For the complete documentation index, see /llms.txt. Markdown version of this page: /insights/compliance/hva-er-eu-cyber-resilience-act.md.
EN / NB Kontakt oss →
EN / NB

Rådgivning

MDR / SOC

Sårbarhetshåndtering

Identitet

Compliance

AI-sikkerhet

CrowdStrike

Aikido

Tenable

Idira (CyberArk)

Innsikt

Serier

Hendelser og ressurser

Om oss

Selskapsinfo

Kontakt

Partnere

Compliance ↗

Hva EUs Cyber Resilience Act er, og hvem den omfatter

CRA er en EU-lov som knytter cybersikkerhetskrav til CE-merket, så et produkt med digitale elementer ikke kan selges i EU uten å oppfylle dem.

7 min lesetid Av Maximilian Sharoyan
Cyber Resilience Act, FM CyberSecurity forsidegrafikk

Har produktet deres programvare i seg, avgjør EUs Cyber Resilience Act om dere får solgt det i Europa. Cyber Resilience Act, eller CRA, knytter cybersikkerhetskrav til CE-merket, det samme merket dere allerede setter på et produkt for å vise at det er trygt for EU-markedet. Bommer dere på kravene, mister dere merket. Mister dere merket, kan produktet ikke lovlig gjøres tilgjengelig på markedet i EU eller EØS.

I revisjoner denne våren møtte jeg den samme blindsonen igjen og igjen. Selskapet behandlet CRA som et IT-problem, men dette er et produktproblem. Det ligger hos dem som bestemmer hva dere lager og selger.

Cyber Resilience Act, FM CyberSecurity

Hva det koster dere å bomme på CRA

Et produkt som ikke oppfyller CRA, kan ikke selges i EU, og det markedet venter ikke. CRA er produktsikkerhetslov for alt med en digital del, så kostnaden er ikke et gebyr dere kan budsjettere rundt. Den koster dere et produkt dere ikke får sendt ut, en kundeordre dere ikke får levert, og en konkurrent som kan levere. For de fleste norske produktselskaper er EU selve markedet, så her handler det om omsetning og ikke papirarbeid.

Loven lar også myndighetene trekke et produkt som ikke oppfyller kravene, ut av markedet og bøtelegge produsenten. Den øvre rammen ligger på inntil 15 millioner euro eller 2,5 prosent av samlet årlig omsetning på verdensbasis for de mest alvorlige bruddene (forordning (EU) 2024/2847, artikkel 64). Den større risikoen er pålegget om å stanse salget mens et lanseringsvindu lukker seg.

Hva Cyber Resilience Act er

CRA er en EU-forordning som setter obligatoriske cybersikkerhetskrav for produkter med digitale elementer, håndhevet gjennom CE-merket. Med “produkter med digitale elementer” menes alt som har programvare eller snakker med et nettverk: maskinvare med innebygd programvare, frittstående programvare, og tilkoblede enheter, fra en ruter til en smartlås til en forretningsapp. Den fulle teksten er forordning (EU) 2024/2847.

Siden den er en forordning, gjelder den direkte i hele EU. Hvert land trenger ikke skrive sin egen versjon først. Slik skiller den seg fra et direktiv som NIS2, der hvert land må gjøre regelverket om til nasjonal lov.

CRA trådte i kraft 10. desember 2024. Datoene som betyr noe for dere, kommer etter det. Plikten til å rapportere problemer til myndighetene gjelder fra 11. september 2026. Hovedforpliktelsene, kravene til design og kravet om CE-merking, gjelder fra 11. desember 2027. Fristen for det tunge arbeidet er altså desember 2027, mens rapporteringsplikten slår inn et år tidligere.

Hvem CRA omfatter

CRA omfatter produsenter, importører og distributører av produkter med digitale elementer som selges i EU. Lager dere et produkt og setter navnet deres på det, er dere produsenten og bærer de fleste pliktene. Tar dere inn et produkt fra utenfor EU til EU, er dere importøren. Selger dere videre uten å endre produktet, er dere distributøren. Hver rolle har sin egen sjekkliste, men kjeden betyr at en forhandler også er ansvarlig, ikke bare produsenten.

Innenfor det som er omfattet, sorterer CRA produkter etter risiko. De fleste produkter ligger i standardklassen, og produsenten kan vurdere dem selv. Noen ligger høyere. “Viktige” produkter (vedlegg III), som passordforvaltere, brannmurer og VPN-er, møter strengere kontroller, og noen steder kreves et eksternt organ som vurderer dem. “Kritiske” produkter (vedlegg IV), som smartkort og enkelte maskinvaresikkerhetsmoduler, møter den strengeste veien og kan ikke hvile på egenvurdering alene. Jo høyere produktet ligger, desto mer dokumentasjon må dere vise før CE-merket settes på.

Kjerneforpliktelsene

CRA krever fire ting gjennom hele produktets levetid: sikker design, sårbarhetshåndtering, rask rapportering og sikkerhetsoppdateringer. Ta dem én om gangen, for hver av dem er en konkret plikt, ikke en parole.

Sikker design (“secure by design”) betyr at produktet leveres trygt fra start og oppfyller sikkerhetskravene i vedlegg I fra dag én, ikke som en oppdatering i ettertid. Sårbarhetshåndtering betyr at dere har en prosess for å finne, følge og rette sikkerhetsfeil mens produktet støttes, og at dere publiserer en måte for utenforstående å melde en feil til dere, det som kalles samordnet sårbarhetshåndtering (“coordinated vulnerability disclosure”).

