{"id":87,"date":"2026-06-15T20:48:21","date_gmt":"2026-06-15T20:48:21","guid":{"rendered":"https:\/\/shattered.io\/se\/2026\/06\/15\/cyber-resilience-act-2026\/"},"modified":"2026-06-16T08:35:08","modified_gmt":"2026-06-16T08:35:08","slug":"cyber-resilience-act-2026","status":"publish","type":"post","link":"https:\/\/shattered.io\/se\/cyber-resilience-act-2026\/","title":{"rendered":"Cyber Resilience Act: 15 M\u20ac i b\u00f6ter [2026]"},"content":{"rendered":"\n

Klockan tickar f\u00f6r varje uppkopplad produkt som s\u00e4ljs i EU. Den 11 juni 2026 passerade den f\u00f6rsta h\u00e5rda tidsfristen i Cyber Resilience Act<\/strong>, EU:s nya produkts\u00e4kerhetslag, d\u00e5 medlemsstaterna skulle ha anm\u00e4lt sina organ f\u00f6r bed\u00f6mning av \u00f6verensst\u00e4mmelse. N\u00e4sta anhalt \u00e4r allvarligare: fr\u00e5n och med den 11 september 2026 m\u00e5ste tillverkare rapportera aktivt utnyttjade s\u00e5rbarheter inom 24 timmar. Den som missar kraven riskerar b\u00f6ter p\u00e5 upp till 15 miljoner euro eller 2,5 procent av den globala \u00e5rsoms\u00e4ttningen.<\/p>\n\n\n\n

F\u00f6r nordiska tillverkare av allt fr\u00e5n \u00f6vervakningskameror och n\u00e4tverksutrustning till smarta vitvaror och industristyrsystem inneb\u00e4r lagen ett systemskifte. S\u00e4kerhet upph\u00f6r att vara en frivillig kvalitetsst\u00e4mpel och blir ett lagkrav med CE-m\u00e4rkning, teknisk dokumentation och ansvar genom hela leverant\u00f6rskedjan. Den h\u00e4r analysen g\u00e5r igenom vad Cyber Resilience Act kr\u00e4ver, vilka datum som g\u00e4ller, hur b\u00f6terna \u00e4r konstruerade och vad regelverket betyder f\u00f6r marknaden i Sverige och Norden.<\/p>\n\n\n\n

Vad \u00e4r Cyber Resilience Act?<\/h2>\n\n\n\n

Cyber Resilience Act, formellt f\u00f6rordning (EU) 2024\/2847, \u00e4r v\u00e4rldens f\u00f6rsta lag som st\u00e4ller obligatoriska cybers\u00e4kerhetskrav p\u00e5 sj\u00e4lva produkterna. Den tr\u00e4dde i kraft den 10 december 2024 och g\u00e4ller direkt i alla medlemsstater utan att Sverige beh\u00f6ver skriva om den till nationell r\u00e4tt. Det skiljer den fr\u00e5n cybers\u00e4kerhetslagen, som \u00e4r Sveriges s\u00e4tt att genomf\u00f6ra NIS2-direktivet.<\/p>\n\n\n\n

Lagen omfattar det den kallar produkter med digitala element<\/strong>. Definitionen \u00e4r bred: alla h\u00e5rdvaru- och mjukvaruprodukter vars avsedda eller rimligen f\u00f6rutsebara anv\u00e4ndning innefattar en direkt eller indirekt anslutning till en enhet eller ett n\u00e4tverk. En router, en app, ett operativsystem, en smart termostat, ett babylarm med wifi och en industriell styrenhet ryms alla under samma paraply. Produkter som redan regleras genom egna sektorsregler, exempelvis vissa medicintekniska produkter och fordon, undantas f\u00f6r att undvika dubbelreglering.<\/p>\n\n\n\n

Syftet, s\u00e5 som Europeiska kommissionen beskriver det, \u00e4r att t\u00e4ppa till tv\u00e5 \u00e5terkommande problem p\u00e5 den digitala inre marknaden: en l\u00e5g cybers\u00e4kerhetsniv\u00e5 i m\u00e5nga produkter och bristande information som g\u00f6r att anv\u00e4ndare inte kan v\u00e4lja s\u00e4krare alternativ. Kommissionen har i sitt lagstiftningsarbete h\u00e4nvisat till uppskattningar om att cyberbrottslighet kostar v\u00e4rldsekonomin i storleksordningen biljoner euro per \u00e5r. Cyber Resilience Act ska flytta ansvaret tillbaka till den som tillverkar och s\u00e4ljer produkten, genom hela livscykeln.<\/p>\n\n\n\n

