Klockan tickar för varje uppkopplad produkt som säljs i EU. Den 11 juni 2026 passerade den första hårda tidsfristen i Cyber Resilience Act, EU:s nya produktsäkerhetslag, då medlemsstaterna skulle ha anmält sina organ för bedömning av överensstämmelse. Nästa anhalt är allvarligare: från och med den 11 september 2026 måste tillverkare rapportera aktivt utnyttjade sårbarheter inom 24 timmar. Den som missar kraven riskerar böter på upp till 15 miljoner euro eller 2,5 procent av den globala årsomsättningen.
För nordiska tillverkare av allt från övervakningskameror och nätverksutrustning till smarta vitvaror och industristyrsystem innebär lagen ett systemskifte. Säkerhet upphör att vara en frivillig kvalitetsstämpel och blir ett lagkrav med CE-märkning, teknisk dokumentation och ansvar genom hela leverantörskedjan. Den här analysen går igenom vad Cyber Resilience Act kräver, vilka datum som gäller, hur böterna är konstruerade och vad regelverket betyder för marknaden i Sverige och Norden.
Vad är Cyber Resilience Act?
Cyber Resilience Act, formellt förordning (EU) 2024/2847, är världens första lag som ställer obligatoriska cybersäkerhetskrav på själva produkterna. Den trädde i kraft den 10 december 2024 och gäller direkt i alla medlemsstater utan att Sverige behöver skriva om den till nationell rätt. Det skiljer den från cybersäkerhetslagen, som är Sveriges sätt att genomföra NIS2-direktivet.
Lagen omfattar det den kallar produkter med digitala element. Definitionen är bred: alla hårdvaru- och mjukvaruprodukter vars avsedda eller rimligen förutsebara användning innefattar en direkt eller indirekt anslutning till en enhet eller ett nätverk. En router, en app, ett operativsystem, en smart termostat, ett babylarm med wifi och en industriell styrenhet ryms alla under samma paraply. Produkter som redan regleras genom egna sektorsregler, exempelvis vissa medicintekniska produkter och fordon, undantas för att undvika dubbelreglering.
Syftet, så som Europeiska kommissionen beskriver det, är att täppa till två återkommande problem på den digitala inre marknaden: en låg cybersäkerhetsnivå i många produkter och bristande information som gör att användare inte kan välja säkrare alternativ. Kommissionen har i sitt lagstiftningsarbete hänvisat till uppskattningar om att cyberbrottslighet kostar världsekonomin i storleksordningen biljoner euro per år. Cyber Resilience Act ska flytta ansvaret tillbaka till den som tillverkar och säljer produkten, genom hela livscykeln.
Tidslinjen: så trappas kraven upp
Cyber Resilience Act införs stegvis. Det ger tillverkarna tid, men det innebär också att olika delar av lagen aktiveras vid olika datum. Två milstolpar inträffar under 2026, och den fulla tillämpningen kommer i slutet av 2027. Tabellen nedan visar de centrala datumen.
| Datum | Milstolpe | Vad som händer |
|---|---|---|
| 10 december 2024 | Ikraftträdande | Förordning (EU) 2024/2847 träder i kraft. Övergångsperioden inleds. |
| 11 juni 2026 | Anmälda organ | Medlemsstaterna ska ha anmält sina organ för bedömning av överensstämmelse. |
| 11 september 2026 | Rapporteringsplikt | Tillverkare måste rapportera aktivt utnyttjade sårbarheter och allvarliga incidenter till ENISA och nationell CSIRT. |
| 11 december 2027 | Full tillämpning | Samtliga väsentliga krav gäller. CE-märkning krävs för att få sälja produkten på EU-marknaden. |
| Efter 11 december 2027 | Befintliga produkter | Produkter som släpptes ut före full tillämpning omfattas fullt ut först om de genomgår en väsentlig ändring. |
Den viktiga signalen för 2026 är att rapporteringsplikten kommer mer än ett år före resten av regelverket. Lagstiftaren prioriterade alltså att snabbt få insyn i vilka sårbarheter som faktiskt utnyttjas, innan den bredare kravbilden slår igenom. För en tillverkare betyder det att processer för sårbarhetshantering och incidentrapportering måste finnas på plats först, inte sist.
