Den 11. september 2026 begynder en ny æra for produktsikkerhed i Europa. Fra den dato skal producenter af alt fra routere og babyalarmer til industrielle styresystemer indberette aktivt udnyttede sårbarheder og alvorlige hændelser til myndighederne inden for 24 timer. Det er den første håndgribelige frist i Cyber Resilience Act, EU’s nye forordning om cybersikkerhed i produkter med digitale elementer. For danske og nordiske virksomheder er uret allerede begyndt at tikke.
Cyber Resilience Act (forordning (EU) 2024/2847) trådte i kraft den 10. december 2024 og bliver fuldt gældende den 11. december 2027. Loven indfører for første gang lovpligtige cybersikkerhedskrav for stort set alle netforbundne produkter, der sælges i EU, med bøder på op til 15 mio. euro eller 2,5 % af den globale årsomsætning. Denne analyse gennemgår tidslinjen, tallene, ekspertvurderingerne og hvad Cyber Resilience Act konkret betyder for det danske marked.
Hvad er Cyber Resilience Act, og hvorfor kommer den nu?
Cyber Resilience Act er EU’s svar på et velkendt problem: alt for mange digitale produkter kommer på markedet med svag eller ingen sikkerhed, og opdateringer udebliver, så snart producenten har mistet interessen. Resultatet er millioner af sårbare enheder, som hackere kan misbruge til botnet, ransomware og spionage. Cybersecurity Ventures anslår, at cyberkriminalitet på globalt plan koster omkring 10,5 billioner dollar årligt i 2025, og en stor del af angrebene udnytter usikre produkter.
Indtil nu har EU’s CE-mærkning handlet om fysisk sikkerhed, elektromagnetisk støj og lignende. Cyber Resilience Act udvider princippet til den digitale verden: et produkt med digitale elementer skal være sikkert ved design (security by design) og sikkert som standard (security by default), før det må bære CE-mærket. Forordningen lægger ansvaret hos producenten gennem hele produktets levetid, ikke kun på salgstidspunktet. Det er et fundamentalt skifte fra frivillige standarder til bindende lovkrav.
Loven gælder horisontalt på tværs af brancher. Den rammer både hardware (en IoT-sensor, en router, en bærbar) og selvstændig software, og den omfatter producenter, importører og distributører i hele forsyningskæden. For en dansk grossist, der importerer smarte enheder fra Asien, betyder det, at ansvaret for sikkerheden følger med ind på det europæiske marked.
Tidslinjen: de tre datoer, der afgør alt
Cyber Resilience Act indføres i etaper. Det giver virksomhederne tid til at tilpasse sig, men det skaber også en falsk tryghed: mange opfatter 2027 som den eneste deadline og overser, at indberetningspligten allerede gælder fra september 2026. Tabellen nedenfor viser de centrale datoer.
| Dato | Milepæl | Hvad det betyder |
|---|---|---|
| 10. december 2024 | Forordningen træder i kraft | Overgangsperioden begynder; teksten er bindende EU-ret |
| 11. juni 2026 | Notificerende myndigheder | Reglerne for udpegning af bemyndigede organer begynder at gælde |
| 11. september 2026 | Indberetningspligt | Aktivt udnyttede sårbarheder og alvorlige hændelser skal meldes inden 24 timer |
| 11. december 2027 | Fuld anvendelse | Alle væsentlige krav og overensstemmelsesvurdering gælder fuldt ud |
| Efter december 2027 | Håndhævelse | Markedsovervågning og bøder kan tages i brug for produkter på markedet |
Den 24-timers indberetningspligt fra 11. september 2026 er strammere, end mange virksomheder er vant til. En foreløbig meddelelse om en aktivt udnyttet sårbarhed skal sendes inden for et døgn, fulgt af mere detaljerede rapporter i de efterfølgende dage. Det kræver overvågning, processer og bemanding, som mindre producenter sjældent har på plads i dag.
Bøder på op til 15 mio. euro eller 2,5 % af omsætningen
Som ved GDPR ligger tyngden i håndhævelsen. Cyber Resilience Act opererer med flere bødeniveauer afhængigt af, hvor alvorlig overtrædelsen er. De groveste overtrædelser af de væsentlige cybersikkerhedskrav og indberetningspligten kan udløse bøder på op til 15 mio. euro eller 2,5 % af den samlede globale årsomsætning, alt efter hvad der er højest. For andre forpligtelser er loftet 10 mio. euro eller 2 % af den globale omsætning.
