som service (SaaS)

SaaS og cloud-løsninger falder under Cyber Resilience Act kun hvis de betragtes som "fjern databehandlingsløsninger" inden for betydningen af artikel 3(2). Ellers skal de ikke betragtes som et "produkt med digitale elementer" som defineret i artikel 3(1) og er derfor ikke omfattet af forordningen.

CRA's anvendelsesområde - produkter med digitale elementer

I det væsentlige falder al forbundet software, hardware og elektroniske produkter med databehandlingskapaciteter under betegnelsen "produkter med digitale elementer".

Ifølge artikel 2 (anvendelsesområde) gælder Cyber Resilience Act for:

> produkter med digitale elementer, der gøres tilgængelige på markedet, og hvis tilsigtede brug eller rimeligt forudsigelige brug indebærer en direkte eller indirekte logisk eller fysisk dataforbindelse til en enhed eller et netværk.

"Produkter med digitale elementer" (artikel 3) er ethvert software- eller hardwareprodukt og deres fjern databehandlingsløsninger, herunder software- eller hardwarekomponenter, der markedsføres separat.

Kernen i definitionen er, at disse er elektroniske informationssystemer, der kan behandle, lagre eller transmittere digitale data. Dette inkluderer både softwarekomponenter og fysiske hardwarekomponenter.

Fjern databehandlingsløsninger henviser til databehandling, som producenten er ansvarlig for, og uden hvilken produktet ikke kan udføre en af dets funktioner.

Produkter kan have en logisk (virtuel) og/eller fysisk (elektrisk, optisk, mekanisk) forbindelse til andre enheder eller netværk, enten direkte eller indirekte som en del af et større system.

Undtagelser fra CRA's anvendelsesområde

CRA gælder bredt for de fleste produkter med digitale elementer forbundet til enheder eller netværk, når de markedsføres i EU. Det gælder dog ikke for produkter, der allerede er reguleret andre steder. Disse omfatter:

Medicinske enheder

Produkter med digitale elementer omfattet af forordning (EU) 2017/745 om medicinsk udstyr (artikel 2(2a)).

In vitro diagnostik

Produkter med digitale elementer omfattet af forordning (EU) 2017/746 om medicinsk udstyr til in vitro diagnostik (artikel 2(2b)).

Komponenter til motorkøretøjer

Produkter med digitale elementer omfattet af forordning (EU) 2019/2144 om motorkøretøjer (artikel 2(2c)).

Civil luftfart

Produkter med digitale elementer certificeret under forordning (EU) 2018/1139 om luftfartssikkerhed (artikel 2(3)).

Skibsudstyr

Udstyr under direktiv 2014/90/EU om marineudstyr (artikel 2(4)).

Produkter med højere sikkerhedsniveau

Produkter med digitale elementer omfattet af anden EU-lovgivning, der opfylder et tilsvarende eller højere niveau af cybersikkerhed, som bestemt af Kommissionen i delegerede retsakter (artikel 2(5)).

Reservedele

Reservedele, der erstatter identiske komponenter i eksisterende produkter med digitale elementer (artikel 2(6)).

National sikkerhed og forsvar

Produkter udviklet eller modificeret udelukkende for national sikkerhed, forsvar eller behandling af klassificerede oplysninger (artikel 2(7)).

Forpligtelser for producenter af produkter

Producenter af produkter med digitale elementer har talrige forpligtelser for at sikre cybersikkerhed og overensstemmelse af deres produkter. Disse forpligtelser omfatter:

Risikostyring og overensstemmelse med væsentlige krav

Producenter skal sikre, at deres produkter er designet, udviklet og produceret i overensstemmelse med de væsentlige krav, herunder cybersikkerhedskravene i bilag I, del I (artikel 13(1)).

For at overholde skal producenter udføre en cybersikkerhedsrisikovurdering og tage den i betragtning gennem hele produktets livscyklus, herunder planlægning, design, udvikling, produktion, levering og vedligeholdelse (artikel 13(2)).

Risikovurderingen skal dokumenteres, holdes opdateret og inkluderes i den tekniske dokumentation forberedt ved markedsføring (artikel 13(3)-(4)).