Tidslinjen: s\u00e5 trappas kraven upp<\/h2>\n\n\n\n

Cyber Resilience Act inf\u00f6rs stegvis. Det ger tillverkarna tid, men det inneb\u00e4r ocks\u00e5 att olika delar av lagen aktiveras vid olika datum. Tv\u00e5 milstolpar intr\u00e4ffar under 2026, och den fulla till\u00e4mpningen kommer i slutet av 2027. Tabellen nedan visar de centrala datumen.<\/p>\n\n\n\n

Datum<\/th>Milstolpe<\/th>Vad som h\u00e4nder<\/th><\/tr><\/thead>
10 december 2024<\/td>Ikrafttr\u00e4dande<\/td>F\u00f6rordning (EU) 2024\/2847 tr\u00e4der i kraft. \u00d6verg\u00e5ngsperioden inleds.<\/td><\/tr>
11 juni 2026<\/td>Anm\u00e4lda organ<\/td>Medlemsstaterna ska ha anm\u00e4lt sina organ f\u00f6r bed\u00f6mning av \u00f6verensst\u00e4mmelse.<\/td><\/tr>
11 september 2026<\/td>Rapporteringsplikt<\/td>Tillverkare m\u00e5ste rapportera aktivt utnyttjade s\u00e5rbarheter och allvarliga incidenter till ENISA och nationell CSIRT.<\/td><\/tr>
11 december 2027<\/td>Full till\u00e4mpning<\/td>Samtliga v\u00e4sentliga krav g\u00e4ller. CE-m\u00e4rkning kr\u00e4vs f\u00f6r att f\u00e5 s\u00e4lja produkten p\u00e5 EU-marknaden.<\/td><\/tr>
Efter 11 december 2027<\/td>Befintliga produkter<\/td>Produkter som sl\u00e4pptes ut f\u00f6re full till\u00e4mpning omfattas fullt ut f\u00f6rst om de genomg\u00e5r en v\u00e4sentlig \u00e4ndring.<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n

Den viktiga signalen f\u00f6r 2026 \u00e4r att rapporteringsplikten kommer mer \u00e4n ett \u00e5r f\u00f6re resten av regelverket. Lagstiftaren prioriterade allts\u00e5 att snabbt f\u00e5 insyn i vilka s\u00e5rbarheter som faktiskt utnyttjas, innan den bredare kravbilden sl\u00e5r igenom. F\u00f6r en tillverkare betyder det att processer f\u00f6r s\u00e5rbarhetshantering och incidentrapportering m\u00e5ste finnas p\u00e5 plats f\u00f6rst, inte sist.<\/p>\n\n\n\n

B\u00f6terna: upp till 15 miljoner euro eller 2,5 procent<\/h2>\n\n\n\n

Cyber Resilience Act har tre niv\u00e5er av sanktionsavgifter, beroende p\u00e5 hur allvarlig \u00f6vertr\u00e4delsen \u00e4r. Liksom i GDPR och NIS2 \u00e4r taket satt som det h\u00f6gsta av ett fast belopp eller en andel av den globala \u00e5rsoms\u00e4ttningen, vilket g\u00f6r att \u00e4ven stora koncerner k\u00e4nner av det. Tabellen visar niv\u00e5erna.<\/p>\n\n\n\n

Kategori av \u00f6vertr\u00e4delse<\/th>B\u00f6testak (det h\u00f6gsta av)<\/th>Andel av global oms\u00e4ttning<\/th><\/tr><\/thead>
Brott mot v\u00e4sentliga cybers\u00e4kerhetskrav och tillverkarens k\u00e4rnskyldigheter<\/td>15 miljoner euro<\/td>2,5 %<\/td><\/tr>
Brott mot \u00f6vriga skyldigheter i f\u00f6rordningen<\/td>10 miljoner euro<\/td>2 %<\/td><\/tr>
Felaktig, ofullst\u00e4ndig eller vilseledande information till anm\u00e4lda organ eller tillsynsmyndigheter<\/td>5 miljoner euro<\/td>1 %<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n

Beloppen \u00e4r de maximala tak som anges i EU-f\u00f6rordningen. Det \u00e4r de nationella marknadskontrollmyndigheterna som till\u00e4mpar dem och som v\u00e4ger in faktorer som \u00f6vertr\u00e4delsens allvar, varaktighet och om den var avsiktlig. F\u00f6r ett bolag med tio miljarder kronor i global oms\u00e4ttning betyder 2,5-procentsgr\u00e4nsen att exponeringen i praktiken kan bli betydligt h\u00f6gre \u00e4n 15 miljoner euro. Det \u00e4r just kopplingen till oms\u00e4ttning som g\u00f6r att styrelser och ledningsgrupper, inte bara s\u00e4kerhetsavdelningar, nu engagerar sig i produkts\u00e4kerhet.<\/p>\n\n\n\n

