{"id":70,"date":"2026-06-12T20:35:59","date_gmt":"2026-06-12T20:35:59","guid":{"rendered":"https:\/\/shattered.io\/dk\/2026\/06\/12\/cyber-resilience-act-2026\/"},"modified":"2026-06-12T20:37:33","modified_gmt":"2026-06-12T20:37:33","slug":"cyber-resilience-act-2026","status":"publish","type":"post","link":"https:\/\/shattered.io\/dk\/2026\/06\/12\/cyber-resilience-act-2026\/","title":{"rendered":"Cyber Resilience Act: 15 mio. \u20ac i b\u00f8der [2026]"},"content":{"rendered":"\n

Den 11. september 2026 begynder en ny \u00e6ra for produktsikkerhed i Europa. Fra den dato skal producenter af alt fra routere og babyalarmer til industrielle styresystemer indberette aktivt udnyttede s\u00e5rbarheder og alvorlige h\u00e6ndelser til myndighederne inden for 24 timer. Det er den f\u00f8rste h\u00e5ndgribelige frist i Cyber Resilience Act<\/strong>, EU’s nye forordning om cybersikkerhed i produkter med digitale elementer. For danske og nordiske virksomheder er uret allerede begyndt at tikke.<\/p>\n\n\n\n

Cyber Resilience Act (forordning (EU) 2024\/2847) tr\u00e5dte i kraft den 10. december 2024 og bliver fuldt g\u00e6ldende den 11. december 2027. Loven indf\u00f8rer for f\u00f8rste gang lovpligtige cybersikkerhedskrav for stort set alle netforbundne produkter, der s\u00e6lges i EU, med b\u00f8der p\u00e5 op til 15 mio. euro eller 2,5 % af den globale \u00e5rsoms\u00e6tning. Denne analyse gennemg\u00e5r tidslinjen, tallene, ekspertvurderingerne og hvad Cyber Resilience Act<\/strong> konkret betyder for det danske marked.<\/p>\n\n\n\n

Hvad er Cyber Resilience Act, og hvorfor kommer den nu?<\/h2>\n\n\n\n

Cyber Resilience Act er EU’s svar p\u00e5 et velkendt problem: alt for mange digitale produkter kommer p\u00e5 markedet med svag eller ingen sikkerhed, og opdateringer udebliver, s\u00e5 snart producenten har mistet interessen. Resultatet er millioner af s\u00e5rbare enheder, som hackere kan misbruge til botnet, ransomware og spionage. Cybersecurity Ventures ansl\u00e5r, at cyberkriminalitet p\u00e5 globalt plan koster omkring 10,5 billioner dollar \u00e5rligt i 2025, og en stor del af angrebene udnytter usikre produkter.<\/p>\n\n\n\n

Indtil nu har EU’s CE-m\u00e6rkning handlet om fysisk sikkerhed, elektromagnetisk st\u00f8j og lignende. Cyber Resilience Act udvider princippet til den digitale verden: et produkt med digitale elementer skal v\u00e6re sikkert ved design (security by design) og sikkert som standard (security by default), f\u00f8r det m\u00e5 b\u00e6re CE-m\u00e6rket. Forordningen l\u00e6gger ansvaret hos producenten gennem hele produktets levetid, ikke kun p\u00e5 salgstidspunktet. Det er et fundamentalt skifte fra frivillige standarder til bindende lovkrav.<\/p>\n\n\n\n

Loven g\u00e6lder horisontalt p\u00e5 tv\u00e6rs af brancher. Den rammer b\u00e5de hardware (en IoT-sensor, en router, en b\u00e6rbar) og selvst\u00e6ndig software, og den omfatter producenter, import\u00f8rer og distribut\u00f8rer i hele forsyningsk\u00e6den. For en dansk grossist, der importerer smarte enheder fra Asien, betyder det, at ansvaret for sikkerheden f\u00f8lger med ind p\u00e5 det europ\u00e6iske marked.<\/p>\n\n\n\n