Producenter skal udvise due diligence ved integration af komponenter, herunder tredjepartskomponenter, for at sikre, at de ikke underminerer produktets cybersikkerhed. Dette gælder også open source software, der ikke blev gjort kommercielt tilgængelig (artikel 13(5)).

Levering af opdateringer og afhjælpning af sårbarheder

Når en sårbarhed identificeres i en komponent, herunder open source komponenter, skal producenter rapportere sårbarheden til komponentens producent eller vedligeholdelsesudbyder og tage foranstaltninger til at afhjælpe den (artikel 13(6)).

Producenter skal systematisk dokumentere cybersikkerhedsaspekter af produkter og opdatere risikovurderingen tilsvarende (artikel 13(7)).

Producenter skal sikre, at sårbarheder bliver effektivt adresseret gennem hele supportperioden, som skal være mindst fem år (artikel 13(8)).

Sikkerhedsopdateringer skal forblive tilgængelige i mindst ti år efter markedsføring eller i supportperiodens varighed (artikel 13(9)).

Når efterfølgende versioner af software frigives, skal producenter sikre, at tidligere versioner kan opdateres til den seneste version gratis (artikel 13(10)).

Teknisk dokumentation og konformitetsvurdering

Producenter skal udarbejde teknisk dokumentation, udføre eller få udført konformitetsvurderingsprocedurer, udstede EU-konformitetserklæringen og påsætte CE-mærkning (artikel 13(12)).

Den tekniske dokumentation og EU-konformitetserklæringen skal opbevares i mindst ti år (artikel 13(13)).

Producenter skal sikre, at produkter produceret som en del af en serie forbliver overensstemmende (artikel 13(14)).

Produktmærkning og information til brugere

Producenter skal sikre, at deres produkter bærer et unikt identifikationsnummer, og at deres kontaktoplysninger leveres på produktet eller emballagen (artikel 13(15)-(16)).

Producenter skal udpege et enkelt kontaktpunkt for at give brugere mulighed for at kommunikere direkte og hurtigt, og sikre, at denne kontakt er let identificerbar (artikel 13(17)).

Produkter skal leveres med de nødvendige oplysninger og instruktioner til brugere, som skal være tilgængelige i mindst ti år (artikel 13(18)).

Slutten på support skal være klart og forståeligt angivet på købstidspunktet (artikel 13(19)).

Producenter skal levere en kopi af EU-konformitetserklæringen eller en forenklet EU-konformitetserklæring sammen med produktet (artikel 13(20)).

Korrektive foranstaltninger og samarbejde med myndigheder

Producenter skal hurtigt tage korrektive foranstaltninger for at bringe produktet eller processerne i overensstemmelse, hvis de ikke er overensstemmende (artikel 13(21)).

På anmodning fra markedsovervågningmyndigheder skal producenter levere alle nødvendige oplysninger og dokumentation og samarbejde om foranstaltninger til at eliminere cybersikkerhedsrisici (artikel 13(22)).

Producenter, der ophører deres forretningsaktiviteter, skal informere de relevante markedsovervågningsmyndigheder og, hvor det er muligt, brugere om den planlagte ophør (artikel 13(23)).

Disse omfattende forpligtelser sikrer, at producenter er ansvarlige for sikkerheden og overensstemmelsen af deres digitale produkter og tager de nødvendige foranstaltninger til at minimere potentielle cybersikkerhedsrisici.

Væsentlige krav til CRA

Artikel 13 kræver, at producenter sikrer, at deres produkter er designet, udviklet og produceret i overensstemmelse med de væsentlige krav, som omfatter cybersikkerhedskravene i bilag I, del I.

Fundamentalt kræver Cyber Resilience Act en risikobaseret tilgang til produktudvikling. Dette afspejles i det første krav:

  • Passende cybersikkerhedsniveau baseret på risici (del I, stykke 1) Eksempel: En producent udfører en risikovurdering og implementerer passende sikkerhedsforanstaltninger for sit internetaktiverede produkt.