24 timmar och 72 timmar: den nya rapporteringsplikten<\/h2>\n\n\n\n

Fr\u00e5n och med den 11 september 2026 m\u00e5ste en tillverkare som uppt\u00e4cker en aktivt utnyttjad s\u00e5rbarhet eller en allvarlig incident i en produkt agera snabbt. Lagen bygger en rapporteringstrappa som p\u00e5minner om den i NIS2 och DORA, men riktad mot produkten i st\u00e4llet f\u00f6r organisationen.<\/p>\n\n\n\n

  • Inom 24 timmar:<\/strong> en tidig f\u00f6rvarning till ENISA och den nationella CSIRT, utan on\u00f6digt dr\u00f6jsm\u00e5l fr\u00e5n att tillverkaren blivit medveten om h\u00e4ndelsen.<\/li>
  • Inom 72 timmar:<\/strong> en mer fullst\u00e4ndig incidentanm\u00e4lan med bed\u00f6mning av allvar och p\u00e5verkan.<\/li>
  • Slutrapport:<\/strong> en avslutande rapport med \u00e5tg\u00e4rder och l\u00e4rdomar, enligt de tidsfrister som g\u00e4ller f\u00f6r respektive h\u00e4ndelsetyp.<\/li><\/ul>\n\n\n\n

    Det centrala navet \u00e4r ENISA:s gemensamma rapporteringsplattform<\/strong>. Tanken \u00e4r att en tillverkare ska kunna l\u00e4mna en anm\u00e4lan p\u00e5 ett st\u00e4lle i st\u00e4llet f\u00f6r att jaga olika myndigheter i 27 l\u00e4nder. Rapporterna delas sedan med beh\u00f6riga nationella myndigheter och ber\u00f6rda CSIRT-funktioner. I Sverige \u00e4r det den statliga incidenthanteringsfunktionen CERT-SE inom MSB som hanterar den nationella delen av samspelet med EU:s struktur.<\/p>\n\n\n\n

    F\u00f6r m\u00e5nga mindre tillverkare \u00e4r 24-timmarsfristen den mest skr\u00e4mmande delen. Den f\u00f6ruts\u00e4tter att bolaget har en bemannad process som kan uppt\u00e4cka, bed\u00f6ma och eskalera en s\u00e5rbarhet p\u00e5 timmar, inte veckor. Det \u00e4r en kapacitet som hittills mest funnits hos banker och kritisk infrastruktur, men som nu sprider sig till hela tillverkningssektorn.<\/p>\n\n\n\n

    Tillverkarnas nya ansvar: s\u00e4kerhet i designen<\/h2>\n\n\n\n

    K\u00e4rnan i Cyber Resilience Act \u00e4r principen om s\u00e4kerhet inbyggd och s\u00e4kerhet som standard. Skyldigheterna str\u00e4cker sig \u00f6ver hela livscykeln: planering, design, utveckling, produktion, leverans och underh\u00e5ll. I praktiken inneb\u00e4r det en lista konkreta krav som varje tillverkare m\u00e5ste uppfylla.<\/p>\n\n\n\n

    • Produkten f\u00e5r inte sl\u00e4ppas ut p\u00e5 marknaden med k\u00e4nda, exploaterbara s\u00e5rbarheter.<\/li>
    • Tillverkaren ska hantera s\u00e5rbarheter under hela supportperioden och tillhandah\u00e5lla s\u00e4kerhetsuppdateringar.<\/li>
    • En EU-f\u00f6rs\u00e4kran om \u00f6verensst\u00e4mmelse ska uppr\u00e4ttas och produkten ska CE-m\u00e4rkas n\u00e4r lagen till\u00e4mpas fullt ut.<\/li>
    • Teknisk dokumentation ska bevaras i tio \u00e5r, eller under supportperioden om den \u00e4r l\u00e4ngre.<\/li>
    • Anv\u00e4ndaren ska f\u00e5 tydlig information om s\u00e4kerhetsegenskaper och hur l\u00e4nge produkten f\u00e5r uppdateringar.<\/li><\/ul>\n\n\n\n

      SBOM blir ett krav i praktiken<\/h3>\n\n\n\n

      F\u00f6r att kunna visa att en produkt inte inneh\u00e5ller k\u00e4nda s\u00e5rbarheter m\u00e5ste tillverkaren veta vad produkten faktiskt best\u00e5r av. H\u00e4r kommer en programvaruf\u00f6rteckning<\/strong>, software bill of materials eller SBOM, in i bilden. Den tekniska dokumentation som lagen kr\u00e4ver f\u00f6ruts\u00e4tter i praktiken att tillverkaren kan redovisa sina komponenter och beroenden i ett maskinl\u00e4sbart format, ofta CycloneDX eller SPDX. Ett f\u00f6renklat utdrag kan se ut s\u00e5 h\u00e4r:<\/p>\n\n\n\n

