Global sv
Hotline
Kontakt
Global | svenska

Cyber Resilience Act

Cyber Resilience Act medför en mängd nya krav. Vilka krav kommer att gälla?

Från och med 11 december 2027 får endast produkter som uppfyller kraven i Cyber Resilience Act (CRA) släppas ut på marknaden inom Europeiska unionen. CRA innehåller riktlinjer för cybersäkerheten hos produkter med digitala komponenter.

Vilka nya krav medför Cyber Resilience Act? Vilka produkter omfattas av CRA? Vad behöver företag göra? Vi har sammanfattat den viktigaste informationen för dig.

Två män samtalar på en arbetsplats

De viktigaste frågorna om Cyber Resilience Act (FAQ)

Vad är Cyber Resilience Act?

Cyber Resilience Act (CRA) är en EU-förordning som definierar krav på produkter med digitala element med avseende på industrial security. En grundläggande granskning och anpassning måste genomföras för berörda produkter. Detta är helt nödvändigt eftersom endast produkter som uppfyller kraven i CRA får släppas ut på marknaden från och med december 2027!

När träder Cyber Resilience Act i kraft?

CRA publicerades i EU:s officiella tidning den 20 november 2024. Den trädde i kraft 10 december 2024 och måste tillämpas inom EU från och med den 11 december 2027. Enligt CRA gäller dock tillverkarnas anmälningsskyldighet för utnyttjade sårbarheter redan från och med den 11 september 2026.

Vad exakt krävs i CRA?

Målet med CRA är att bättre skydda konsumenter och företag mot cyberattacker. CRA omfattar en mängd krav för tillverkare, importörer och återförsäljare av produkter med digitala element som kan kommunicera med andra produkter. Detta innefattar maskin- och programvara. Detta omfattar hela produktens livscykel, det vill säga ända från produktens utformning till dess utveckling, tillverkning, leverans och underhåll samt hela drifttiden hos kunden.

Är Cyber Resilience Act en förordning eller ett direktiv?

Cyber Resilience Act är en EU-förordning och gäller därmed i alla medlemsländer i Europeiska unionen utan att den behöver införlivas i nationell lagstiftning.

Vilka produkter omfattas av CRA?

CRA gäller för komponenter, i synnerhet produkter med digitala element, för vilka en överensstämmelsekontroll kommer att krävas.

Cyber Resilience Act (CRA) gäller för alla produkter som innehåller digitala komponenter – till exempel programvara eller AI-system med hög risk – och som är anslutna till nätverk eller andra enheter. Detta innebär att CRA:s tillämpningsområde är mycket brett och bland annat omfattar följande produktgrupper:

  • Industriell hårdvara och programvara såsom IoT-enheter, programmerbara styrningar (PLC) och sensorer
  • Programvarulösningar såsom dator-, webb- och mobilapplikationer samt operativsystem
  • Intelligenta enheter för privat bruk, både hårdvara och programvara

Dessa produkter delas in i olika kategorier beroende på deras riskpotential. I synnerhet system som används i kritisk infrastruktur, industriproduktion eller inom energi- och industrisektorn hamnar i högre riskklasser. För dessa produkter ändras kraven på förfarandet för bedömning av överensstämmelse, eftersom de kan ha en avgörande påverkan på den allmänna säkerheten och den ekonomiska stabiliteten.

Vad behöver göras? Vilka krav ställs på företag?

En tillverkare av produkter med digitala element måste uppfylla securitykraven i CRA. Detta innebär att man måste utarbeta en riskanalys och definiera samt genomföra åtgärder för att minska eventuella risker. Man ska dessutom upprätta och underhålla dokumentation om riskbedömningen (och även de åtgärder som vidtagits för att minska securityriskerna), som måste behållas i minst 10 år. Kontinuerlig övervakning av eventuella securitysårbarheter, kostnadsfritt tillhandahållande av securityuppdateringar under produktens normala livslängd (minst 5 år) samt rapportering av upptäckta securitysårbarheter till ENISA och eventuellt till nationella organ inom 24 timmar är också obligatoriskt.

Även produkter som redan uppfyller kraven i CRA och inte ändras måste ändå kontrolleras och utvärderas enligt tydliga regler. Dokumentation för resultatet av kontrollen skapas, som i sin tur måste behållas i tio år. Dessutom måste en programvaruförteckning upprättas och man måste kunna bevisa att utveckling och testning har genomförts på ett säkerhet sätt med avseende på industrial security.

Vad innebär EU-försäkran om överensstämmelse i samband med CRA?

EU:s försäkran om överensstämmelse utfärdas fortsättningsvis av tillverkarna och intygar att de grundläggande kraven på cybersäkerhet har uppfyllts. För tillverkarna innebär detta att uppfyllandet av kraven med avseende på riskbedömning, sårbarhetshantering och dokumentation kontrolleras genom en bedömning av överensstämmelse. Om alla krav uppfylls utfärdas en försäkran om överensstämmelse. 

Finns det fortfarande en EU-försäkran om överensstämmelse för alla unionsrättsakter?

Om en produkt med digitala element omfattas av flera EU-rättsakter som var och en kräver en EU-försäkran om överensstämmelse utfärdas en enda EU-försäkran om överensstämmelse för alla unionsrättsakter. I denna försäkran ska de relevanta unionsrättsakterna anges tillsammans med deras hänvisningar i Europeiska unionens officiella tidning.

Hur länge måste EU-försäkran om överensstämmelse vara tillgänglig?