Det er bevidst sat højt. EU har lært af GDPR, at frivillige anbefalinger ikke flytter adfærd, men at omsætningsbaserede bøder gør. For en global koncern kan 2,5 % af omsætningen løbe op i milliarder, og selv for en mellemstor dansk producent er 15 mio. euro et eksistentielt beløb. Truslen om bøder skal flytte cybersikkerhed fra et it-anliggende til et bestyrelsesanliggende, præcis som NIS2-direktivet gjorde for ledelsesansvaret.
Håndhævelsen sker via national markedsovervågning. I Danmark forventes opgaven at blive forankret hos de relevante myndigheder, og en virksomhed, der ignorerer kravene, risikerer ikke kun bøder, men også at få sine produkter trukket tilbage fra hele det indre marked. Det sidste kan være langt dyrere end selve bøden.
Hvilke produkter er omfattet af Cyber Resilience Act?
Forordningen dækker det, den kalder “produkter med digitale elementer”. Det er en bred kategori, der i praksis omfatter næsten alt, hvad der kan forbindes til et netværk eller en anden enhed: routere, smart-tv, overvågningskameraer, industrielle styresystemer, apps, styresystemer, password managers og meget mere. Både hardware og software er omfattet.
Der er dog vigtige undtagelser. Produkter, der allerede reguleres af andre EU-regler med tilsvarende krav, falder uden for Cyber Resilience Act. Det gælder blandt andet medicinsk udstyr, motorkøretøjer og luftfartsudstyr, som har deres egne sektorspecifikke sikkerhedsregimer. Rene cloud-tjenester reguleres primært af NIS2, ikke af CRA, selvom fjernbehandling af data, der hører til et produkt, kan være omfattet.
Vigtige og kritiske produktklasser
Cyber Resilience Act inddeler produkter i risikoklasser. Langt de fleste produkter (den såkaldte standardkategori) kan klare sig med producentens egen overensstemmelsesvurdering. Men produkter med højere risiko, der i forordningen kaldes “vigtige” og “kritiske”, stilles over for strengere krav. Vigtige produkter omfatter for eksempel password managers, netværksovervågningssystemer, firewalls og mikrocontrollere. Kritiske produkter, som hardware-sikkerhedsmoduler og smartmålere, kan blive underlagt obligatorisk tredjepartscertificering. Jo mere kritisk produktet er for sikkerheden, desto mere dokumentation kræver loven.
290 mia. euro på spil: Kommissionens regnestykke
Europa-Kommissionens konsekvensanalyse bygger på et klart cost-benefit-argument. Loven anslås at kunne reducere omkostningerne ved cyberhændelser for virksomheder med mellem 180 og 290 mia. euro årligt, når den er fuldt indfaset. På den anden side af regnestykket står efterlevelsesomkostningerne for industrien, som Kommissionen vurderer til omkring 29,4 mia. euro i engangsudgifter og cirka 2,5 mia. euro årligt i løbende omkostninger.
Med andre ord: EU forventer, at hver euro brugt på efterlevelse giver et mangedobbelt afkast i form af færre og mindre alvorlige angreb. Det er den samme logik, der lå bag GDPR og NIS2. Kritikere indvender dog, at gevinsterne er svære at måle og spredes ud over hele økonomien, mens omkostningerne rammer konkrete virksomheder her og nu, ikke mindst de mindre.
| Post | Kommissionens estimat | Type |
|---|---|---|
| Reduceret hændelsesomkostning | 180-290 mia. euro | Årlig gevinst |
| Engangsudgift til efterlevelse | ca. 29,4 mia. euro | Engangsomkostning, industri |
| Løbende efterlevelse | ca. 2,5 mia. euro | Årlig omkostning, industri |
| Maksimal bøde, groveste sag | 15 mio. euro / 2,5 % | Sanktion |
| Minimum supportperiode | 5 år | Lovpligt |
Fem års sikkerhedsopdateringer bliver lovpligtigt
En af de mest mærkbare ændringer for forbrugere og virksomheder er kravet om sikkerhedsopdateringer. Hidtil har en producent kunnet sælge en billig IoT-enhed og stoppe alle opdateringer kort efter lanceringen. Det bliver ulovligt. Cyber Resilience Act kræver, at producenten leverer sikkerhedsopdateringer i hele produktets forventede levetid. Hvis den forventede levetid er kortere end fem år, skal supporten alligevel vare mindst fem år. Er levetiden længere, skal supporten følge den længere periode.
