EN SV
legislation

Vigtigste spørgsmål og svar om Cyber Resilience Act

11 minutters læsning
Vigtigste spørgsmål og svar om Cyber Resilience Act

Alle nøglespørgsmål om Cyber Resilience Act (CRA) klart besvaret. Lær hvad EU-forordningen betyder for din virksomhed og hvordan du kan forberede dig.

Generelt

Hvad er Cyber Resilience Act?

Cyber Resilience Act (CRA) er en EU-forordning, der sætter minimumskrav til cybersikkerheden af produkter (hardware og software). Målet er at gøre produkter mere sikre og derved bedre beskytte forbrugere og virksomheder mod cyberangreb.

Hvad betyder Cyber Resilience Act?

Cyber Resilience Act definerer sikkerhedskrav til produkter med digitale elementer. Formålet er at sikre, at produkter opfylder grundlæggende cybersikkerhedsstandarder fra udvikling gennem slutningen af deres livscyklus.

Hvorfor findes Cyber Resilience Act?

Cyber Resilience Act blev introduceret for at forbedre cybersikkerheden af produkter med digitale elementer inden for EU. Det sigter mod at adressere den voksende trussel fra cyberangreb, som ofte muliggøres af utilstrækkeligt sikrede produkter.

Er Cyber Resilience Act en forordning eller et direktiv?

CRA er en forordning. Dette betyder, at CRA gælder direkte i alle EU-medlemsstater uden at disse stater skal transponere den til national lovgivning.

Sammenligning med andre EU-rammer

Cyber Resilience Act vs NIS2

Cyber Resilience Act (CRA) og NIS 2 direktivet har forskellige fokus:

  • CRA fokuserer på cybersikkerheden af produkter med digitale elementer og sætter krav til producenter, importører og distributører.
  • NIS 2 målretter derimod virksomheder og organisationer i kritiske og væsentlige sektorer, såsom energi eller sundhed, og kræver organisatoriske og tekniske sikkerhedsforanstaltninger.

Mens CRA gælder direkte som en forordning, skal NIS 2 transponeres til national lovgivning. Begge rammer supplerer hinanden ved at styrke produktsikkerhed og organisatorisk sikkerhed.

Cyber Resilience Act vs DORA (Digital Operational Resilience Act)

Cyber Resilience Act (CRA) og Digital Operational Resilience Act (DORA) adskiller sig i fokus og omfang:

  • CRA koncentrerer sig om cybersikkerheden af produkter med digitale elementer. Den sætter krav til producenter, importører og distributører for at sikre, at disse produkter er sikkert udviklet, drevet og vedligeholdt. Målet er at forbedre sikkerheden på tværs af alle industrier, der bruger sådanne produkter.
  • DORA er derimod specifikt rettet mod den finansielle sektor. Den regulerer den digitale operationelle resiliens af finansielle institutioner såsom banker, forsikringsselskaber og betalingstjenesteudbydere. DORA sigter mod at minimere risici relateret til cyberangreb og IT-udfald og inkluderer klare krav til IT-risikostyring og hændelsesrapportering.

Mens CRA er tværgående på tværs af industrier, er DORA designet specifikt til den finansielle sektor. Begge supplerer hinanden ved at adressere forskellige aspekter af cybersikkerhed.

Cyber Resilience Act vs Cybersecurity Act

Cyber Resilience Act (CRA) og Cybersecurity Act (CSA) har forskellige vægt:

  • CRA sætter cybersikkerhedskrav til produkter med digitale elementer. Den forpligter producenter til at følge sikre udviklingsprocesser, at afhjælpe sårbarheder og at levere sikkerhedsopdateringer. Formålet er at øge produktsikkerheden på tværs af EU.
  • Cybersecurity Act skaber derimod rammerne for europæisk cybersikkerhedscertificering. Den opstiller generelle regler og krav til certificeringsordninger, såsom EUCC-ordningen baseret på Common Criteria, og styrker rollen for EU-agenturet ENISA.

Mens CRA definerer obligatoriske sikkerhedskrav til produkter, fokuserer CSA på frivillige certificeringer for at vurdere cybersikkerheden af produkter, tjenester og processer.

Tidslinje, ikrafttræden og overgangsperioder

Er Cyber Resilience Act i kraft?

Cyber Resilience Act (CRA) trådte i kraft den 10. december 2024.

Hovedforpligtelserne, såsom overholdelse af cybersikkerhedskrav og CE-mærkning, bliver obligatoriske fra 11. december 2027. Visse bestemmelser, især rapporteringsforpligtelserne for sårbarheder, gælder allerede fra 11. september 2026. Disse trinvise overgangsperioder er beregnet til at give markedsaktørerne tilstrækkelig tid til at implementere de nye krav.

Hvornår trådte Cyber Resilience Act i kraft?

