EU's omfattende sikkerhedslov er trådt i kraft: Får betydning for alt fra robotstøvsugere til kritisk it-infrastruktur

Tirsdag markerede en vigtig milepæl i EU’s kamp for cybersikkerhed, da Cyber Resilience Act (CRA) officielt trådte i kraft.

CRA omfatter alt fra smarte køleskabe, robotstøvsugere og babyalarmer til kritisk it-infrastruktur – stort set alle produkter med digitale elementer, der kan forbindes til et netværk eller en anden enhed.

Den nye lovpakke, der har været flere år undervejs, stiller omfattende krav til digitale produkter og deres producenter for at sikre en højere grad af robusthed mod cybertrusler på tværs af EU.

Hvad betyder det i praksis?

Den nye EU-lov pålægger producenter at tænke cybersikkerhed ind i hele livscyklussen for deres produkter – fra design og udvikling til produktion, distribution og vedligeholdelse.

Det indebærer blandt andet:

• Obligatoriske cybersikkerhedsrisikovurderinger: Produkter skal vurderes for kendte og potentielle trusler.
• Rapportering af sårbarheder: Producenter skal rapportere om nye sårbarheder og alvorlige sikkerhedshændelser.
• Kategorisering af produkter: Produkter inddeles i tre risikoklasser (standard, klasse I og klasse II), hvilket afgør, hvor strenge krav der stilles til sikkerheden.

Særligt kritiske produkter, som for eksempel netværksroutere og industrielle IoT-enheder, skal gennemgå en tredjepartsvurdering, mens mindre risikofyldte produkter kan nøjes med en selvevaluering.

Derudover er et centralt element i CRA kravet om langvarig sikkerhedsunderstøttelse. Producenter skal sikre, at deres produkter kan opdateres for at håndtere sårbarheder i mindst fem år efter, at produktet er sat på markedet.

Der er visse undtagelser for produkter, som allerede er underlagt specifikke regler – eksempelvis medicinsk udstyr og biler.

Gradvis implementering frem til 2027

Selvom CRA formelt er trådt i kraft, vil reglerne blive implementeret over flere år for at give virksomhederne tid til at tilpasse sig.

De vigtigste milepæle inkluderer:

• Juni 2026: Såkaldte ”overensstemmelsesorganer” – myndigheder eller organisationer ansvarlige for at kontrollere og certificere, om produkter opfylder kravene i CRA – får formel bemyndigelse til at udføre deres opgaver.
• September 2026: Krav om rapportering af sikkerhedshændelser træder i kraft.
• December 2027: CRA får fuld virkning, og alle krav skal efterleves.

CRA er en del af EU’s samlede cybersikkerhedspakke, der også inkluderer NIS2, Dora og AI Act.

Mens NIS2 fokuserer på organisationers sikkerhedsforanstaltninger, sætter CRA krav på produktniveau.

For danske virksomheder med digitale produkter på EU-markedet er det essentielt allerede nu at begynde forberedelserne på CRA. Dette inkluderer at involvere indkøbs- og udviklingsansvarlige for at sikre, at produkter overholder de nye krav.

Tidlig tilpasning kan reducere risici for forsinkelser og økonomiske bøder, når de strengeste krav træder i kraft.