Böterna: upp till 15 miljoner euro eller 2,5 procent
Cyber Resilience Act har tre nivåer av sanktionsavgifter, beroende på hur allvarlig överträdelsen är. Liksom i GDPR och NIS2 är taket satt som det högsta av ett fast belopp eller en andel av den globala årsomsättningen, vilket gör att även stora koncerner känner av det. Tabellen visar nivåerna.
| Kategori av överträdelse | Bötestak (det högsta av) | Andel av global omsättning |
|---|---|---|
| Brott mot väsentliga cybersäkerhetskrav och tillverkarens kärnskyldigheter | 15 miljoner euro | 2,5 % |
| Brott mot övriga skyldigheter i förordningen | 10 miljoner euro | 2 % |
| Felaktig, ofullständig eller vilseledande information till anmälda organ eller tillsynsmyndigheter | 5 miljoner euro | 1 % |
Beloppen är de maximala tak som anges i EU-förordningen. Det är de nationella marknadskontrollmyndigheterna som tillämpar dem och som väger in faktorer som överträdelsens allvar, varaktighet och om den var avsiktlig. För ett bolag med tio miljarder kronor i global omsättning betyder 2,5-procentsgränsen att exponeringen i praktiken kan bli betydligt högre än 15 miljoner euro. Det är just kopplingen till omsättning som gör att styrelser och ledningsgrupper, inte bara säkerhetsavdelningar, nu engagerar sig i produktsäkerhet.
24 timmar och 72 timmar: den nya rapporteringsplikten
Från och med den 11 september 2026 måste en tillverkare som upptäcker en aktivt utnyttjad sårbarhet eller en allvarlig incident i en produkt agera snabbt. Lagen bygger en rapporteringstrappa som påminner om den i NIS2 och DORA, men riktad mot produkten i stället för organisationen.
- Inom 24 timmar: en tidig förvarning till ENISA och den nationella CSIRT, utan onödigt dröjsmål från att tillverkaren blivit medveten om händelsen.
- Inom 72 timmar: en mer fullständig incidentanmälan med bedömning av allvar och påverkan.
- Slutrapport: en avslutande rapport med åtgärder och lärdomar, enligt de tidsfrister som gäller för respektive händelsetyp.
Det centrala navet är ENISA:s gemensamma rapporteringsplattform. Tanken är att en tillverkare ska kunna lämna en anmälan på ett ställe i stället för att jaga olika myndigheter i 27 länder. Rapporterna delas sedan med behöriga nationella myndigheter och berörda CSIRT-funktioner. I Sverige är det den statliga incidenthanteringsfunktionen CERT-SE inom MSB som hanterar den nationella delen av samspelet med EU:s struktur.
För många mindre tillverkare är 24-timmarsfristen den mest skrämmande delen. Den förutsätter att bolaget har en bemannad process som kan upptäcka, bedöma och eskalera en sårbarhet på timmar, inte veckor. Det är en kapacitet som hittills mest funnits hos banker och kritisk infrastruktur, men som nu sprider sig till hela tillverkningssektorn.
Tillverkarnas nya ansvar: säkerhet i designen
Kärnan i Cyber Resilience Act är principen om säkerhet inbyggd och säkerhet som standard. Skyldigheterna sträcker sig över hela livscykeln: planering, design, utveckling, produktion, leverans och underhåll. I praktiken innebär det en lista konkreta krav som varje tillverkare måste uppfylla.
- Produkten får inte släppas ut på marknaden med kända, exploaterbara sårbarheter.
- Tillverkaren ska hantera sårbarheter under hela supportperioden och tillhandahålla säkerhetsuppdateringar.
- En EU-försäkran om överensstämmelse ska upprättas och produkten ska CE-märkas när lagen tillämpas fullt ut.
- Teknisk dokumentation ska bevaras i tio år, eller under supportperioden om den är längre.
- Användaren ska få tydlig information om säkerhetsegenskaper och hur länge produkten får uppdateringar.
SBOM blir ett krav i praktiken
För att kunna visa att en produkt inte innehåller kända sårbarheter måste tillverkaren veta vad produkten faktiskt består av. Här kommer en programvaruförteckning, software bill of materials eller SBOM, in i bilden. Den tekniska dokumentation som lagen kräver förutsätter i praktiken att tillverkaren kan redovisa sina komponenter och beroenden i ett maskinläsbart format, ofta CycloneDX eller SPDX. Ett förenklat utdrag kan se ut så här:
{
"bomFormat": "CycloneDX",
"specVersion": "1.6",
"components": [
{
"type": "library",
"name": "openssl",
"version": "3.4.1",
"purl": "pkg:generic/[email protected]"
},
{
"type": "library",
"name": "zlib",
"version": "1.3.1",
"purl": "pkg:generic/[email protected]"
}
]
}När en ny sårbarhet i ett bibliotek publiceras kan tillverkaren med en aktuell SBOM på minuter avgöra vilka produkter som berörs, i stället för att gissa. Det är skillnaden mellan att klara 24-timmarsfristen och att missa den.
