5 ting, enhver pro­dukt­virk­som­hed skal vide, før EU’s Cyber Resilience Act træder i kraft

I mange år har producenter kunnet sælge forbundne produkter med begrænset juridisk ansvar for at sikre deres sikkerhed. Cybersikkerhed blev betragtet som valgfrit, som en funktion der kunne tilføjes senere – eller helt ignoreres. Samtidig er antallet af cyberangreb på forbundne systemer steget markant.

EU indførte Cyber Resilience Act for at ændre denne situation. For virksomheder inden for industrielt udstyr medfører den grundlæggende ændringer i, hvordan produkter designes, dokumenteres, understøttes og sælges i EU.

CRA, officielt Forordning (EU) 2024/2847, trådte i kraft den 10. december 2024 med en overgangsperiode på 3 år. Allerede fra 11. september 2026 skal producenter dog rapportere udnyttede sårbarheder inden for 24 timer – herunder dem, der påvirker produkter, som allerede er på markedet. Når den endelige frist nås, kræves fuld overholdelse.

CRA omfatter alle produkter med digitale elementer, der bringes på EU-markedet, og som direkte eller indirekte kan forbindes til en enhed eller et netværk. Det gælder hardware som drev, PLC’er, robotter og sensorer, selvstændig software såsom SCADA-systemer og konfigurationsværktøjer samt fjernbaserede dataløsninger som cloud-tjenester.

Forordningen gælder ikke kun producenter, men også autoriserede repræsentanter for virksomheder uden for EU, importører og distributører. Alle skal sikre, at produkterne overholder CRA-kravene. Uden dokumenteret overholdelse må produktet ikke CE-mærkes og kan ikke sælges på EU-markedet.

CRA bygger på tre centrale principper: sikkerhed gennem design og som standard – gennem hele produktets livscyklus. Producenter skal levere opdateringer i mindst fem år efter salg – eller længere, hvis produktet stadig er i brug.

I designfasen skal producenter vurdere sikkerhedsrisici og udvikle produkter, der minimerer disse. Når produktet forlader fabrikken, skal det være konfigureret sikkert uden ekstra handling fra kundens side.

Mens forbrugerprodukter typisk udskiftes efter få år, har mange industriprodukter livscyklusser, der strækker sig over årtier. Det betyder, at producenter skal forpligte sig til langsigtet sikkerhedsunderstøttelse – også for ældre udstyr. Dette er en væsentlig ændring i forhold til nuværende praksis.

Kompleks indlejret software og afhængigheder i leverandørkæden øger udfordringen. Produkter med høj risiko, fx dem der bruges i kritisk infrastruktur, kan kræve tredjepartsrevision.

Alle produkter skal opfylde omkring et dusin sikkerhedskrav, og overholdelsen skal dokumenteres.

Producenter skal:

Fokus på SBOM (Software Bill of Materials) er afgørende. SBOM’er er nødvendige for regulatorisk verificering, og det tager tid at opbygge dem efterfølgende. De skal være maskinlæsbare og baseret på udbredte standardformater.

De er også essentielle for realtids-overvågning af sårbarheder ved at sammenholde dem med offentlige databaser.

Har du brug for hjælp til at vurdere din CRA-dokumentation, SBOM-parathed eller krav til cybersikkerhedsoverholdelse? Tal med vores cybersikkerhedsspecialister

Manglende overholdelse kan medføre:

Hvis en virksomhed ikke opfylder kravene, kan bøden være op til 15 millioner euro eller 2,5 % af den globale omsætning – afhængigt af hvad der er højest. Manglende rettidig rapportering af udnyttede sårbarheder kan medføre bøder på op til 10 millioner euro.

EU kan også:

offentliggøre overtrædelser

forbyde salg af produkter

kræve tilbagetrækning fra markedet

Agentbaseret AI kan fremskynde overholdelsen ved at automatisere generering af SBOM’er og dokumentation, støtte trusselsmodellering og hjælpe med penetrationstest.

Men teknologi alene er ikke nok. Den hurtigste og bedste vej frem er at samarbejde med en partner, der forstår både CRA og industriel engineering.

Det er tid til at handle nu.