Alla produkter med digitala element behöver cybersäkerhet. CRA gör det till lag.
Tillverkar ni något med mjukvara, firmware eller nätverksanslutning? Då gäller CRA er. Rapporteringskrav från september 2026, full efterlevnad december 2027. ISO 27001 ger er grunden. AmpliFlow ger er verktygen.
Vad räknas som "digitala element"?
Kort svar: nästan allt modernt. Om er produkt innehåller mjukvara, firmware eller kan ansluta till ett nätverk, då omfattas den av CRA. Det skapar helt nya krav för tillverkare.
Obligatorisk säkerhet för alla digitala produkter
CRA gäller alla produkter med digitala element som säljs på EU-marknaden. Från konsumentprodukter till industriell mjukvara. Undantag finns för medicintekniska produkter, motorfordon och försvarsprodukter.
Sårbarhetshantering genom hela livscykeln
Tillverkare måste hantera säkerhetsbrister under hela supportperioden, minst fem år, eller kortare om produktens förväntade livstid understiger det.
Rapportering till ENISA och nationell CSIRT inom 24 timmar
Aktivt utnyttjade sårbarheter ska rapporteras simultant till ENISA och er nationella CSIRT inom 24 timmar. Ni behöver processer som klarar det tempot.
SBOM för hela leveranskedjan
Software Bill of Materials blir obligatorisk. Tredjepartskomponenter i era produkter ska dokumenteras, åtminstone på toppnivå.
Vad CRA kräver av tillverkare
De viktigaste skyldigheterna som tillverkare av digitala produkter måste uppfylla.
Säkerhet by design
Produkter ska utformas med cybersäkerhet som grundprincip. Säkerhetskrav integreras redan i designfasen, inte som eftertanke.
Sårbarhetshantering
Identifiera och åtgärda sårbarheter under hela supportperioden med koordinerad sårbarhetshantering och regelbundna säkerhetstester.
Incidentrapportering
Aktivt utnyttjade sårbarheter rapporteras simultant till ENISA och nationell CSIRT: tidig varning inom 24 timmar, uppföljande notifiering inom 72 timmar och slutrapport inom 14 dagar efter att en åtgärd finns tillgänglig. Allvarliga incidenter har samma tidsfrister men slutrapporten ska lämnas inom en månad.
Software Bill of Materials (SBOM)
Varje produkt ska ha en SBOM i ett vanligt förekommande maskinläsbart format som dokumenterar åtminstone toppnivåns beroenden.
CE-märkning för cybersäkerhet
CE-märkningen utvidgas till att omfatta cybersäkerhetskrav. Utan CE-märkning, ingen försäljning på EU-marknaden.
Fem års supportåtagande
Tillverkare ska tillhandahålla kostnadsfria säkerhetsuppdateringar under en supportperiod som speglar produktens förväntade livstid: minst fem år, eller kortare om produkten förväntas användas kortare tid.
ISO 27001 täcker merparten av CRA-kraven
Ett strukturerat ledningssystem för informationssäkerhet ger er grunden för CRA-efterlevnad. Riskbedömning, incidenthantering, leverantörskontroll och dokumenterade policyer. Allt som CRA kräver finns redan i ISO 27001-ramverket.
- Riskbedömning av informationstillgångar inklusive produktsäkerhet
- Incidenthantering med definierade roller och tidsgränser
- Leverantörskontroll och kravställning på tredjepartskomponenter
- Dokumenterade säkerhetspolicyer samlade på ett ställe
- Intern revision som verifierar att kontroller fungerar
CRA
Produkter med digitala element
Reglerar hårdvara och mjukvara som säljs på EU-marknaden. Kräver säkerhet by design, SBOM och sårbarhetsrapportering.
NIS2 / Cybersäkerhetslagen
Organisationer och tjänster
Reglerar organisationer som levererar samhällsviktiga tjänster. I Sverige genom cybersäkerhetslagen (SFS 2025:1506) sedan januari 2026. Kräver riskhantering, incidentrapportering och ledningsansvar.
De kompletterar varandra. Många företag behöver följa båda.
Så stödjer AmpliFlow er CRA-resa
Befintliga moduler som hjälper er bygga grunden för CRA-efterlevnad.
Sidor (wiki)
Samla säkerhetspolicyer, SBOM-dokumentation och teknisk dokumentation på ett ställe. Era utvecklare genererar SBOM-filer. AmpliFlow ser till att rätt version är godkänd, publicerad och tillgänglig vid revision.