Cyber Resilience Act (CRA) trådte i kraft den 10. december 2024. Dog bliver de fleste krav først obligatoriske fra 11. december 2027.

Hvornår træder Cyber Resilience Act i kraft?

Cyber Resilience Act (CRA) trådte i kraft den 10. december 2024. De fleste krav, såsom implementeringen af cybersikkerhedsforanstaltninger, gælder først fra 11. december 2027.

Hvornår skal Cyber Resilience Act være implementeret?

Bestemmelserne i Cyber Resilience Act (CRA) skal være implementeret senest den 11. december 2027, da alle krav bliver bindende fra denne dato. For rapporteringsforpligtelsen for sårbarheder gælder en tidligere deadline: denne træder i kraft den 11. september 2026.

Anvendelsesområde

Hvilke produkter falder under Cyber Resilience Act?

Cyber Resilience Act (CRA) gælder for alle produkter med digitale elementer, der bringes på markedet inden for EU. Dette inkluderer både hardware og software, uanset om de er beregnet til forbrugere eller virksomheder.

Der er undtagelser for visse produkter, der allerede falder under andre specifikke EU-forordninger, såsom medicinsk udstyr eller køretøjer, fordi deres cybersikkerhedskrav reguleres separat.

Er der undtagelser til Cyber Resilience Act?

CRA gælder ikke for produkter, der allerede er underlagt specifikke cybersikkerhedskrav under andre EU-regler. Disse inkluderer blandt andre:

  • Medicinsk udstyr (reguleret af forordningen om medicinsk udstyr)
  • Køretøjer (dækket af typegodkendelsesforordningerne)
  • Luftfartsprodukter
  • Militære produkter

Disse undtagelser undgår dobbelt regulering, da disse produkter allerede skal opfylde cybersikkerhedskrav under deres egne sektorspecifikke regler.

Gælder Cyber Resilience Act også for radioudstyr?

Cyber Resilience Act (CRA) gælder også for radioudstyr, når disse produkter inkluderer digitale elementer. I øjeblikket gælder kravene i CRA og Radio Equipment Directive (RED) parallelt, da begge indeholder cybersikkerhedsbestemmelser.

Dog er det planlagt, at CRA skal erstatte cybersikkerhedskravene i RED for at skabe en samlet regulering for produkter med digitale elementer.

Gælder Cyber Resilience Act for små og mellemstore virksomheder (SMV'er)?

Cyber Resilience Act (CRA) gælder for alle virksomheder, herunder små og mellemstore virksomheder (SMV'er), der fremstiller, importerer eller distribuerer produkter med digitale elementer i EU. Der er ingen generelle undtagelser for SMV'er. Dog tager CRA højde for de mindre virksomheders behov og sigter mod at minimere den administrative byrde for dem.

Gælder Cyber Resilience Act for udenlandske virksomheder?

Ja, Cyber Resilience Act (CRA) gælder også for udenlandske virksomheder, hvis de bringer produkter med digitale elementer på EU-markedet. Disse virksomheder skal opfylde de samme krav som EU-producenter for at sikre, at deres produkter overholder CRA.

Desuden er importører og distributører inden for EU ansvarlige for at sikre, at produkter fra uden for EU er kompatible. Udenlandske producenter, der distribuerer produkter direkte, skal muligvis udpege en autoriseret repræsentant i EU, som fungerer som kontakt for overholdelse af forordningerne.

Gælder Cyber Resilience Act for distributører og online markedspladser?

Ja, Cyber Resilience Act (CRA) gælder også for distributører og online markedspladser, hvis de distribuerer produkter med digitale elementer i EU. Disse aktører er ansvarlige for at sikre, at de produkter, de sælger, overholder CRA-kravene.

Distributører skal især kontrollere, om produkter bærer CE-mærkning, er ledsaget af en EU-overensstemmelseserklæring og inkluderer den påkrævede sikkerhedsinformation.

Gælder Cyber Resilience Act for software og softwareprodukter?

Ja, Cyber Resilience Act (CRA) gælder eksplicit også for software og softwareprodukter, hvis de leveres i EU. Dette inkluderer for eksempel operativsystemer, applikationssoftware, middleware og endda open-source software, når den distribueres kommercielt.

Gælder Cyber Resilience Act for open-source software?

Cyber Resilience Act (CRA) gælder ikke for ren open-source software, der leveres uden direkte kommerciel hensigt. Dette betyder, at software udviklet af frivillige og gjort tilgængelig gratis generelt ikke er dækket af CRA.

Dog hvis open-source software bruges i en kommerciel kontekst - for eksempel som en del af et produkt, der sælges, eller hvor supporttjenester eller andre betalte tjenester tilbydes - gælder CRA-kravene. I dette tilfælde er udbyderen af slutproduktet ansvarlig for at opfylde cybersikkerhedskravene.