Det rammer især bunden af markedet. Engangsprodukter og ultrabillige gadgets, der i dag aldrig får en eneste opdatering, bliver enten dyrere eller forsvinder fra EU-markedet. For seriøse producenter er fem års support derimod en konkurrencefordel, de allerede leverer. Kravet om en koordineret håndtering af sårbarheder, herunder en kontaktflade til at modtage rapporter fra sikkerhedsforskere, følger samme logik: sikkerhed skal være en del af produktet, ikke en eftertanke.
Open source og den nye rolle som “open source-steward”
Få dele af Cyber Resilience Act har skabt mere debat end behandlingen af open source. De første udkast skabte frygt for, at frivillige udviklere og non-profit-projekter kunne blive holdt ansvarlige for sårbarheder i kode, de stiller gratis til rådighed. Efter massiv kritik fra open source-fællesskabet blev teksten justeret.
Den endelige forordning undtager open source-software, der udvikles eller leveres uden for en kommerciel aktivitet. Samtidig indfører den en helt ny figur: “open source-steward”. Det er organisationer, der på struktureret vis understøtter udvikling og vedligeholdelse af open source-projekter, og som får et afgrænset, lettere ansvar end en kommerciel producent. Tanken er at beskytte det digitale fælleseje, som store dele af den europæiske softwareindustri bygger på, uden helt at fritage det for sikkerhedsansvar. Open source-komponenter, der indgår i et kommercielt produkt, tæller fortsat med, når producenten skal dokumentere efterlevelse.
CRA, NIS2 og DORA: sådan hænger EU-reglerne sammen
Cyber Resilience Act står ikke alene. Den er en brik i et større europæisk regelsæt, der også omfatter NIS2-direktivet og DORA. For mange danske virksomheder er den store udfordring at forstå, hvilke regler der gælder for hvad, og hvordan de overlapper. Kort sagt: CRA regulerer produkter, NIS2 regulerer organisationer, og DORA regulerer den finansielle sektors driftsstabilitet.
| Regel | Hvad den regulerer | Hvem den rammer | Central dato |
|---|---|---|---|
| Cyber Resilience Act | Cybersikkerhed i produkter med digitale elementer | Producenter, importører, distributører | Fuld anvendelse 11. dec. 2027 |
| NIS2-direktivet | Organisationers cybersikkerhed i kritiske sektorer | Væsentlige og vigtige enheder (ca. 6.000 i Danmark) | Implementeres nationalt 2024-2026 |
| DORA | Digital driftsstabilitet i den finansielle sektor | Banker, forsikring, fintech og deres it-leverandører | Gælder fra 17. jan. 2025 |
| GDPR | Beskyttelse af personoplysninger | Alle der behandler persondata | Gælder fra 25. maj 2018 |
Overlappet er reelt. En dansk bank, der udvikler en betalingsterminal, kan på én gang være omfattet af DORA som finansiel enhed, af NIS2 som kritisk udbyder og af CRA som producent af et produkt med digitale elementer. Det stiller store krav til intern koordinering, og det er en af grundene til, at efterspørgslen efter compliance-specialister er steget kraftigt i Norden.
Hvad Cyber Resilience Act betyder for danske og nordiske virksomheder
Danmark er en digital frontløber, og det skærer begge veje. Mange danske virksomheder har allerede en moden sikkerhedskultur og vil have lettere ved at leve op til kravene. Men landet har også en stor underskov af hardware- og softwareproducenter, hjemmesideudbydere og IoT-startups, for hvem Cyber Resilience Act bliver en helt ny byrde. Center for Cybersikkerhed (CFCS) vurderer fortsat truslen fra cyberkriminalitet mod Danmark som “MEGET HØJ”, og loven skal ses på den baggrund.
For de cirka 6.000 danske virksomheder, der allerede er i gang med NIS2, er CRA en udvidelse af et arbejde, de kender. For de mange mindre producenter, der ikke er omfattet af NIS2, kommer kravene mere bardus. De skal opbygge teknisk dokumentation, en proces for sårbarhedshåndtering, en kanal til indberetning og en plan for fem års opdateringer. For en virksomhed med ti ansatte er det en stor mundfuld.
Den nordiske dimension forstærker presset. Svenske, norske og finske producenter står over for de samme krav, og det indre marked betyder, at et produkt, der ikke lever op til CRA, ikke bare er udelukket fra Danmark, men fra hele EU og EØS. For eksportorienterede nordiske virksomheder er efterlevelse derfor ikke til diskussion, men en adgangsbillet til deres vigtigste marked.