Rapportering er plikten med den tidlige fristen. Fra 11. september 2026, når en sårbarhet i produktet deres utnyttes aktivt, eller dere rammes av en alvorlig hendelse, må dere varsle både ENISA, EUs cybersikkerhetsbyrå, og det nasjonale responsteamet innen 24 timer, og deretter sende en fyldigere rapport innen 72 timer. Til slutt skylder dere sikkerhetsoppdateringer i en definert støtteperiode, og dere må fortelle kjøperne hvor lenge den perioden varer.

Hvordan CRA henger sammen med NIS2 og ISO 27001

CRA dekker produkter, NIS2 dekker organisasjonene som driver tjenester, og ISO 27001 er styringssystemet som hjelper dere å oppfylle begge. De tre overlapper ikke, de bygger på hverandre. NIS2 legger sikkerhetsplikter på aktører i omfattede sektorer. CRA legger sikkerhetsplikter på det dere selger. Et selskap kan falle inn under begge: NIS2 på grunn av tjenesten det driver, CRA på grunn av produktet det selger.

ISO 27001, den internasjonale standarden for et styringssystem for informasjonssikkerhet, er ryggraden under begge. Kontrollene for risiko, leverandøroppfølging og hendelseshåndtering er nettopp det CRA og NIS2 ber dere om å ha på plass. Etabler styringssystemet én gang, så dekker det begge lovene. Norge har dessuten sin egen digitalsikkerhetslov for tilbydere av kritiske tjenester, som hører til NIS-familien og ligger atskilt fra produktreglene i CRA.

Hva et norsk produktselskap bør gjøre nå

Norge er i EØS, så CRA er ennå ikke norsk lov, men den når dere allerede hvis dere selger inn i EU. CRA er merket EØS-relevant og er til vurdering for innlemmelse i EØS-avtalen av Norge og de andre EØS-EFTA-statene, så den formelle norske ikrafttredelsesdatoen er fortsatt under arbeid. Behandle enhver fast norsk håndhevelsesdato dere ser sitert, som ubekreftet. Ingenting av dette endrer markedsvirkeligheten: et produkt dere gjør tilgjengelig på EU-markedet, må oppfylle CRA fra desember 2027, uansett hva EØS-tidslinjen gjør.

Beslutningen styret må ta dette kvartalet, koker altså ned til ett ja eller nei: bekrefter vi hvilke av produktene våre som er omfattet av CRA, og hvem som har ansvaret for å gjøre dem klare. Utpek den ansvarlige, list opp produktene, og merk hvert produkt som standard, viktig eller kritisk. Denne ene beslutningen legger grunnlaget for alt det andre arbeidet.

Ta beslutningen om omfang dette kvartalet

Se FM CyberSecuritys kvalifikasjoner og partnersertifiseringer på partnersiden vår. Eller avtal en 30-minutters samtale på styrenivå med compliance-teamet vårt for å kartlegge hvilke av produktene deres CRA omfatter, og hvordan veien fram til desember 2027 ser ut.

FAQ

Gjelder CRA for oss?

Lager, importerer eller selger dere videre et produkt som inneholder programvare eller kobler seg til et nettverk, og dere selger det i EU, så gå ut fra et ja inntil dere har sjekket. Det dekker maskinvare med innebygd programvare, frittstående apper og tilkoblede enheter. Bekreft mot omfanget og produktlistene i forordning (EU) 2024/2847, og skriv ned, per produkt, om det er omfattet og hvilken klasse det havner i.

Når begynner CRA å gjelde?

CRA trådte i kraft 10. desember 2024. Rapporteringsplikten for sårbarheter som utnyttes aktivt, og for alvorlige hendelser gjelder fra 11. september 2026. Hovedforpliktelsene, inkludert kravet om CE-merking, gjelder fra 11. desember 2027.

Gjelder CRA i Norge?

Norge er i EØS, og CRA må innlemmes i EØS-avtalen før den blir norsk lov. Den prosessen pågår, og den norske ikrafttredelsesdatoen er ennå ikke bekreftet, så behandle enhver konkret norsk dato dere ser på nett, som ubekreftet. Uansett: gjør dere et produkt tilgjengelig på EU-markedet, når CRA dere gjennom det markedet.

Hvordan skiller CRA seg fra NIS2?

CRA regulerer sikkerheten til produktet dere selger. NIS2 regulerer sikkerheten til organisasjoner som driver tjenester i omfattede sektorer. Ett selskap kan falle inn under begge: NIS2 for tjenesten det driver, CRA for produktet det selger. De har ulikt omfang, ulike plikter og ulike frister.

Hva betyr CRA for CE-merket?

Fra 11. desember 2027 må et produkt med digitale elementer oppfylle cybersikkerhetskravene i CRA før dere kan sette på CE-merket og gjøre det tilgjengelig på EU-markedet. CE-merket signaliserer allerede produktsikkerhet, og CRA legger cybersikkerhet til det merket står for. Uten etterlevelse får dere ikke merket, og uten merket får dere ikke solgt.

Mer om Compliance

5. juni 2026 · Compliance
Hva EUs Cyber Resilience Act er, og hvem den omfatter

CRA er en EU-lov som knytter cybersikkerhetskrav til CE-merket, så et produkt med digitale elementer ikke kan selges i EU uten å oppfylle dem.

3. juni 2026 · Compliance
Hva ISO 27001 Lead Implementer-sertifisering betyr for prosjektet ditt

En Lead Implementer bygger styringssystemet deres, en Lead Auditor reviderer det. Ansetter dere feil rolle, stopper sertifiseringsprosjektet opp.

11. mai 2026 · Compliance
SOC 2 compliance for norske SMB-er som selger til USA

SOC 2 kan vinne dere en amerikansk avtale, eller koste seks sifre dere ikke trengte. Slik ser dere forskjellen, og slik passer det med ISO 27001.

← Tilbake til all innsikt
Spørsmål eller forespørsel? [email protected] Kontakt oss →