Yderligere krav skal implementeres baseret på risikovurderingen:

  • Ingen kendte udnyttelige sårbarheder ved markedsføring (del I, stykke 2a) Eksempel: Alle kendte sårbarheder bliver afhjulpet før markedsføring.
  • Sikker standardkonfiguration (del I, stykke 2b) Eksempel: Produktet leveres med unødvendige tjenester deaktiveret og stærke standardadgangskoder.
  • Sårbarheder adresserbare gennem sikkerhedsopdateringer (del I, stykke 2c) Eksempel: Produktet underretter brugere om nye opdateringer og tilbyder en funktion til (automatiske) sikkerhedsopdateringer.
  • Forebyggelse af uautoriseret adgang gennem adgangskontrol (del I, stykke 2d) Eksempel: Multifaktor-autentificering og brugeradgangsstyring implementeres.
  • Fortrolighed af data beskyttet gennem kryptering (del I, stykke 2e) Eksempel: Lagrede og transmitterede data beskyttes gennem kryptering.
  • Integritet af data, kommandoer og konfigurationer beskyttet (del I, stykke 2f) Eksempel: Digitale signaturer og integritetstjek bruges til at opdage uautoriserede ændringer.
  • Dataminimering (del I, stykke 2g) Eksempel: Kun data nødvendige for funktionalitet indsamles og behandles.
  • Kernefunktioner forbliver tilgængelige efter hændelser (del I, stykke 2h) Eksempel: Redundante arkitekturer og DDoS-beskyttelsesforanstaltninger implementeres.
  • Minimal negativ påvirkning på andre enheder og netværk (del I, stykke 2i) Eksempel: Begrænset netværksadgang og båndbreddekontrolelementer implementeres.
  • Minimering af angrebsoverflade (del I, stykke 2j) Eksempel: Ubrugte porte, tjenester og grænseflader deaktiveres.
  • Skadebegrænsning ved hændelser (del I, stykke 2k) Eksempel: Mekanismer som sandboxing, mindste privilegium principper og adresseplads layout randomisering (ASLR) bruges.
  • Sikkerhedsovervågning og logføring (del I, stykke 2l) Eksempel: Sikkerhedsrelevante begivenheder logges og overvåges.
  • Sikker datarensning (del I, stykke 2m) Eksempel: Brugere kan udføre en komplet og sikker sletning af alle data og indstillinger.

Derudover skal producenter sikre, at sårbarheder bliver effektivt adresseret gennem hele supportperioden.

Væsentlige krav til dette omfatter:

  • Dokumentation af sårbarheder og komponenter (del II, stykke 1) Eksempel: En software bill of materials (SBOM) leveres i et almindeligt, maskinlæsbart format.
  • Rettidig afhjælpning af sårbarheder (del II, stykke 2) Eksempel: Sikkerhedsopdateringer offentliggøres hurtigt efter en sårbarhed opdages.
  • Regelmæssig sikkerhedstest (del II, stykke 3) Eksempel: Penetrationstest og kodegennemgange udføres rutinemæssigt.
  • Offentliggørelse af afhjulpte sårbarheder (del II, stykke 4) Eksempel: Detaljer om sårbarheder og sikkerhedsopdateringer offentliggøres.
  • Koordineret sårbarheds offentliggørelse (del II, stykke 5) Eksempel: En politik for rettidig afhjælpning og kontrolleret offentliggørelse af sårbarheder implementeres.
  • Kontaktpunkt for sårbarheds rapporter (del II, stykke 6) Eksempel: En sikker kommunikationskanal til rapportering af sårbarheder leveres.
  • Sikker distribution af opdateringer (del II, stykke 7) Eksempel: Sikkerhedsopdateringer distribueres via krypterede og autentificerede kanaler.
  • Rettidig og gratis levering af sikkerhedsopdateringer (del II, stykke 8) Eksempel: Sikkerhedsopdateringer leveres hurtigt og generelt gratis.

Rapporteringsforpligtelser i CRA

Producenter skal rapportere sårbarheder og sikkerhedsrelevante hændelser omfattende og rettidigt for at sikre produktcybersikkerhed og muliggøre hurtig respons på trusler.

Disse rapporteringsforpligtelser omfatter notifikationer til den kompetente CSIRT og til ENISA via en enkelt rapporteringsplatform. Tidsrammer er defineret for at sikre, at information om sårbarheder og sikkerhedsrelevante hændelser transmitteres hurtigt og nøjagtigt.

Nedenfor er de detaljerede producentforpligtelser for sårbarheder og sikkerhedsrelevante hændelser, herunder de tilknyttede tidsrammer.