Tidslinjen: de tre datoer, der afg\u00f8r alt<\/h2>\n\n\n\n

Cyber Resilience Act indf\u00f8res i etaper. Det giver virksomhederne tid til at tilpasse sig, men det skaber ogs\u00e5 en falsk tryghed: mange opfatter 2027 som den eneste deadline og overser, at indberetningspligten allerede g\u00e6lder fra september 2026. Tabellen nedenfor viser de centrale datoer.<\/p>\n\n\n\n

Dato<\/th>Milep\u00e6l<\/th>Hvad det betyder<\/th><\/tr><\/thead>
10. december 2024<\/td>Forordningen tr\u00e6der i kraft<\/td>Overgangsperioden begynder; teksten er bindende EU-ret<\/td><\/tr>
11. juni 2026<\/td>Notificerende myndigheder<\/td>Reglerne for udpegning af bemyndigede organer begynder at g\u00e6lde<\/td><\/tr>
11. september 2026<\/td>Indberetningspligt<\/td>Aktivt udnyttede s\u00e5rbarheder og alvorlige h\u00e6ndelser skal meldes inden 24 timer<\/td><\/tr>
11. december 2027<\/td>Fuld anvendelse<\/td>Alle v\u00e6sentlige krav og overensstemmelsesvurdering g\u00e6lder fuldt ud<\/td><\/tr>
Efter december 2027<\/td>H\u00e5ndh\u00e6velse<\/td>Markedsoverv\u00e5gning og b\u00f8der kan tages i brug for produkter p\u00e5 markedet<\/td><\/tr><\/tbody><\/table>
Kilde: Europa-Kommissionen og forordning (EU) 2024\/2847.<\/figcaption><\/figure>\n\n\n\n

Den 24-timers indberetningspligt fra 11. september 2026 er strammere, end mange virksomheder er vant til. En forel\u00f8big meddelelse om en aktivt udnyttet s\u00e5rbarhed skal sendes inden for et d\u00f8gn, fulgt af mere detaljerede rapporter i de efterf\u00f8lgende dage. Det kr\u00e6ver overv\u00e5gning, processer og bemanding, som mindre producenter sj\u00e6ldent har p\u00e5 plads i dag.<\/p>\n\n\n\n

B\u00f8der p\u00e5 op til 15 mio. euro eller 2,5 % af oms\u00e6tningen<\/h2>\n\n\n\n

Som ved GDPR ligger tyngden i h\u00e5ndh\u00e6velsen. Cyber Resilience Act opererer med flere b\u00f8deniveauer afh\u00e6ngigt af, hvor alvorlig overtr\u00e6delsen er. De groveste overtr\u00e6delser af de v\u00e6sentlige cybersikkerhedskrav og indberetningspligten kan udl\u00f8se b\u00f8der p\u00e5 op til 15 mio. euro eller 2,5 % af den samlede globale \u00e5rsoms\u00e6tning, alt efter hvad der er h\u00f8jest. For andre forpligtelser er loftet 10 mio. euro eller 2 % af den globale oms\u00e6tning.<\/p>\n\n\n\n

Det er bevidst sat h\u00f8jt. EU har l\u00e6rt af GDPR, at frivillige anbefalinger ikke flytter adf\u00e6rd, men at oms\u00e6tningsbaserede b\u00f8der g\u00f8r. For en global koncern kan 2,5 % af oms\u00e6tningen l\u00f8be op i milliarder, og selv for en mellemstor dansk producent er 15 mio. euro et eksistentielt bel\u00f8b. Truslen om b\u00f8der skal flytte cybersikkerhed fra et it-anliggende til et bestyrelsesanliggende, pr\u00e6cis som NIS2-direktivet gjorde for ledelsesansvaret.<\/p>\n\n\n\n

H\u00e5ndh\u00e6velsen sker via national markedsoverv\u00e5gning. I Danmark forventes opgaven at blive forankret hos de relevante myndigheder, og en virksomhed, der ignorerer kravene, risikerer ikke kun b\u00f8der, men ogs\u00e5 at f\u00e5 sine produkter trukket tilbage fra hele det indre marked. Det sidste kan v\u00e6re langt dyrere end selve b\u00f8den.<\/p>\n\n\n\n