Riskbedömning
Kartlägg produktrisker, koppla dem till konkreta åtgärder och följ upp att åtgärderna faktiskt minskar risken. CRA kräver riskbaserad säkerhet, och det börjar med en process som håller ihop hela kedjan från identifiering till verifiering.
Avvikelsehantering
När en sårbarhet upptäcks behöver ni spåra den från rapportering till rotorsaksanalys till verifierad åtgärd, med tidsstämplar hela vägen. Det är precis vad revisorer och ENISA vill se.
Leverantörsregister
Håll koll på vilka tredjepartskomponenter som finns i era produkter och vilka leverantörer som står bakom dem. Ställ krav, följ upp och dokumentera. CRA gör er ansvariga för hela leveranskedjan.
Revisionshantering
Planera bedömningar av överensstämmelse, dokumentera resultat och följ upp med åtgärder. När det notifierade organet kommer på besök har ni evidensen redo.
Lagkravsregister
Koppla CRA-krav till era processer och kontroller. Se vilka krav som är uppfyllda, vilka som har luckor och vem som ansvarar för att täppa till dem.
Vad ni vinner med strukturerat CRA-arbete
Konkreta fördelar med att förbereda er systematiskt.
Strukturerad säkerhetslivscykel
Bygg en systematisk process för produktsäkerhet, från design till avveckling. Dokumenterat och spårbart.
Spårbar sårbarhetshantering
Varje sårbarhet dokumenteras med tidslinje, åtgärder och verifiering. Full spårbarhet för revisorer.
Dokumenterad efterlevnad
All evidens samlad på ett ställe. Visa att ni uppfyller CRA-kraven med strukturerad dokumentation.
Planerade bedömningar
Schemalägg bedömningar av överensstämmelse strukturerat. Var förberedda när det är dags för granskning.
Frågor och svar om CRA
Vad är Cyber Resilience Act (CRA)?
CRA (förordning (EU) 2024/2847) är EU:s förordning för cybersäkerhet i produkter med digitala element. Den ställer krav på tillverkare, importörer och distributörer av hårdvara och mjukvara som säljs på EU-marknaden. Syftet är att säkerställa att digitala produkter är säkra under hela supportperioden.
Vilka produkter omfattas av CRA?
CRA gäller alla produkter med digitala element som placeras på EU-marknaden, både hårdvara och mjukvara. Det inkluderar allt från IoT-enheter och nätverksutrustning till operativsystem och mobilappar. Produkterna delas in i kategorier: Standardprodukter (egenbedömning), Viktiga klass I och II (tredjepartsgranskning kan krävas) samt Kritiska produkter (EU-certifiering).
Vilka sanktioner riskerar företag som inte följer CRA?
Bristande efterlevnad kan leda till böter på upp till 15 miljoner euro eller 2,5 % av den globala årsomsättningen, beroende på vilket belopp som är högst. Dessutom kan produkter dras tillbaka från EU-marknaden.
Hur hjälper ISO 27001 med CRA-efterlevnad?
ISO 27001 ger er ett strukturerat ramverk för informationssäkerhet som överlappar med många CRA-krav: riskbedömning, incidenthantering, säkerhetspolicyer och leverantörskontroll. Ett certifierat ledningssystem för informationssäkerhet visar att ni arbetar systematiskt med säkerhet, vilket underlättar CRA-efterlevnad avsevärt.
Hur påverkas öppen källkod av CRA?
CRA innehåller ett begränsat undantag för öppen källkod som utvecklas utan kommersiellt syfte. Om öppen källkod integreras i en kommersiell produkt ansvarar dock tillverkaren av slutprodukten för att CRA-kraven uppfylls. Kommersiella open source-företag omfattas fullt ut av förordningen.
Vilken tidslinje gäller för CRA?
CRA trädde i kraft den 10 december 2024. Rapporteringskrav för sårbarheter gäller från september 2026. Krav på bedömningsorgan gäller från 11 juni 2026. Full tillämpning av alla krav sker den 11 december 2027. Tillverkare bör påbörja förberedelserna nu.
Vad är skillnaden mellan CRA och NIS2?
CRA reglerar produkter med digitala element, det vill säga hårdvara och mjukvara som säljs på marknaden. NIS2 reglerar organisationer som levererar samhällsviktiga tjänster - i Sverige genom cybersäkerhetslagen (SFS 2025:1506) som gäller sedan januari 2026. De kompletterar varandra: CRA ser till att produkterna är säkra, cybersäkerhetslagen ser till att organisationerna som använder dem har rätt processer. Många företag behöver följa båda.
Börja förbereda er för CRA nu
Boka en demo så visar vi hur AmpliFlow kan hjälpa er bygga grunden för CRA-efterlevnad med ISO 27001.