Håndtering af sårbarheder

Producenter skal hurtigt rapportere aktivt udnyttede sårbarheder opdaget i deres produkter for at minimere udnyttelse af angribere. Rapporter skal laves inden for specificerede tidsrammer for at sikre, at relevante myndigheder kan handle hurtigt.

Første advarsel

Den første advarsel skal laves inden for 24 timer efter at blive opmærksom på en aktivt udnyttet sårbarhed. Denne advarsel skal sendes til den kompetente CSIRT og ENISA og inkludere en tidlig advarsel om sårbarheden og medlemsstaterne, hvor produktet er tilgængeligt (artikel 14(2)(a)).

Detaljeret rapport

Inden for 72 timer efter at blive opmærksom på sårbarheden skal en detaljeret sårbarheds rapport sendes til den kompetente CSIRT og ENISA. Denne rapport skal indeholde generel information om det berørte produkt, den generelle karakter af sårbarheden og exploits, korrektive eller afbødende foranstaltninger taget og foranstaltninger brugere kan tage. Den skal også angive følsomheden af den rapporterede information (artikel 14(2)(b)).

Slutrapport

Senest 14 dage efter en korrektiv foranstaltning bliver tilgængelig, skal en slutrapport indsendes til den kompetente CSIRT og ENISA. Denne rapport skal inkludere en detaljeret beskrivelse af sårbarheden, herunder alvorlighed og påvirkning, information om angriberen (hvis tilgængelig) og detaljer om de korrektive foranstaltninger taget (artikel 14(2)(c)).

Håndtering af sikkerhedsrelevante hændelser

Producenter skal også rapportere alvorlige sikkerhedshændelser, der kan påvirke sikkerheden af deres produkter. Disse rapporter skal laves inden for definerede tidsrammer for at sikre, at påvirkninger minimeres og modforanstaltninger implementeres hurtigt.

Første advarsel

Den første advarsel skal laves inden for 24 timer efter at blive opmærksom på den sikkerhedsrelevante begivenhed. Denne notifikation skal sendes til den kompetente CSIRT og ENISA og indeholde en foreløbig beskrivelse af hændelsen, herunder om den mistænkes at skyldes ulovlig eller ondsindet aktivitet, og information om berørte medlemsstater (artikel 14(4)(a)).

Detaljeret rapport

Inden for 72 timer efter at blive opmærksom på hændelsen skal en detaljeret hændelsesrapport sendes til den kompetente CSIRT og ENISA. Denne rapport skal inkludere generel information om hændelsen, en indledende vurdering, korrektive eller afbødende foranstaltninger taget og handlinger brugere kan tage. Følsomheden af informationen skal også angives (artikel 14(4)(b)).

Slutrapport

Inden for en måned fra den detaljerede rapport skal en slutrapport indsendes til den kompetente CSIRT og ENISA. Denne rapport skal inkludere en detaljeret beskrivelse af hændelsen, herunder alvorlighed og påvirkning, trusslens eller årsakens karakter og korrektive og igangværende modforanstaltninger (artikel 14(4)(c)).

Notifikation af brugere

Producenter skal informere berørte brugere og, hvor nødvendigt, alle brugere om aktivt udnyttede sårbarheder eller sikkerhedshændelser. Disse kommunikationer skal inkludere risikobegrænsning og afhjælpningsforanstaltninger brugere kan tage (artikel 14(8)).

Forpligtelser for andre aktører

Udover produktproducenter definerer Cyber Resilience Act krav til importører og distributører af produkter og til open source software forvaltere.

Importører

Under artikel 19 må importører kun markedsføre produkter, der opfylder de væsentlige krav. De skal sikre, at producenten har udført konformitetsvurderingsprocedurer, at teknisk dokumentation er tilgængelig, og at CE-mærkning er påsat. De skal også levere deres navn og kontaktoplysninger på produktet, emballagen eller ledsagende dokumenter. I tilfælde af ikke-overensstemmelse eller sikkerhedsrisici skal de tage handling og informere myndighederne. EU-konformitetserklæringen og teknisk dokumentation skal opbevares i mindst ti år, og importører skal samarbejde med markedsovervågningmyndigheder på anmodning.