Yderligere information om emnet er tilgængelig i vores artikel Der Cyber Resilience Act und seine Auswirkungen auf Open-Source-Software.

Overensstemmelse

Hvilke kategorier skelner Cyber Resilience Act mellem?

Cyber Resilience Act (CRA) skelner produkter med digitale elementer udelukkende efter den gældende konformitetsvurderingsprocedure. De tekniske og proceduremæssige krav er identiske for alle produkter.

Kategorierne er:

  • Generelle produkter
  • Vigtige produkter - Klasse I
  • Vigtige produkter - Klasse II
  • Kritiske produkter

Detaljer om de individuelle kategorier og tilknyttede konformitetsvurderingsprocedurer kan findes i vores artikel om Cyber Resilience Act.

Hvordan involveres konformitetsvurderingsorganer?

Konformitetsvurderingsorganer involveres under Cyber Resilience Act (CRA) for visse kategorier af produkter for at verificere overholdelse af cybersikkerhedskravene. Dette vedrører produkter, hvor producentens selvvurdering ikke er tilstrækkelig.

Deres involvering sker især for:

  • Vigtige produkter - Klasse II
  • Kritiske produkter

I disse tilfælde gennemgår et notificeret organ den tekniske dokumentation og, om nødvendigt, selve produktet, før det kan bringes på markedet. Flere detaljer om konformitetsvurderingsprocedurerne er tilgængelige i vores artikel om Cyber Resilience Act.

Opdateringer

Skal jeg levere opdateringer til mine produkter?

Ja, Cyber Resilience Act (CRA) forpligter producenter til at levere opdateringer til deres produkter med digitale elementer for at lukke sikkerhedshuller.

Kravene er:

  • Leveringsperiode: Producenter skal levere sikkerhedsopdateringer i en periode på mindst fem år efter produktet er bragt på markedet eller for hele den forventede levetid for produktet, hvis denne er kortere.
  • Gennemsigtighed: Kunder skal informeres om tilgængeligheden af sikkerhedsopdateringer og deres installation.
  • Sikkerhedskritiske opdateringer: Sikkerhedsopdateringer skal leveres prompte og uden unødig forsinkelse.

Opdateringer er et centralt element i CRA og tjener til at sikre langsigtet sikkerhed og integritet af produkter.

Kan jeg tage betaling for mine opdateringer?

I princippet må der under Cyber Resilience Act (CRA) ikke tages yderligere omkostninger for sikkerhedsopdateringer. Sikkerhedsopdateringer, der leveres for at afhjælpe identificerede sårbarheder, skal leveres prompte og gratis.

Dog for et tilpasset produkt med digitale elementer kan en anden aftale laves mellem producenten og den kommercielle bruger. I dette tilfælde kan omkostninger til sikkerhedsopdateringer aftales, hvis dette er eksplicit reguleret kontraktuelt.

Implementering

Hvordan kan jeg forberede mig på Cyber Resilience Act?

For at forberede sig på Cyber Resilience Act (CRA) bør producenter tage følgende skridt:

  • Analysere produktkategorien: Bestem hvilken kategori dine produkter falder i (generel, vigtig, kritisk) og hvilken konformitetsvurderingsprocedure der gælder.
  • Justere processer: Implementer en sikker produktudviklingsproces, der opfylder CRA-kravene (for eksempel ifølge IEC 62443-4-1).
  • Opfylde tekniske krav: Implementer sikkerhedsfeatures baseret på en risikovurdering for effektivt at adressere potentielle trusler.
  • Forberede teknisk dokumentation: Opret den nødvendige dokumentation og beviser, der skal gennemgås som en del af konformitetsvurderingsproceduren.

Hvis du har brug for støtte til at forberede dig på CRA, hjælper vi gerne med vores ekspertise, hvad enten det drejer sig om procesimplementering, teknisk implementering eller dokumentation. Kontakt os for en uforpligtende indledende konsultation.

Hvad sker der, hvis jeg ikke overholder Cyber Resilience Act?

Manglende overholdelse af Cyber Resilience Act (CRA) kan have betydelige konsekvenser, herunder:

  • Salgsforbud: Produkter, der ikke opfylder CRA-kravene, må ikke sælges eller bringes på markedet i EU.
  • Tilbagekaldelse eller markedstilbagetrækning: Produkter allerede på markedet kan tilbagekaldes eller fjernes fra markedet af de kompetente myndigheder, hvis de ikke overholder forordningerne.
  • Bøder: CRA foreskriver betydelige bøder, som kan afhænge af overtrædelsens alvor. Maksimumstraffen er op til 15 millioner euro eller 2,5% af global årlig omsætning, alt efter hvilken mængde der er højest.

For at undgå disse risici er det essentielt at tage tidlige skridt for at opfylde CRA-kravene. Vi hjælper gerne dig med implementering og med at forberede konformitetsvurderingen. Kontakt os for en uforpligtende indledende konsultation.