En skyldighet som kickar igång i år
Om du har hört talas om CRA och kanske till och med tittat lite på vad det är för reglering, så har du kanske sett att reglerna börjar gälla från december 2027, och bara för nya produkter som sätts på marknaden därefter, eller för befintliga produkter som är föremål för en så kallad ”väsentlig ändring” efter dess. Många har dock missat att det finns en skyldighet som kickar in redan till sensommaren i år. Nämligen skyldigheten att rapportera sårbarheter och incidenter som börjar gälla 11 september 2026 och gäller alla produkter, även sådana som är introducerade på marknaden för länge sen.
Men du kan vara lugn, det finns möjlighet att få stöd, i varje fall om ni är ett mindre företag. Läs i slutet om det så kallade SECURE-projektet där man kan få ekonomiskt stöd på upp till 30 000 euro.
Vad är CRA?
Vi börjar med vad CRA är. CRA handlar om att se till att så kallade PDE-produkter – produkter med digitala element (dvs. i princip all mjukvara och all hårdvara som, direkt eller indirekt, kan kopplas upp mot ett nät – dvs. typ allt utom gamla ”dumma” miniräknare – och diskmaskiner) – har en tillräcklig nivå av cybersäkerhet och inte kan utnyttjas för att komma in i hem, fabriker och kontor. Från och med den 11 december 2027 behöver tillverkare (och i vissa fall andra aktörer, exempelvis om man importerar och sätter sitt eget namn på en produkt) kunna visa att produkten uppfyller kraven, bl.a. genom teknisk dokumentation, EU-försäkran om överensstämmelse och CE-märkning. Kraven gäller bara för produkter som sätts på marknaden efter den 11 december 2027, men befintliga produkter är inte helt undantagna. CRA har nämligen en övergångsregel som många kommer luta sig mot (och säkert missförstå):
- En produkt som redan är släppt på marknaden före 11 december 2027 omfattas bara av CRA-kraven om produkten från och med det datumet genomgår en väsentlig ändring. Definitionen av väsentlig ändring är i korthet: en ändring efter marknadssläpp som påverkar efterlevnaden av kraven i CRA eller ändrar produktens avsedda ändamål. Rena säkerhetsuppdateringar som syftar till att minska risk brukar inte vara väsentlig ändring, men funktionsuppdateringar som breddar attackytan kan vara det.
Vem blir ansvarig om någon annan “bygger om” produkten?
CRA har en fia-med-knuff-funktion. Ansvaret kan nämligen byta ägare. Om en importör/distributör (eller annan aktör) gör en väsentlig ändring och släpper produkten vidare kan de räknas som tillverkare och därmed få tillverkarens skyldigheter. Det här kan nog bli en skön överraskning för en och annan, lagom till att man ska sätta sig med lite knäck och titta på Kalle på julafton 2027.
Kontrollnivåer: ibland räcker egen försäkran, ibland krävs tredje part
We can do this the easy way, or the hard way. Beroende på hur viktig din produkt är kan kraven bli lättare eller hårdare att uppleva. För de flesta produkter räcker att man själv gör en analys av riskerna i förhållande till produkten och vidtar vissa åtgärder (en lista på vad man bör göra finns i förordningen) och sedan intygar att man gjort det. Men vissa produktkategorier får ett tuffare spår. Förordningen pratar om “viktiga” produkter i olika klasser, och pekar på att exempelvis brandväggar och intrångsdetektering/-prevention kan hamna i kategorier där tredjepartsbedömning blir obligatorisk.
Vad börjar gälla redan 11 september 2026?
CRA har alltså rapporteringsskyldigheter som börjar gälla tidigare än resten av reglerna. Från och med 11 september 2026 måste tillverkare rapportera:
- aktivt utnyttjade sårbarheter, och
- allvarliga incidenter som påverkar säkerheten i produkter.
Just rapporteringsskyldigheten ska gälla även för produkter som redan släppts före 11 december 2027. Man måste lämna
- en s.k. tidig varning inom 24 timmar från att man blivit medveten om sårbarheten eller incidenten,
- en anmälan inom 72 timmar, och
- en slutrapport senast 14 dagar efter att en korrigerande åtgärd finns (för aktivt utnyttjade sårbarheter) eller inom en månad (för allvarliga incidenter).
Som tur är ska det vara någorlunda enkelt att anmäla. Rapporteringen ska ske bara behöva ske på ett sätt, via en Single Reporting Platform som EU:s cybersäkerhetsbyrå ENISA ska få upp till september 2026. Därifrån informeras bl.a. nationella myndigheter (i Sverige MCF – Myndigheten för civilt försvar).
Bonus: SECURE-projektet – pengar för att göra rätt (och slippa göra det dyrt sen)
För alla mikroföretag, små och medelstora företag (dvs. företag med färre än 250 anställda, under 50 miljoner euro i omsättning och under 43 miljoner euro i balansomslutning) är det möjligt att ansöka om ekonomiskt stöd för att klara CRA-bördan.
EU:s SECURE-projekt öppnade den 28 januari 2026 en första omgång finansieringsstöd för att hjälpa mindre företag att stärka cybersäkerheten i sina hård- och mjukvaruprodukter för att klara CRA. Stödet kan vara upp till 30 000 euro för vissa aktiviteter, och ansökningsfönstret för första rundan är fram till den 29 mars 2026.
Det här är ett ovanligt bra tillfälle att få finansiering för sånt som annars hamnar i backloggens Bermudatriangel: SBOM, säkra utvecklingsprocesser, sårbarhetsflöden, testning, dokumentation… allt det där som är tråkigt exakt fram till första incidenten.
Vad gör man nu? En praktisk mini-checklista
Om du vill ligga före både i september 2026 (och slippa panikgoogla “CRA 24 hours early warning” i september 2026) och i december 2027 bör du göra följande:
- Bygg ett rapporteringsmaskineri som klarar 24-/72-timmarsfristerna: Beslutsvägar, mallar, loggning, kontaktpunkter.
- Sätt en “väsentlig ändring”-policy: Vilka typer av uppdateringar kan trigga ny bedömning efter 11 december 2027?
- Mappa produktportföljen: Vilka produkter träffas? Vilka kan vara “viktiga” och därmed kräva tredjepartsbedömning?
- Planera 2026–2027 som en tvåstegsraket: 2026 = rapportering och processer. 2027 = full compliance och (där det behövs) intygande/bedömning.
- Kolla SECURE om ni är ett mindre företag och vill ha draghjälp med finansiering.
Och hör av dig till oss på Forefront om du vill ha hjälp – både med riskanalys och juridik.