Distributører

Under artikel 20 skal distributører handle med due diligence og sikre, at produktet bærer CE-mærkning og opfylder kravene. De skal kontrollere, om producenten og importøren har leveret de krævede oplysninger og mærkninger. Hvis de mistænker ikke-overensstemmelse eller sikkerhedsrisici, må de ikke markedsføre produktet og skal informere producenten og markedsovervågningsmyndighederne. Distributører skal også samarbejde med myndigheder og levere relevante oplysninger på anmodning.

Open source software forvaltere

CRA anerkender den specielle rolle for fri og open source software (FOSS). FOSS-projekter falder generelt i kategorien af selvvurderede produkter. CRA introducerer konceptet en "open source software forvalter" for juridiske enheder, der støtter FOSS-projekter uden direkte at monetarisere dem.

Disse forvaltere har specifikke, omend mindre omfattende, forpligtelser end kommercielle softwareproducenter. Artikel 24 kræver, at open source forvaltere adopterer og dokumenterer en cybersikkerhedspolitik, der fremmer sikker udvikling og håndtering af sårbarheder. De skal samarbejde med markedsovervågningmyndigheder og levere påkrævet dokumentation på anmodning. Forvaltere er påkrævet at rapportere aktivt udnyttede sårbarheder og alvorlige hændelser, hvor de er involveret i udvikling, eller hvor deres systemer er påvirket.

Den detaljerede påvirkning af CRA på open source fællesskabet, herunder relaterede udfordringer og muligheder, undersøges yderligere i artiklen "Der Cyber Resilience Act und seine Auswirkungen auf Open-Source-Software" (Open Source Software).

Ikke-overensstemmelse med CRA

Sanktioner og konsekvenser for ikke-overensstemmelse med Cyber Resilience Act er strukturerede og skræddersyede til forskellige typer overtrædelser for at sikre produktsikkerhed:

  • Ikke-overensstemmelse med væsentlige krav: Undladelse af at opfylde de væsentlige cybersikkerhedskrav i bilag I eller forpligtelser under artiklerne 13 og 14 kan bødestraffes med op til 15 millioner euro eller op til 2,5% af den verdensomspændende årlige omsætning fra det foregående regnskabsår, alt efter hvad der er højest.
  • Overtrædelser af proceduremæssige og mærkningsforpligtelser: Overtrædelser som forkert påsætning af CE-mærkning, fravær af EU-konformitetserklæring eller undladelse af at vedligeholde teknisk dokumentation kan bødestraffes med op til 10 millioner euro eller op til 2% af verdensomspændende årlig omsætning. Denne kategori inkluderer også ikke-overensstemmelse af importører og distributører.
  • Falske erklæringer og vildledende information: Levering af ukorrekt, ufuldstændig eller vildledende information til bemyndigede organer eller markedsovervågningmyndigheder, især når de svarer på deres anmodninger, kan bødestraffes med op til 5 millioner euro eller op til 1% af verdensomspændende årlig omsætning.

Ved bestemmelse af bøder tages overtrædelsens art, alvorlighed og varighed og den økonomiske påvirkning på det berørte marked i betragtning i hvert enkelt tilfælde. Målet med disse sanktioner er at opnå en stærk afskrækkende effekt, mens proportionalitet opretholdes for at forbedre det digitale indre markeds sikkerhed.

Implementering af CRA og IEC 62443

IEC 62443-standardserien spiller en vigtig rolle i implementeringen af Cyber Resilience Act. Særligt IEC 62443-4-1, IEC 62443-4-2 og IEC 62443-3-3 adresserer centrale CRA-krav på områderne sikkerhedskrav og sårbarheds styring.

Mappingen offentliggjort af ENISA, der viser forholdet mellem CRA-krav og forskellige standarder, bekræfter denne relevans. Den demonstrerer, hvordan IEC 62443 dækker mange CRA-krav, særligt for industriel automatisering og kontrolsystemer. Standardserien giver derfor en værdifuld ramme for producenter til systematisk at implementere CRA-bestemmelser. Samtidig fremhæver ENISA-mappingen huller, som yderligere standardiseringsarbejde skal lukke.

Overordnet hjælper IEC 62443 virksomheder med at opfylde CRA's regulatoriske krav og forbedre cybersikkerheden af deres produkter.

