Inga produkter i varukorgen.
Nya cyberlagen kan göra din produkt olaglig: ”Många har ingen aning”
LAGSTIFTNING Cyber Resilience Act kan bli en kalldusch för svenska techbolag, enligt Ted Strandberg, cybersäkerhetsexpert på RISE. Redan i september börjar rapporteringskraven gälla. Bolag som missar kraven riskerar höga böter.
Ted Strandberg. Foto: Rise och Adobe stock.
I september börjar de första kraven i EU:s Cyber Resilience Act att gälla. Ändå är medvetenheten bland svenska techbolag låg.
Någonting är fel
Du är inloggad som prenumerant hos förlaget Pauser Media, men nånting är fel. På din profilsida ser du vilka av våra produkter som du har tillgång till. Skulle uppgifterna inte stämma på din profilsida – vänligen kontakta vår kundtjänst.
Techtidningen premium
Läs vidare – starta din prenumeration
Redan prenumerant? Logga in och läs vidare.
Majoriteten av de bolag jag träffar säger: vad är det för något? Och sedan börjar man prata om det och så visar det sig att reglerna i högsta grad berör deras produkter, säger Ted Strandberg cybersäkerhetsexpert på RISE.
Den 11 september 2026 börjar rapporteringskraven gälla. Tillverkare av produkter med digitala element måste då lämna en första varning om aktivt utnyttjade sårbarheter och allvarliga säkerhetsincidenter inom 24 timmar. En mer utförlig rapport skall följa inom 72h
Den 11 december 2027 börjar huvudkraven i förordningen tillämpas fullt ut, med krav på säker produktutveckling, sårbarhetshantering, CE-märkning och dokumenterade supportperioder.
Träffar brett – också underleverantörer
CRA gäller i princip alla produkter med digitala element: it-produkter, industrimaskiner, IoT-enheter och konsumentelektronik. Bolagets storlek spelar ingen roll.
– Det finns ett syfte med det. Säljer ett litet bolag billiga och enkla produkter i stora volymer har de stor påverkan på säkerheten, säger han.
Också underleverantörer och bolag som bygger in tredjepartskomponenter eller öppen källkod i kommersiella produkter påverkas. Den som köper in en komponent ansvarar för att den uppfyller kraven och måste i sin tur kunna visa det för sina kunder.
– De som inte kan visa att de uppfyller kraven kommer att väljas bort i upphandlingar. Det blir en del av erbjudandet att ha det på plats, säger han.
Rapportering under pågående attack
En av de viktigaste delarna i förordningen är rapporteringskravet som börjar gälla i september. Vid en incident eller en aktivt utnyttjad sårbarhet måste tillverkaren kunna agera snabbt, ofta samtidigt som organisationen hanterar ett pågående angrepp.
– Du behöver ha förberett allting. I princip ha skrivit en mall så att du bara får iväg det och kan fokusera på annat, säger han.
Den som inte uppfyller kraven riskerar böter på upp till 2,5 procent av den globala omsättningen eller 15 miljoner euro, beroende på vilket belopp som är högst. Till det kommer badwill och risken för stillestånd eller säljstopp.
– Får man en incident kan det gå på en sekund. Sedan får man böter, badwill och systemet ligger nere. Tre faktorer på samma gång, säger han.
Standarderna är inte satta – men det går att börja
En osäkerhetsfaktor är att de tekniska standarderna kopplade till CRA ännu inte är fastslagna. RISE-experten menar ändå att det inte är ett skäl att avvakta.
– Det finns befintliga standarder med liknande krav som går att använda tills de nya är klara.
Hans råd till bolag som ännu inte kommit i gång är att ta kontakt med en tredjepartsgranskare, gå utbildning i relevanta standarder och börja med dokumentationsarbetet.
– Det viktigaste är att bara köra i gång, säger han.
Fakta
Fem första steg inför CRA:
- Kartlägg vilka produkter med digitala element som omfattas.
- Utse internt ansvar för CRA-frågan.
- Ta fram rutiner för incident- och sårbarhetsrapportering.
- Dokumentera säkerhetsarbetet genom produktens livscykel.
- Se över leverantörer, tredjepartskomponenter och upphandlingskrav.
