Vækst via regulering: Forbered din virksomhed på EU’s Cyber Resilience Act (CRA)

Forestil dig, at en virksomhed investerer i gaffeltrucks til et nyt fuldautomatisk lager. En af leverandørerne har været en trofast partner i mange år og forventer at levere de nye trucks. Denne gang kræver kunden dog en revisionsrapport, der dokumenterer overholdelse af den kommende Cyber Resilience Act (CRA) Den faste leverandør kan ikke levere rapporten til tiden og beder om en udsættelse, som ikke bliver godkendt. En konkurrerende leverandør, der kan dokumentere compliance, vinder ordren.

En af hovedårsagerne til CRA er at reducere sårbarheder, der kan føre til cyberangreb og databrud. CRA indfører strenge cybersikkerhedskrav for alle digitale produkter, der sælges i EU: hardware, software og cloudtjenester.

Ved at stille krav om stærke sikkerhedsfunktioner ændrer CRA måden, digitale produkter udvikles på. Fokus flyttes mod proaktiv risikohåndtering og “security-by-design” gennem hele udviklingsprocessen.

I fremtiden vil næsten alle produkter med digitale komponenter indeholde en form for AI. CRA kræver, at indlejrede AI-komponenter, modeller og agenter sikres på samme niveau som enhver anden software.

Embedded AI skal beskyttes mod ekstern manipulation, der kan føre til fejl, datalæk eller endda sikkerhedsrisici. For producenter betyder det grundig testning, klar dokumentation og mekanismer til opdatering og patching efter implementering.

Kravene kan virke krævende, men fremsynede virksomheder bruger dem strategisk. CRA giver mulighed for at skille sig ud, vinde udbud og øge markedsandele.

Det handler ikke kun om at undgå sanktioner – det handler om, hvor hurtigt du bliver compliant.

Flere og flere kunder, både i den private og offentlige sektor, inkluderer allerede CRA-krav i deres kontrakter. Derfor opbygger tidlig compliance tillid og hjælper med at sikre aftaler – særligt hos kunder, der vægter høj cybersikkerhed og lav risiko.

At vise tidlig compliance med høje sikkerhedsstandarder skaber stærke kunderelationer. Det gælder også uden for EU, hvor CRA-kompatible producenter ofte foretrækkes.

Hvis du ignorerer CRA, risikerer du alvorlige konsekvenser. EU kan forbyde salg, kræve tilbagetrækning af produkter og offentliggøre overtrædelser.

CRA indføres gradvist. Første deadline er september 2026, og fuld compliance er obligatorisk senest december 2027.

Overtrædelser kan blive dyre. Nationale cybersikkerhedsmyndigheder kan foretage uanmeldte audits og kræve en softwareliste (SBOM). Manglende dokumentation kan medføre bøder på op til 5 millioner euro.

Derudover er der strenge krav til håndtering af sikkerhedshændelser. Producenter skal rapportere sårbarheder inden for 24 timer og levere detaljerede oplysninger inden for 72 timer.

Den hurtigste og mest effektive måde at opnå compliance på – og samtidig få en konkurrencefordel – er gennem partnerskab. Du har brug for en partner, der forstår både de tekniske og forretningsmæssige aspekter af CRA.

Agramkow manglede intern reguleringsekspertise og havde brug for sikkerhed for, at de fortolkede og anvendte CRA korrekt. Etteplan gav hurtig adgang til indsigt og support, så Agramkow kunne handle sikkert uden at forstyrre deres produktudvikling. Læs mere om Agramkow-samarbejdet

Vi kan accelerere jeres compliance-rejse, reducere risici og hjælpe jer med at fokusere på at levere sikre produkter i topklasse. Kontakt os i dag for at høre, hvordan vi kan gøre CRA-compliance til en strategisk konkurrencefordel for jer.