EU Cyber Resilience Act (CRA)

Cyber Resilience Act (CRA) är EU:s nya cybersäkerhetslag för produkter med digitala komponenter, såsom robotar, uppkopplade maskiner, IoT-enheter och mjukvara. Syftet är att säkerställa att produkter som säljs på EU-marknaden är skyddade mot cyberattacker under hela sin livscykel och därmed ge användare ett bättre skydd mot digitala hot.

CRA trädde i kraft den 10 december 2024, men kraven införs stegvis. Från den 11 september 2026 måste företag rapportera allvarliga cybersäkerhetsincidenter och aktivt utnyttjade sårbarheter till berörda myndigheter. Från den 11 december 2027 gäller samtliga krav fullt ut för alla produkter som omfattas av lagen.

För företag innebär detta ett ökat ansvar för cybersäkerheten i de produkter de utvecklar, tillverkar eller säljer. Säkerhet ska byggas in redan från början enligt principen ”security by design” och vara en integrerad del av hela produktens livscykel. Företagen måste genomföra riskanalyser, identifiera och hantera cybersäkerhetsrisker samt dokumentera hur säkerhetskraven uppfylls.

Lagen ställer också krav på kontinuerlig övervakning och hantering av sårbarheter. Säkerhetsuppdateringar ska tillhandahållas under en definierad tidsperiod och allvarliga sårbarheter eller incidenter måste rapporteras inom fastställda tidsramar. Dessutom ska användare få tydlig information om produktens säkerhetsfunktioner, tillgängliga uppdateringar och eventuella risker.

För robottillverkare innebär CRA att cybersäkerhet blir lika viktig som funktionalitet, kvalitet och fysisk säkerhet. Företagen behöver därför redan nu anpassa sina utvecklingsprocesser, rutiner och produkter för att säkerställa efterlevnad av de nya kraven.

Sammanfattningsvis innebär CRA att företag måste införa strukturerade processer för riskhantering, säker utveckling, sårbarhetshantering, incidentrapportering och kontinuerligt underhåll. Målet är att skapa säkrare digitala produkter och stärka motståndskraften mot cyberhot inom hela EU.