Hvilke produkter er omfattet af Cyber Resilience Act?<\/h2>\n\n\n\n

Forordningen d\u00e6kker det, den kalder “produkter med digitale elementer”. Det er en bred kategori, der i praksis omfatter n\u00e6sten alt, hvad der kan forbindes til et netv\u00e6rk eller en anden enhed: routere, smart-tv, overv\u00e5gningskameraer, industrielle styresystemer, apps, styresystemer, password managers og meget mere. B\u00e5de hardware og software er omfattet.<\/p>\n\n\n\n

Der er dog vigtige undtagelser. Produkter, der allerede reguleres af andre EU-regler med tilsvarende krav, falder uden for Cyber Resilience Act. Det g\u00e6lder blandt andet medicinsk udstyr, motork\u00f8ret\u00f8jer og luftfartsudstyr, som har deres egne sektorspecifikke sikkerhedsregimer. Rene cloud-tjenester reguleres prim\u00e6rt af NIS2, ikke af CRA, selvom fjernbehandling af data, der h\u00f8rer til et produkt, kan v\u00e6re omfattet.<\/p>\n\n\n\n

Vigtige og kritiske produktklasser<\/h3>\n\n\n\n

Cyber Resilience Act inddeler produkter i risikoklasser. Langt de fleste produkter (den s\u00e5kaldte standardkategori) kan klare sig med producentens egen overensstemmelsesvurdering. Men produkter med h\u00f8jere risiko, der i forordningen kaldes “vigtige” og “kritiske”, stilles over for strengere krav. Vigtige produkter omfatter for eksempel password managers, netv\u00e6rksoverv\u00e5gningssystemer, firewalls og mikrocontrollere. Kritiske produkter, som hardware-sikkerhedsmoduler og smartm\u00e5lere, kan blive underlagt obligatorisk tredjepartscertificering. Jo mere kritisk produktet er for sikkerheden, desto mere dokumentation kr\u00e6ver loven.<\/p>\n\n\n\n

290 mia. euro p\u00e5 spil: Kommissionens regnestykke<\/h2>\n\n\n\n

Europa-Kommissionens konsekvensanalyse bygger p\u00e5 et klart cost-benefit-argument. Loven ansl\u00e5s at kunne reducere omkostningerne ved cyberh\u00e6ndelser for virksomheder med mellem 180 og 290 mia. euro \u00e5rligt, n\u00e5r den er fuldt indfaset. P\u00e5 den anden side af regnestykket st\u00e5r efterlevelsesomkostningerne for industrien, som Kommissionen vurderer til omkring 29,4 mia. euro i engangsudgifter og cirka 2,5 mia. euro \u00e5rligt i l\u00f8bende omkostninger.<\/p>\n\n\n\n

Med andre ord: EU forventer, at hver euro brugt p\u00e5 efterlevelse giver et mangedobbelt afkast i form af f\u00e6rre og mindre alvorlige angreb. Det er den samme logik, der l\u00e5 bag GDPR og NIS2. Kritikere indvender dog, at gevinsterne er sv\u00e6re at m\u00e5le og spredes ud over hele \u00f8konomien, mens omkostningerne rammer konkrete virksomheder her og nu, ikke mindst de mindre.<\/p>\n\n\n\n

Post<\/th>Kommissionens estimat<\/th>Type<\/th><\/tr><\/thead>
Reduceret h\u00e6ndelsesomkostning<\/td>180-290 mia. euro<\/td>\u00c5rlig gevinst<\/td><\/tr>
Engangsudgift til efterlevelse<\/td>ca. 29,4 mia. euro<\/td>Engangsomkostning, industri<\/td><\/tr>
L\u00f8bende efterlevelse<\/td>ca. 2,5 mia. euro<\/td>\u00c5rlig omkostning, industri<\/td><\/tr>
Maksimal b\u00f8de, groveste sag<\/td>15 mio. euro \/ 2,5 %<\/td>Sanktion<\/td><\/tr>
Minimum supportperiode<\/td>5 \u00e5r<\/td>Lovpligt<\/td><\/tr><\/tbody><\/table>
Kilde: Europa-Kommissionens konsekvensanalyse og forordning (EU) 2024\/2847.<\/figcaption><\/figure>\n\n\n\n