Harmoniserede standarder for Cyber Resilience Act

Et nøgleelement i CRA-implementering er harmoniserede standarder, der giver producenter konkrete tekniske specifikationer til at opfylde de væsentlige cybersikkerhedskrav. Produkter udviklet i overensstemmelse med harmoniserede standarder nyder godt af en formodning om overensstemmelse med de tilsvarende CRA-krav.

Standardiseringen for CRA følger en todelt tilgang:

Horisontale standarder - EN 40000-serien

Horisontale standarder gælder på tværs af produktkategorier for alle produkter med digitale elementer. De udvikles af CEN/CENELEC og definerer:

  • prEN 40000-1-1 (ordforråd): samlet terminologi for hele standardfamilien
  • prEN 40000-1-2 (principper for Cyber Resilience): fire grundlæggende principper (risikobaseret tilgang, sikkerhed ved design, sikker som standard, transparens) plus seks risikostyringselementer og elleve cybersikkerhedsaktiviteter på tværs af produktets livscyklus

Andre planlagte horisontale standarder:

  • Generiske sikkerhedskrav (kontrolkatalog)
  • Sårbarheds håndteringskrav

Vertikale standarder - ETSI EN 304 6xx-serien

Vertikale standarder specificerer de horisontale krav for specifikke produktkategorier. ETSI offentliggjorde første udkast i september 2025:

  • EN 304 618: Adgangskodestyringssystemer
  • EN 304 619: Antivirus
  • EN 304 623: Boot managers
  • EN 304 625: Netværksgrænseflader
  • EN 304 626: Operativsystemer
  • EN 304 627: Routere, modemer, switches
  • EN 304 635: Virtualisering og containere

Disse standarder følger en konsistent fire-trins struktur:

  1. Anvendelsestilfælde: realistiske implementeringsscenarier og brugsmønstre
  2. Trusler og risikoovervejelser: produktspecifik trusselanalyse og risikotoleranceklassificering
  3. Afbødende foranstaltninger: kapacitetsbaserede betingelser og specifikke sikkerhedsforanstaltninger
  4. Vurdering: objektive testkriterier og afkrydsningskrav

Udkastene er tilgængelige på ETSI's åbne konsultationsplatform for offentlige kommentarer.

Kun kombinationen af begge standardtyper skaber formodningen om fuld CRA-overensstemmelse:

  • Horisontale standarder definerer den overordnede ramme
  • Vertikale standarder konkretiserer dette for specifikke produktkategorier
  • Producenter skal adressere begge niveauer

Bilag A til EN 40000-1-2 giver vertikale standarder eksplicit vejledning for at sikre kohærens med den horisontale ramme.

Yderligere information

  • EN 40000 standardserie i detaljer
  • ETSI udkast standarder for CRA

Overensstemmelse med CRA

Cyber Resilience Act etablerer et omfattende system til vurdering og sikring af overensstemmelse af produkter med digitale elementer. Systemet har til formål at sikre et højt niveau af cybersikkerhed og robusthed på tværs af EU's indre marked. Konformitetsvurdering er et centralt element i CRA og varierer i henhold til produktets risikokklassificering og kritiskhed.

Hvilken konformitetsvurderingsprocedure der kræves, afhænger af produktets risikoniveau.

Produkter med digitale elementer

Produkter med digitale elementer (artikel 6) er basiskategorien. Disse produkter skal opfylde grundkravene fra bilag I, del I, og deres fremstillingsprocesser skal overholde bilag I, del II. Ingen specifikke konformitetsvurderingsprocedurer er foreskrevet for denne kategori, men producenter skal sikre, at deres produkter opfylder sikkerhedskrav, når de er korrekt installeret, vedligeholdt og brugt som tilsigtet.

Vigtige produkter

Vigtige produkter med digitale elementer (artikel 7) udgør den anden kategori. Disse produkter defineres af kernefunktionaliteter svarende til kategorier anført i bilag III. De skal gennemgå specifikke konformitetsvurderingsprocedurer for at sikre overensstemmelse med væsentlige cybersikkerhedskrav.