Tillverkaren ska utfärda en skriftlig försäkran om överensstämmelse för varje produktmodell och se till att den finns tillgänglig för de nationella myndigheterna i tio år efter det att produkten med digitala element har släppts ut på marknaden eller så länge produkten stöds, beroende på vilken av dessa perioder som är längst. Det måste framgå i försäkran om överensstämmelse för vilken produktmodell den har utfärdats. Ett exemplar av försäkran om överensstämmelse ska på begäran tillhandahållas de berörda myndigheterna.

Vad är skillnaden mellan Cyber Resilience Act och NIS 2?

  • CRA innehåller grundläggande cybersäkerhetskrav för utformning, utveckling och tillverkning av produkter med digitala komponenter samt skyldigheter för ekonomiska aktörer vad gäller cybersäkerheten för dessa produkter.
  • NIS 2-direktivet riktar sig till företag och kräver att dessa vidtar organisatoriska och tekniska åtgärder för att minska industrial security-risker inom företaget.
  • Stärka cybersäkerheten inom EU: Båda regelverken – CRA och NIS 2-direktivet – kompletterar varandra genom att de behandlar olika nivåer inom cybersäkerhet: CRA:s fokus ligger på produktsäkerhet, medan NIS 2 är inriktad på säkerhet kopplad till infrastruktur och samhällsviktiga tjänster. Tillsammans bidrar de på ett viktigt sätt till att förbättra cybersäkerheten inom Europeiska unionen överlag.

Uppfyller Pilz produkter kraven i Cyber Resilience Act?

Pilz har redan sedan flera år tillbaka strukturerat sin utvecklingsprocess i enlighet med standarden IEC 62443-4-1. Denna standard definierar som ”grundläggande standard för industrial security” säker utveckling av produkter, den så kallade ”Security Development Lifecycle”-processen. TÜV Süd har bekräftat att våra utvecklingsprocesser uppfyller kraven i en granskning. Pilz utvecklar inte bara safe, utan även secure!

Detta är viktigt för våra kunder, eftersom förordning (EU) 2024/2847 – Cyber Resilience Act (CRA) – innebär att ytterligare en förordning kopplad till security måste tillämpas från och med 2027, utöver den nya maskinförordningen (förordning (EU) 2023/1230).

Konkret innebär detta att befintliga produkter vid behov rustas upp, att nya produkter utvecklas så att de lever upp till kraven i CRA och att överensstämmelsen (CE-märkning) anpassas i enlighet med gällande föreskrifter. Produkter som inte längre uppfyller kraven utgår antingen ur sortimentet eller finns fortsatt tillgängliga som reservdelar. I det senare fallet får de dock inte längre användas i nya anläggningar.

 

Mer information om Cyber Resilience Act

Whitepaper om industrial security från Pilz

Industrial security

Mer information om industrial security inklusive vårt kostnadsfria whitepaper finns på följande sida.

Mer om industrial security
Medarbetare sitter med headset framför bildskärmar och pratar i telefon.

Kontakta oss!

Har du fler frågor om CRA eller behöver du rådgivning om implementeringen i ditt företag? Vårt erfarna rådgivningsteam hjälper dig gärna.

Kontakta oss nu!
Top
Huvudkontor

Pilz GmbH & Co. KG
Felix-Wankel-Straße 2
73760 Ostfildern
Tyskland

Telefon: +49 711 3409-0
E-post: info@pilz.de

Teknisk support

Telefon: +49 711 3409 444
E-post: support@pilz.com

Amerika

  • Kanada: +1 888-315-PILZ (315-7459)
  • Mexiko: +52 55 5572 1300
  • USA (avgiftsfritt): +1 877-PILZUSA (745-9872)
  • Brasilien: + 55 11 4942-7032

Europa

  • Schweiz: +41 62 889 79 32
  • Portugal: +351 229 407 594
  • Tyskland: +49 711 3409 444
  • Ryssland: +7 495 6654993
  • Finland: +358 10 3224030 / +45 74436332
  • Nederländerna: +31 347 320477
  • Sverige: +46 300 13990 / +45 74436332
  • Italien: +39 0362 1826711
  • Irland: +353 21 4804983
  • Spanien: +34 938497433
  • Belgien: +32 9 321 75 70
  • Österrike: +43 1 7986263-444
  • Frankrike (avgiftsfritt): +33 3 88104000
  • Danmark: +45 74436332
  • Storbritannien: +44 1536 460866
  • Turkiet: +90 216 577 55 52

Asien-Stillahavsregionen

  • Taiwan: +886 70 1015 0068 (當地網路電話)
  • Nya Zeeland: +64 9 6345350
  • Australien (avgiftsfritt): +61 3 9560 0621 / 1300 723 334
  • Thailand: +66 210 54613
  • Kina: +86 400-088-3566
  • Japan: +81 45 471 2281
  • Sydkorea: +82 31 778 3390
  • Singapore: +65 6829 2920
  1. Pilz
    2. /
  2. Support
    3. /
  3. Lagstiftning och standarder
    4. /
  4. Tillverkare och arbetsgivare/användare
    5. /
  5. Cyber Resilience Act
Öppna kontaktformulär
Telefon:+49 711 3409 444
E-post: support@pilz.com
Cookie settings

Hur kan vi hjälpa dig?

Jag förstår att de personuppgifter som samlas in utan mitt samtycke endast används för att uppfylla avtal och behandla mina förfrågningar. Mer information om dataskydd och kontaktuppgifter för vårt dataskyddsombud hittar du här: Pilz dataskydd
Samtycket kan när som helst tas tillbaka (det räcker med ett e-postmeddelande).
* Obligatoriskt fält