Default, viktig eller kritisk: så klassas produkterna
Alla produkter behandlas inte lika. Cyber Resilience Act delar in dem i tre riskklasser, och klassen avgör hur sträng kontrollen blir innan produkten får CE-märkas.
- Standardklassen: den stora majoriteten av produkter. Enligt vanligt citerade uppskattningar faller omkring 90 procent av alla produkter med digitala element här. Tillverkaren får göra en egen bedömning av överensstämmelse.
- Viktiga produkter: säkerhetskänsliga kategorier som lösenordshanterare, brandväggar, intrångsdetektering och vissa operativsystem. Här ställs hårdare krav på bedömningsförfarandet.
- Kritiska produkter: de mest känsliga klasserna, där tredjepartsgranskning via ett anmält organ kan krävas.
Indelningen speglar en pragmatisk avvägning. Lagstiftaren ville inte tvinga varje uppkopplad leksak genom dyr tredjepartscertifiering, men ville samtidigt sätta ribban högt för produkter vars sårbarheter kan få stor spridningseffekt. Att en produkt hamnar i standardklassen betyder dock inte att den slipper kraven, bara att tillverkaren själv intygar att de är uppfyllda, med fullt ansvar om intyget är fel.
Öppen källkod och rollen som open source steward
En av de mest omdebatterade frågorna under förhandlingarna var hur öppen källkod skulle behandlas. Mycket av världens digitala infrastruktur vilar på fritt tillgängliga komponenter som underhålls ideellt, och ett klumpigt regelverk hade kunnat skrämma bort underhållare. Lösningen blev en ny kategori i lagen: open source steward, en förvaltare av öppen programvara.
Distinktionen är central. En privatperson eller ideell utvecklare som bidrar med öppen kod utan kommersiellt syfte omfattas inte av de fulla skyldigheter som vilar på en tillverkare, och icke-kommersiella utvecklare undantas från böter. En aktör som däremot förvaltar öppen programvara på ett strukturerat sätt, en steward, får ett lättare anpassat regelverk med fokus på säkerhetspolicy och samarbete med tillverkare. När den öppna komponenten väl byggs in i en kommersiell produkt är det den slutliga tillverkaren som bär ansvaret enligt lagen.
Cyber Resilience Act, NIS2 och DORA: tre lager, tre lagar
Cyber Resilience Act anländer mitt i en våg av EU-regler som lätt blandas ihop. Den som vill förstå sin egen exponering behöver hålla isär de tre stora: produkten, organisationen och finanssektorn. Tabellen ställer dem mot varandra.
| Aspekt | Cyber Resilience Act | NIS2 (cybersäkerhetslagen) | DORA |
|---|---|---|---|
| Reglerar | Produkter med digitala element | Väsentliga och viktiga verksamheter | Finansiella entiteter och deras IT-leverantörer |
| Rättslig form | Förordning (gäller direkt) | Direktiv (nationell lag krävs) | Förordning (gäller direkt) |
| Träder i kraft | Krav från 2026, fullt 2027 | Cybersäkerhetslagen 15 januari 2026 | Tillämpas sedan 17 januari 2025 |
| Bötestak | 15 M euro / 2,5 % | Speglar NIS2-nivåerna, upp till 10 M euro | Sektorsspecifika sanktioner |
| Ansvarig i Sverige | Marknadskontrollmyndigheter | MSB, PTS och sektorsmyndigheter | Finansinspektionen |
Reglerna kompletterar varandra snarare än överlappar. En tillverkare kan behöva CRA-efterlevnad för produkten, samtidigt som ett sjukhus som använder produkten har NIS2-skyldigheter för sin organisation och en bank har DORA-krav för sin operativa motståndskraft. Den som köper in en uppkopplad produkt kommer i förlängningen att kunna kräva CRA-bevis av leverantören som en del av sin egen NIS2- eller DORA-efterlevnad. På så sätt förstärker lagarna varandra genom hela leverantörskedjan.