Fem \u00e5rs sikkerhedsopdateringer bliver lovpligtigt<\/h2>\n\n\n\n

En af de mest m\u00e6rkbare \u00e6ndringer for forbrugere og virksomheder er kravet om sikkerhedsopdateringer. Hidtil har en producent kunnet s\u00e6lge en billig IoT-enhed og stoppe alle opdateringer kort efter lanceringen. Det bliver ulovligt. Cyber Resilience Act kr\u00e6ver, at producenten leverer sikkerhedsopdateringer i hele produktets forventede levetid. Hvis den forventede levetid er kortere end fem \u00e5r, skal supporten alligevel vare mindst fem \u00e5r. Er levetiden l\u00e6ngere, skal supporten f\u00f8lge den l\u00e6ngere periode.<\/p>\n\n\n\n

Det rammer is\u00e6r bunden af markedet. Engangsprodukter og ultrabillige gadgets, der i dag aldrig f\u00e5r en eneste opdatering, bliver enten dyrere eller forsvinder fra EU-markedet. For seri\u00f8se producenter er fem \u00e5rs support derimod en konkurrencefordel, de allerede leverer. Kravet om en koordineret h\u00e5ndtering af s\u00e5rbarheder, herunder en kontaktflade til at modtage rapporter fra sikkerhedsforskere, f\u00f8lger samme logik: sikkerhed skal v\u00e6re en del af produktet, ikke en eftertanke.<\/p>\n\n\n\n

Open source og den nye rolle som “open source-steward”<\/h2>\n\n\n\n

F\u00e5 dele af Cyber Resilience Act har skabt mere debat end behandlingen af open source. De f\u00f8rste udkast skabte frygt for, at frivillige udviklere og non-profit-projekter kunne blive holdt ansvarlige for s\u00e5rbarheder i kode, de stiller gratis til r\u00e5dighed. Efter massiv kritik fra open source-f\u00e6llesskabet blev teksten justeret.<\/p>\n\n\n\n

Den endelige forordning undtager open source-software, der udvikles eller leveres uden for en kommerciel aktivitet. Samtidig indf\u00f8rer den en helt ny figur: “open source-steward”. Det er organisationer, der p\u00e5 struktureret vis underst\u00f8tter udvikling og vedligeholdelse af open source-projekter, og som f\u00e5r et afgr\u00e6nset, lettere ansvar end en kommerciel producent. Tanken er at beskytte det digitale f\u00e6lleseje, som store dele af den europ\u00e6iske softwareindustri bygger p\u00e5, uden helt at fritage det for sikkerhedsansvar. Open source-komponenter, der indg\u00e5r i et kommercielt produkt, t\u00e6ller fortsat med, n\u00e5r producenten skal dokumentere efterlevelse.<\/p>\n\n\n\n

CRA, NIS2 og DORA: s\u00e5dan h\u00e6nger EU-reglerne sammen<\/h2>\n\n\n\n

Cyber Resilience Act st\u00e5r ikke alene. Den er en brik i et st\u00f8rre europ\u00e6isk regels\u00e6t, der ogs\u00e5 omfatter NIS2-direktivet og DORA. For mange danske virksomheder er den store udfordring at forst\u00e5, hvilke regler der g\u00e6lder for hvad, og hvordan de overlapper. Kort sagt: CRA regulerer produkter, NIS2 regulerer organisationer, og DORA regulerer den finansielle sektors driftsstabilitet.<\/p>\n\n\n\n

Regel<\/th>Hvad den regulerer<\/th>Hvem den rammer<\/th>Central dato<\/th><\/tr><\/thead>
Cyber Resilience Act<\/td>Cybersikkerhed i produkter med digitale elementer<\/td>Producenter, import\u00f8rer, distribut\u00f8rer<\/td>Fuld anvendelse 11. dec. 2027<\/td><\/tr>
NIS2-direktivet<\/td>Organisationers cybersikkerhed i kritiske sektorer<\/td>V\u00e6sentlige og vigtige enheder (ca. 6.000 i Danmark)<\/td>Implementeres nationalt 2024-2026<\/td><\/tr>
DORA<\/td>Digital driftsstabilitet i den finansielle sektor<\/td>Banker, forsikring, fintech og deres it-leverand\u00f8rer<\/td>G\u00e6lder fra 17. jan. 2025<\/td><\/tr>
GDPR<\/td>Beskyttelse af personoplysninger<\/td>Alle der behandler persondata<\/td>G\u00e6lder fra 25. maj 2018<\/td><\/tr><\/tbody><\/table>
Sammenligning af de fire centrale EU-regels\u00e6t for danske virksomheder.<\/figcaption><\/figure>\n\n\n\n