Vigtige produktkategorier er opdelt i klasse I og klasse II som angivet i bilag III. Klasserne er baseret på:

  • Klasse I: produkter kritiske for cybersikkerhed, herunder autentificering, indtrængningsforebyggelse, endpoint-sikkerhed, osv.
  • Klasse II: produkter, der udgør en betydelig risiko for negative effekter, såsom netværksstyring, konfigurationskontrol, virtualisering eller behandling af persondata.

For vigtige klasse I-produkter: hvis harmoniserede standarder eller europæiske certificeringsordninger for cybersikkerhed ikke anvendes eller kun delvist anvendes, skal produktet og dets fremstillingsprocedurer enten gennemgå en EU-typeundersøgelse (modul B) sammen med intern produktionskontrol (modul C) eller en konformitetsvurdering baseret på omfattende kvalitetssikring (modul H).

For vigtige klasse II-produkter skal producenten demonstrere overensstemmelse med grundkrav gennem lignende procedurer eller, hvor relevant, gennem en europæisk cybersikkerhedscertificering under Cybersecurity Act. Integreringen af et sådant produkt i et andet produkt underkaster ikke automatisk sidstnævnte de samme procedurer.

Kritiske produkter

Den tredje kategori dækker kritiske produkter med digitale elementer (artikel 8). Disse produkter defineres af delegerede retsakter fra Kommissionen og skal have kernefunktionaliteter anført i bilag IIIa.

Kritiske produkter skal opnå et europæisk cybersikkerhedscertifikat under Cybersecurity Act med et sikkerhedsniveau på substantielt eller højere. Kriterier for identifikation af disse produkter inkluderer kritisk afhængighed af væsentlige enheder og potentialet for alvorlig forstyrrelse af kritiske forsyningskæder på tværs af det indre marked.

Bilag III kan ændres ved delegerede retsakter for at tilføje eller ændre kategorier af vigtige produkter baseret på deres cybersikkerhedsfunktioner og risici. Påvirkninger på markedet og medlemsstaternes parathed til at indføre certificeringssystemer skal overvejes.

For kritiske produkter (artikel 6a) kan Kommissionen vedtage delegerede retsakter, der bestemmer, hvilke produkter der kræver et europæisk cybersikkerhedscertifikat, og det passende sikkerhedsniveau, der matcher cybersikkerhedsrisiciene og den tilsigtede brug.

Konformitetsvurderingsprocedurer i CRA

CRA tilbyder forskellige konformitetsvurderingsprocedurer for at sikre, at produkter opfylder de væsentlige krav i bilag I:

Intern kontrol

Den enkleste procedure, hvor producenten verificerer og dokumenterer produktoverensstemmelse internt (bilag VIII, modul A).

EU-typeundersøgelse

En uafhængig undersøgelse af produktdesignet af et bemyndiget organ efterfulgt af intern produktionskontrol af producenten (bilag VIII, moduler B og C). Dette er specifikt tiltænkt vigtige klasse I-produkter, når harmoniserede standarder, fælles specifikationer eller europæiske cybersikkerhedscertificeringer ikke er fuldt anvendt eller fraværende.

Omfattende kvalitetssikring

Under en konformitetsvurdering baseret på omfattende kvalitetssikring (bilag VIII, modul H) påtager et bemyndiget organ sig omfattende kvalitetskontrol af fremstillingsprocessen.

Europæisk cybersikkerhedscertificering

For kritiske produkter anført i bilag IV kræves certificering under Cybersecurity Act for at demonstrere overensstemmelse med de væsentlige krav, hvor tilgængelig og anvendelig (artikel 8(1)). Certificeringen skal opnå mindst et "substantielt" sikkerhedsniveau og kan involvere et bemyndiget organ afhængigt af den valgte certificering og beskyttelsesprofil.

I øjeblikket er EUCC (EU Cybersecurity Certification Scheme on Common Criteria) den første ordning under Cybersecurity Act, baseret på ISO/IEC 15408 (Common Criteria). Den er særligt egnet til sikkerhedskritiske produkter som firewalls eller kryptografiske enheder. Yderligere sektorspecifikke certificeringsordninger er under udvikling.

Mere information om de individuelle konformitetsvurderingsprocedurer kan findes i vores artikel om CE-mærkning.