Vad det betyder för Norden och svenska tillverkare
Norden är en region med ovanligt många bolag som tillverkar just produkter med digitala element. Svensk industri är stark inom nätverkskameror, telekomutrustning, industriautomation och uppkopplade konsumentprodukter. Alla dessa hamnar i Cyber Resilience Acts tillämpningsområde så snart produkterna säljs på EU-marknaden, oavsett var bolaget har sitt huvudkontor.
Det nordiska hotläget understryker varför regelverket kommer nu. I DNV:s nordiska rapport för 2026 noterades 60 cyberincidenter i Sverige under 2025, fler än i något annat nordiskt land. Tabellen visar fördelningen.
| Land | Observerade cyberincidenter 2025 |
|---|---|
| Sverige | 60 |
| Finland | 44 |
| Danmark | 41 |
| Norge | 21 |
Statsminister Ulf Kristersson har offentligt beskrivit att Sverige utsätts för vad han kallat “enorma cyberattacker”, och har pekat på att tjänster som SVT, banker och BankID har drabbats. Den politiska viljan att lagstifta om säkerhet är därför hög. För svenska exportbolag innebär Cyber Resilience Act samtidigt en konkurrensfördel på sikt: den som tidigt bygger in säkerhet och kan visa upp dokumentation får lättare att sälja in mot kunder som själva pressas av NIS2 och DORA.
Marknadspåverkan: kostnader, konsolidering och konkurrens
Efterlevnad kostar pengar, och notan faller olika hårt. En jämförelse ger en fingervisning: konsultbolaget Frontier Economics har uppskattat de årliga efterlevnadskostnaderna för NIS2 till omkring 31,2 miljarder euro i EU. Cyber Resilience Act träffar en ännu bredare krets, eftersom den omfattar varje tillverkare oavsett storlek, inte bara väsentliga verksamheter. För ett stort bolag är kostnaden hanterbar. För ett litet hårdvarubolag med tunna marginaler kan kravet på sårbarhetshantering, dokumentation och rapporteringsberedskap bli avgörande.
Tre marknadseffekter är redan synliga. Den första är en framväxande tjänstemarknad: konsulter, SBOM-verktyg och plattformar för sårbarhetshantering säljer in sig som genväg till efterlevnad. Den andra är en risk för konsolidering, där mindre tillverkare köps upp eller drar sig ur EU-marknaden hellre än att bygga compliance-funktioner. Den tredje är en kvalitetshöjning: när säkerhet blir ett krav i upphandlingar premieras de leverantörer som kan bevisa den, vilket gynnar seriösa aktörer på bekostnad av billiga produkter utan uppdateringslöfte.
Historisk kontext: från frivillighet till tvång
Cyber Resilience Act är slutpunkten på ett decennium av misslyckad frivillighet. Under 2010-talet svämmade marknaden över av uppkopplade prylar utan grundläggande säkerhet, sammanfattat av Mirai-botnätet 2016 som kapade hundratusentals osäkra IoT-enheter och slog ut stora delar av internet i en överbelastningsattack. Frivilliga märkningar och branschstandarder följde, men utan tvång saknade de genomslag.
EU valde samma modell som varit framgångsrik för produktsäkerhet i övrigt: en förordning med CE-märkning och marknadskontroll. Europaparlamentets rapportör Bart Groothuis (Renew Europe) drev under förhandlingarna linjen att ansvaret måste ligga hos tillverkaren och inte hos den enskilde användaren, och att en produkt med digitala element ska vara säker när den lämnar fabriken. Resultatet blev en lag som behandlar mjukvarusäkerhet på samma sätt som EU sedan länge behandlar elsäkerhet eller leksakers giftfrihet. Det är en principiell förskjutning: säkerhet är inte längre en funktion man kan välja bort.
Expertröster och reaktioner
Europeiska kommissionen är tydlig med sitt mål. I sin officiella beskrivning av lagen framhåller kommissionen att produkter med digitala element ofta släpps ut med otillräcklig säkerhet och att Cyber Resilience Act ska säkerställa att de är säkra genom hela livscykeln, från design till underhåll. Det är ramen som hela regelverket vilar på.
ENISA, EU:s cybersäkerhetsbyrå, får en central operativ roll genom den gemensamma rapporteringsplattform som ska ta emot tillverkarnas anmälningar från september 2026. Byrån har länge argumenterat för att samordnad sårbarhetshantering är en förutsättning för en motståndskraftig digital inre marknad, och plattformen är det konkreta uttrycket för den linjen.