Overlappet er reelt. En dansk bank, der udvikler en betalingsterminal, kan p\u00e5 \u00e9n gang v\u00e6re omfattet af DORA som finansiel enhed, af NIS2 som kritisk udbyder og af CRA som producent af et produkt med digitale elementer. Det stiller store krav til intern koordinering, og det er en af grundene til, at eftersp\u00f8rgslen efter compliance-specialister er steget kraftigt i Norden.<\/p>\n\n\n\n

Hvad Cyber Resilience Act betyder for danske og nordiske virksomheder<\/h2>\n\n\n\n

Danmark er en digital frontl\u00f8ber, og det sk\u00e6rer begge veje. Mange danske virksomheder har allerede en moden sikkerhedskultur og vil have lettere ved at leve op til kravene. Men landet har ogs\u00e5 en stor underskov af hardware- og softwareproducenter, hjemmesideudbydere og IoT-startups, for hvem Cyber Resilience Act bliver en helt ny byrde. Center for Cybersikkerhed (CFCS) vurderer fortsat truslen fra cyberkriminalitet mod Danmark som “MEGET H\u00d8J”, og loven skal ses p\u00e5 den baggrund.<\/p>\n\n\n\n

For de cirka 6.000 danske virksomheder, der allerede er i gang med NIS2, er CRA en udvidelse af et arbejde, de kender. For de mange mindre producenter, der ikke er omfattet af NIS2, kommer kravene mere bardus. De skal opbygge teknisk dokumentation, en proces for s\u00e5rbarhedsh\u00e5ndtering, en kanal til indberetning og en plan for fem \u00e5rs opdateringer. For en virksomhed med ti ansatte er det en stor mundfuld.<\/p>\n\n\n\n

Den nordiske dimension forst\u00e6rker presset. Svenske, norske og finske producenter st\u00e5r over for de samme krav, og det indre marked betyder, at et produkt, der ikke lever op til CRA, ikke bare er udelukket fra Danmark, men fra hele EU og E\u00d8S. For eksportorienterede nordiske virksomheder er efterlevelse derfor ikke til diskussion, men en adgangsbillet til deres vigtigste marked.<\/p>\n\n\n\n

Eksperterne: bred opbakning, men advarsler om byrden<\/h2>\n\n\n\n

Cyber Resilience Act blev m\u00f8dt med bred politisk opbakning, men ogs\u00e5 med bekymring for, om reglerne kan h\u00e5ndteres af mindre virksomheder. Da der blev opn\u00e5et politisk enighed om forordningen i december 2023, sagde dav\u00e6rende EU-kommiss\u00e6r for det indre marked Thierry Breton: “Med Cyber Resilience Act s\u00e6tter vi spillereglerne for et digitalt Europa, der er sikkert ved design.” Han tilf\u00f8jede, at aftalen vil sikre, “at produkter med digitale elementer er sikre ved design og som standard, og at forbrugere og virksomheder kan stole p\u00e5 de digitale produkter, de k\u00f8ber og bruger.”<\/p>\n\n\n\n

Henna Virkkunen, Europa-Kommissionens ledende n\u00e6stformand med ansvar for teknologisk suver\u00e6nitet, sikkerhed og demokrati, har offentligt fremf\u00f8rt, at loven skal g\u00f8re sikre produkter til normen i hele EU og styrke det indre marked ved at g\u00f8re sikkerhed til et grundvilk\u00e5r snarere end et tilvalg. Det er Kommissionens gennemg\u00e5ende budskab: CRA handler lige s\u00e5 meget om tillid til europ\u00e6iske produkter som om forsvar mod angreb.<\/p>\n\n\n\n