Valg af konformitetsvurderingsprocedure

Produkter i alle kategorier - ikke-kritiske, vigtige (klasse I og II) og kritiske - kan potentielt certificeres under lovens cybersikkerhedscertificeringssystem. For vigtige produkter ikke dækket af harmoniserede standarder og for kritiske produkter, der mangler en anvendelig certificeringsordning, kræves involvering af et bemyndiget organ (moduler B+C eller H). Den interne produktionskontrolmetode (modul A) gælder primært for ikke-kritiske produkter og for vigtige klasse I-produkter kun hvor en harmoniseret standard er blevet omfattende anvendt.

Følgende diagram illustrerer beslutningsprocessen for at vælge den passende CRA-procedure.

Denne distinction sikrer, at niveauet af gennemgang og vurdering står mål med produktkategoriens cybersikkerhedsrisiko.

Produkttype Intern kontrol (modul A) EU-typeundersøgelse (moduler B+C) Omfattende kvalitetssikring (modul H) Cybersikkerhedscertifikat
Ikke-kritisk
Vigtig - klasse I (bilag III) (✓)1)
Vigtig - klasse II (bilag III)
Kritisk (bilag IV) (✓)2) (✓)2)
  1. Brug af harmoniseret standard er påkrævet for at opnå fuld overensstemmelse.
  2. Kun muligt, hvis ingen delegeret retsakt er blevet vedtaget, der påbyder et certifikat for produktkategorien.

Nuværende status og CRA-overgangsperioder

Cyber Resilience Act (CRA) blev offentliggjort i Den Europæiske Unions Tidende den 20. november 2024. Overgangsperioder i kort oversigt:

  • 20.11.2024: Offentliggørelse af CRA i OJEU
  • 10.12.2024: CRA træder i kraft
  • 11.06.2026: Krav til konformitetsvurderingsorganer
  • 11.09.2026: Rapporteringsforpligtelser for producenter
  • 11.12.2027: Fuld anvendelighed

Den endelige tekst af CRA er tilgængelig i Den Europæiske Unions Tidende (eur-lex link).

Parallelt med CRA-implementering udvikles harmoniserede standarder:

  • Oktober 2025: Første horisontale standarder (EN 40000-1-1 og EN 40000-1-2) i CEN-forespørgselsproceduren
  • September 2025: Første vertikale ETSI-standarder (EN 304 6xx-serien) til offentlig konsultation
  • Igangværende: Yderligere produktspecifikke standarder under udvikling

De endelige harmoniserede standarder vil blive refereret i OJEU og derefter give en formodning om overensstemmelse med de væsentlige cybersikkerhedskrav.

Hyppigt stillede spørgsmål om CRA

Har du yderligere spørgsmål om Cyber Resilience Act? I vores detaljerede FAQ-artikel (Cyber Resilience Act FAQ) besvarer vi de vigtigste spørgsmål om den nye EU-forordning. Fra anvendelsesområde og deadlines til specifikke krav til opdateringer og konformitetsvurdering - find alt, hvad du har brug for til praktisk CRA-implementering, herunder konkrete anbefalinger til virksomheder, der forbereder sig på de kommende krav.

Link til bidraget: Häufige Fragen zum Cyber Resilience Act (Cyber Resilience Act FAQ)

Support til CRA-implementering

Med Cyber Resilience Act skaber EU for første gang en samlet ramme for cybersikkerheden af digitale produkter - fra operativsystemer gennem forbundne enheder til industrielle kontrolsystemer. Producenter er påkrævet systematisk at integrere sikkerhedskrav i produktudvikling, aktivt styre sårbarheder og demonstrere overensstemmelse.

Secuvi støtter virksomheder i at overføre CRA-krav til eksisterende processer og produkter. Vi hjælper med konsekvensanalyser, udvikler praktiske implementeringsstrategier og ledsager tekniske, organisatoriske og dokumentationsforanstaltninger op til markedsgodkendelse.

Vi støtter også praktisk anvendelse af de harmoniserede standarder - fra implementering af risikostyringsrammen ifølge EN 40000-1-2 til opfyldelse af produktspecifikke krav fra ETSI-standarderne og forberedelse af teknisk dokumentation til konformitetsvurdering.

Yderligere information om CRA-implementering kan findes på: secuvi.com