Branschens jurister varnar samtidigt för tempot. I analyser från advokatbyråer som följer regelverket återkommer budskapet att klockan tickar och att förberedelserna måste börja långt före 2027, eftersom sårbarhetshanteringen och rapporteringsplikten redan slår till 2026. DNV, som kartlägger nordisk cybermotståndskraft, konstaterar i sin rapport för 2026 att nordiska bolag generellt ligger efter med att bygga den löpande beredskap som lagen nu kräver. Den gemensamma slutsatsen är att efterlevnad är ett projekt som tar månader, inte veckor.
Fem prognoser för Cyber Resilience Act fram till 2027
- SBOM blir global standard. EU:s krav får genomslag långt utanför unionen, en så kallad Brysseleffekt, eftersom tillverkare ogärna bygger två produktlinjer. Programvaruförteckningar blir norm även på marknader utan egna lagkrav.
- Första rapporteringsvågen prövar plattformen. När 24-timmarsplikten aktiveras den 11 september 2026 väntar en kraftig ökning av anmälningar till ENISA:s plattform. Kapacitet och triage blir en tidig stresstest för hela systemet.
- Billiga produkter lämnar EU-marknaden. En del lågmarginalprodukter utan uppdateringslöfte försvinner från unionen hellre än att klara kraven, vilket på kort sikt minskar utbudet i vissa kategorier.
- En tjänstemarknad för efterlevnad växer snabbt. Konsulter, verktyg och plattformar för CRA-efterlevnad blir en egen bransch i Norden, på samma sätt som GDPR födde en hel rådgivningssektor.
- Böterna dröjer men kommer. De första riktigt stora sanktionsbesluten kommer sannolikt inte förrän efter den fulla tillämpningen 2027, men de blir en väckarklocka för en hel marknad när de väl faller.
Vanliga frågor om Cyber Resilience Act
När börjar Cyber Resilience Act gälla?
Lagen trädde i kraft den 10 december 2024. Rapporteringsplikten för aktivt utnyttjade sårbarheter gäller från den 11 september 2026, och samtliga väsentliga krav, inklusive CE-märkning, tillämpas fullt ut från den 11 december 2027.
Hur höga är böterna?
Det högsta taket är 15 miljoner euro eller 2,5 procent av den globala årsomsättningen, beroende på vilket som är högst, för brott mot de väsentliga kraven. Lägre nivåer på 10 respektive 5 miljoner euro gäller för andra typer av överträdelser.
Vilka produkter omfattas?
Alla produkter med digitala element som säljs på EU-marknaden, det vill säga hård- och mjukvara som kan anslutas till en enhet eller ett nätverk. Det inkluderar allt från appar och routrar till smarta vitvaror och industristyrning. Vissa redan reglerade kategorier, som medicintekniska produkter och fordon, undantas.
Måste min produkt CE-märkas för cybersäkerhet?
Ja. När lagen tillämpas fullt ut den 11 december 2027 krävs en EU-försäkran om överensstämmelse och CE-märkning för att få släppa ut produkten på marknaden. Hur granskningen går till beror på om produkten klassas som standard, viktig eller kritisk.
Hur skiljer sig Cyber Resilience Act från NIS2?
Cyber Resilience Act reglerar produkten, medan NIS2, som i Sverige genomförs genom cybersäkerhetslagen, reglerar organisationen. En tillverkare kan behöva följa CRA för sina produkter och NIS2 för sin egen verksamhet samtidigt. De är komplement, inte alternativ.
Påverkas öppen källkod?
Icke-kommersiella utvecklare av öppen källkod undantas från böter och de fulla tillverkarskyldigheterna. Lagen inför en särskild, lättare roll kallad open source steward för aktörer som förvaltar öppen programvara. Ansvaret för en kommersiell slutprodukt ligger dock alltid hos tillverkaren.
Vad behöver ett bolag göra först?
Det mest brådskande är att bygga en process för sårbarhetshantering och incidentrapportering, eftersom den plikten slår till redan i september 2026. Därefter följer arbete med SBOM, teknisk dokumentation, säker design och förberedelser för CE-märkning inför 2027.
Relaterad läsning
- Cybersäkerhetslagen: 8 000 företag, 2 % böter [2026]
- Ransomware 2026: Sverige värst i Norden, 60 incidenter
- Cyberattacker mot Sverige: 3 215 i veckan [2026]
- Ryskt sabotage mot kritisk infrastruktur: 60 fall [2026]
- Dataintrång: hur de sker och hur du skyddar dig
- Säkerhet online: dataintrång, lösenord, HTTPS och nätfiske