Eksperterne: bred opbakning, men advarsler om byrden
Cyber Resilience Act blev mødt med bred politisk opbakning, men også med bekymring for, om reglerne kan håndteres af mindre virksomheder. Da der blev opnået politisk enighed om forordningen i december 2023, sagde daværende EU-kommissær for det indre marked Thierry Breton: “Med Cyber Resilience Act sætter vi spillereglerne for et digitalt Europa, der er sikkert ved design.” Han tilføjede, at aftalen vil sikre, “at produkter med digitale elementer er sikre ved design og som standard, og at forbrugere og virksomheder kan stole på de digitale produkter, de køber og bruger.”
Henna Virkkunen, Europa-Kommissionens ledende næstformand med ansvar for teknologisk suverænitet, sikkerhed og demokrati, har offentligt fremført, at loven skal gøre sikre produkter til normen i hele EU og styrke det indre marked ved at gøre sikkerhed til et grundvilkår snarere end et tilvalg. Det er Kommissionens gennemgående budskab: CRA handler lige så meget om tillid til europæiske produkter som om forsvar mod angreb.
Fra EU’s cybersikkerhedsagentur ENISA har direktør Juhan Lepassaar i forbindelse med agenturets CRA-materiale beskrevet forordningen som et afgørende skridt mod at reducere sårbarheder i digitale produkter og hæve det grundlæggende sikkerhedsniveau i hele EU’s digitale økosystem. ENISA får en central rolle i at modtage og koordinere indberetninger om sårbarheder fra september 2026.
Industrien er mere forbeholden. Cecilia Bonefeld-Dahl, der er dansk og generaldirektør for brancheorganisationen DIGITALEUROPE, har konsekvent støttet ambitionen om stærkere cybersikkerhed, men advaret om, at gennemførelsen skal være praktisk gennemførlig og ikke må overlæsse virksomhederne, særligt små og mellemstore, med unødig administrativ byrde. Hendes pointe rammer kernen i debatten: alle er enige om målet, men uenige om, hvor tungt vejen dertil må veje på de mindste aktører.
Historisk kontekst: fra GDPR til sikkerhed indbygget i produkter
For at forstå Cyber Resilience Act skal man se den i lyset af EU’s seneste ti års digitale lovgivning. GDPR fra 2018 satte standarden: en forordning med direkte virkning, omsætningsbaserede bøder og global rækkevidde via den såkaldte Bruxelles-effekt. NIS-direktivet fra 2016 og dets afløser NIS2 udvidede kravene til kritisk infrastruktur og organisationer. CRA lukker det sidste store hul: selve produkterne.
Mønstret er tydeligt. EU bruger sit indre marked på cirka 450 millioner forbrugere som løftestang til at sætte globale standarder. En producent i Asien eller USA, der vil sælge i Europa, må indrette sig efter europæiske regler, og ofte ruller virksomhederne så de samme standarder ud globalt, fordi det er for dyrt at lave to versioner. CRA er det seneste eksempel på, at Bruxelles forsøger at eksportere sine værdier om sikkerhed og privatliv gennem markedsadgang frem for gennem grænsekontrol.
Markedseffekt: vindere og tabere
Cyber Resilience Act omfordeler konkurrencevilkår. Vinderne bliver de producenter, der allerede investerer i sikkerhed, samt en hastigt voksende industri af compliance-rådgivere, testlaboratorier og bemyndigede organer. Cybersikkerhed bliver et salgsargument, ikke bare en omkostning, og europæiske virksomheder med stærke sikkerhedsprocesser kan vende reglerne til en fordel over for billige importprodukter.
Taberne bliver bunden af markedet. Producenter af ekstremt billige IoT-enheder, der lever af lave priser og ingen support, får svært ved at få regnestykket til at gå op. Nogle vil trække produkter fra EU-markedet, andre vil hæve priserne. For forbrugerne betyder det formentlig lidt dyrere, men mere holdbare og sikre produkter. For de mindste europæiske startups er den største risiko, at compliance-byrden bliver en barriere, der favoriserer de store, der har juridiske afdelinger til at håndtere papirarbejdet.
Fem forudsigelser frem mod 2027
Hvor bevæger udviklingen sig hen? Fem konkrete forudsigelser tegner sig på baggrund af lovens tidslinje og erfaringerne fra GDPR og NIS2.