Fra EU’s cybersikkerhedsagentur ENISA har direkt\u00f8r Juhan Lepassaar i forbindelse med agenturets CRA-materiale beskrevet forordningen som et afg\u00f8rende skridt mod at reducere s\u00e5rbarheder i digitale produkter og h\u00e6ve det grundl\u00e6ggende sikkerhedsniveau i hele EU’s digitale \u00f8kosystem. ENISA f\u00e5r en central rolle i at modtage og koordinere indberetninger om s\u00e5rbarheder fra september 2026.<\/p>\n\n\n\n

Industrien er mere forbeholden. Cecilia Bonefeld-Dahl, der er dansk og generaldirekt\u00f8r for brancheorganisationen DIGITALEUROPE, har konsekvent st\u00f8ttet ambitionen om st\u00e6rkere cybersikkerhed, men advaret om, at gennemf\u00f8relsen skal v\u00e6re praktisk gennemf\u00f8rlig og ikke m\u00e5 overl\u00e6sse virksomhederne, s\u00e6rligt sm\u00e5 og mellemstore, med un\u00f8dig administrativ byrde. Hendes pointe rammer kernen i debatten: alle er enige om m\u00e5let, men uenige om, hvor tungt vejen dertil m\u00e5 veje p\u00e5 de mindste akt\u00f8rer.<\/p>\n\n\n\n

Historisk kontekst: fra GDPR til sikkerhed indbygget i produkter<\/h2>\n\n\n\n

For at forst\u00e5 Cyber Resilience Act skal man se den i lyset af EU’s seneste ti \u00e5rs digitale lovgivning. GDPR fra 2018 satte standarden: en forordning med direkte virkning, oms\u00e6tningsbaserede b\u00f8der og global r\u00e6kkevidde via den s\u00e5kaldte Bruxelles-effekt. NIS-direktivet fra 2016 og dets afl\u00f8ser NIS2 udvidede kravene til kritisk infrastruktur og organisationer. CRA lukker det sidste store hul: selve produkterne.<\/p>\n\n\n\n

M\u00f8nstret er tydeligt. EU bruger sit indre marked p\u00e5 cirka 450 millioner forbrugere som l\u00f8ftestang til at s\u00e6tte globale standarder. En producent i Asien eller USA, der vil s\u00e6lge i Europa, m\u00e5 indrette sig efter europ\u00e6iske regler, og ofte ruller virksomhederne s\u00e5 de samme standarder ud globalt, fordi det er for dyrt at lave to versioner. CRA er det seneste eksempel p\u00e5, at Bruxelles fors\u00f8ger at eksportere sine v\u00e6rdier om sikkerhed og privatliv gennem markedsadgang frem for gennem gr\u00e6nsekontrol.<\/p>\n\n\n\n

Markedseffekt: vindere og tabere<\/h2>\n\n\n\n

Cyber Resilience Act omfordeler konkurrencevilk\u00e5r. Vinderne bliver de producenter, der allerede investerer i sikkerhed, samt en hastigt voksende industri af compliance-r\u00e5dgivere, testlaboratorier og bemyndigede organer. Cybersikkerhed bliver et salgsargument, ikke bare en omkostning, og europ\u00e6iske virksomheder med st\u00e6rke sikkerhedsprocesser kan vende reglerne til en fordel over for billige importprodukter.<\/p>\n\n\n\n

Taberne bliver bunden af markedet. Producenter af ekstremt billige IoT-enheder, der lever af lave priser og ingen support, f\u00e5r sv\u00e6rt ved at f\u00e5 regnestykket til at g\u00e5 op. Nogle vil tr\u00e6kke produkter fra EU-markedet, andre vil h\u00e6ve priserne. For forbrugerne betyder det formentlig lidt dyrere, men mere holdbare og sikre produkter. For de mindste europ\u00e6iske startups er den st\u00f8rste risiko, at compliance-byrden bliver en barriere, der favoriserer de store, der har juridiske afdelinger til at h\u00e5ndtere papirarbejdet.<\/p>\n\n\n\n

Fem forudsigelser frem mod 2027<\/h2>\n\n\n\n

Hvor bev\u00e6ger udviklingen sig hen? Fem konkrete forudsigelser tegner sig p\u00e5 baggrund af lovens tidslinje og erfaringerne fra GDPR og NIS2.<\/p>\n\n\n\n