- Mange virksomheder rammer ikke september 2026 forberedt. Ligesom ved GDPR vil et stort flertal af mindre producenter først for alvor handle, når indberetningspligten allerede er trådt i kraft.
- Efterspørgslen efter compliance-kompetencer eksploderer i Norden. Konsulenter, bemyndigede organer og testlaboratorier vil opleve flaskehalse, og lønningerne for specialister stiger.
- De første bøder kommer tidligst i 2028. Håndhævelse i stor skala forudsætter fuld anvendelse fra december 2027, så det reelle pres kommer efter den dato.
- Billige IoT-produkter forsvinder eller bliver dyrere. Den nederste prisklasse uden opdateringer bliver presset ud af det europæiske marked.
- Debatten om open source fortsætter. Den nye steward-rolle bliver testet i praksis og udløser givetvis retssager om, hvor grænsen mellem frivillig og kommerciel aktivitet går.
Sådan forbereder din virksomhed sig på Cyber Resilience Act
Virksomheder, der sælger produkter med digitale elementer i EU, bør ikke vente på december 2027. De konkrete skridt er overskuelige, men tager tid. Start med at kortlægge, hvilke af jeres produkter der er omfattet, og om nogen falder i de “vigtige” eller “kritiske” klasser, der kræver tredjepartsvurdering.
- Lav en oversigt over alle produkter med digitale elementer, I bringer i omsætning i EU.
- Indfør en proces for koordineret sårbarhedshåndtering med en kontaktflade til sikkerhedsforskere.
- Etabler en 24-timers indberetningsprocedure klar til 11. september 2026.
- Planlæg mindst fem års sikkerhedsopdateringer for hvert produkt.
- Saml teknisk dokumentation og en software-stykliste (SBOM) over komponenter, inklusive open source.
- Afklar samspillet med NIS2 og eventuelt DORA, så I ikke bygger parallelle siloer.
For danske virksomheder, der allerede arbejder med NIS2-kravene, kan meget af governance-arbejdet genbruges. Pointen er at begynde nu, mens der stadig er tid til at indarbejde kravene i produktudviklingen frem for at klistre dem på bagefter.
Ofte stillede spørgsmål om Cyber Resilience Act
Hvornår træder Cyber Resilience Act i kraft?
Forordningen trådte i kraft den 10. december 2024. Indberetningspligten gælder fra 11. september 2026, og de fulde krav gælder fra 11. december 2027.
Hvor store er bøderne?
De groveste overtrædelser kan koste op til 15 mio. euro eller 2,5 % af den globale årsomsætning, alt efter hvad der er højest. For andre forpligtelser er loftet 10 mio. euro eller 2 %.
Hvilke produkter er omfattet?
Produkter med digitale elementer, altså hardware og software, der kan forbindes til et netværk eller en anden enhed. Medicinsk udstyr, motorkøretøjer og luftfartsudstyr er undtaget, fordi de har egne sektorregler.
Gælder Cyber Resilience Act for open source?
Open source-software, der udvikles eller leveres uden for en kommerciel aktivitet, er undtaget. Loven indfører en ny rolle som “open source-steward” med et lettere ansvar. Open source-komponenter i et kommercielt produkt tæller dog med i producentens efterlevelse.
Hvor længe skal producenter levere opdateringer?
I hele produktets forventede levetid og mindst fem år. Er den forventede levetid længere end fem år, skal supporten følge den længere periode.
Hvordan hænger CRA sammen med NIS2 og DORA?
CRA regulerer produkter, NIS2 regulerer organisationers cybersikkerhed i kritiske sektorer, og DORA regulerer driftsstabilitet i den finansielle sektor. En virksomhed kan være omfattet af flere regler på én gang.
Relateret indhold
- NIS2 Danmark: 6.000 virksomheder, kun 16 % klar
- Cybertrusler i Norden: 166 hændelser, AI driver 70 %
- Cyberangreb Danmark: OpDenmark kræver 1,5 mia.
- Datalæk: sådan opstår de, og sådan beskytter du dig
- HTTPS og TLS: sådan beskyttes din forbindelse
- Onlinesikkerhed: beskyt dine data, konti og forbindelser
Eksterne kilder: Europa-Kommissionen om Cyber Resilience Act, forordning (EU) 2024/2847 (EUR-Lex), Kommissionens pressemeddelelse om den politiske aftale, Center for Cybersikkerheds trusselsvurderinger, EIOPA om DORA og DIGITALEUROPE.