      {\n  \"bomFormat\": \"CycloneDX\",\n  \"specVersion\": \"1.6\",\n  \"components\": [\n    {\n      \"type\": \"library\",\n      \"name\": \"openssl\",\n      \"version\": \"3.4.1\",\n      \"purl\": \"pkg:generic\/openssl@3.4.1\"\n    },\n    {\n      \"type\": \"library\",\n      \"name\": \"zlib\",\n      \"version\": \"1.3.1\",\n      \"purl\": \"pkg:generic\/zlib@1.3.1\"\n    }\n  ]\n}<\/code><\/pre>\n\n\n\n
      N\u00e4r en ny s\u00e5rbarhet i ett bibliotek publiceras kan tillverkaren med en aktuell SBOM p\u00e5 minuter avg\u00f6ra vilka produkter som ber\u00f6rs, i st\u00e4llet f\u00f6r att gissa. Det \u00e4r skillnaden mellan att klara 24-timmarsfristen och att missa den.<\/p>\n\n\n\n
      Default, viktig eller kritisk: s\u00e5 klassas produkterna<\/h2>\n\n\n\n
      Alla produkter behandlas inte lika. Cyber Resilience Act delar in dem i tre riskklasser, och klassen avg\u00f6r hur str\u00e4ng kontrollen blir innan produkten f\u00e5r CE-m\u00e4rkas.<\/p>\n\n\n\n
      • Standardklassen:<\/strong> den stora majoriteten av produkter. Enligt vanligt citerade uppskattningar faller omkring 90 procent av alla produkter med digitala element h\u00e4r. Tillverkaren f\u00e5r g\u00f6ra en egen bed\u00f6mning av \u00f6verensst\u00e4mmelse.<\/li>
      • Viktiga produkter:<\/strong> s\u00e4kerhetsk\u00e4nsliga kategorier som l\u00f6senordshanterare, brandv\u00e4ggar, intr\u00e5ngsdetektering och vissa operativsystem. H\u00e4r st\u00e4lls h\u00e5rdare krav p\u00e5 bed\u00f6mningsf\u00f6rfarandet.<\/li>
      • Kritiska produkter:<\/strong> de mest k\u00e4nsliga klasserna, d\u00e4r tredjepartsgranskning via ett anm\u00e4lt organ kan kr\u00e4vas.<\/li><\/ul>\n\n\n\n
        Indelningen speglar en pragmatisk avv\u00e4gning. Lagstiftaren ville inte tvinga varje uppkopplad leksak genom dyr tredjepartscertifiering, men ville samtidigt s\u00e4tta ribban h\u00f6gt f\u00f6r produkter vars s\u00e5rbarheter kan f\u00e5 stor spridningseffekt. Att en produkt hamnar i standardklassen betyder dock inte att den slipper kraven, bara att tillverkaren sj\u00e4lv intygar att de \u00e4r uppfyllda, med fullt ansvar om intyget \u00e4r fel.<\/p>\n\n\n\n
        \u00d6ppen k\u00e4llkod och rollen som open source steward<\/h2>\n\n\n\n
        En av de mest omdebatterade fr\u00e5gorna under f\u00f6rhandlingarna var hur \u00f6ppen k\u00e4llkod skulle behandlas. Mycket av v\u00e4rldens digitala infrastruktur vilar p\u00e5 fritt tillg\u00e4ngliga komponenter som underh\u00e5lls ideellt, och ett klumpigt regelverk hade kunnat skr\u00e4mma bort underh\u00e5llare. L\u00f6sningen blev en ny kategori i lagen: open source steward<\/strong>, en f\u00f6rvaltare av \u00f6ppen programvara.<\/p>\n\n\n\n
        Distinktionen \u00e4r central. En privatperson eller ideell utvecklare som bidrar med \u00f6ppen kod utan kommersiellt syfte omfattas inte av de fulla skyldigheter som vilar p\u00e5 en tillverkare, och icke-kommersiella utvecklare undantas fr\u00e5n b\u00f6ter. En akt\u00f6r som d\u00e4remot f\u00f6rvaltar \u00f6ppen programvara p\u00e5 ett strukturerat s\u00e4tt, en steward, f\u00e5r ett l\u00e4ttare anpassat regelverk med fokus p\u00e5 s\u00e4kerhetspolicy och samarbete med tillverkare. N\u00e4r den \u00f6ppna komponenten v\u00e4l byggs in i en kommersiell produkt \u00e4r det den slutliga tillverkaren som b\u00e4r ansvaret enligt lagen.<\/p>\n\n\n\n
        Cyber Resilience Act, NIS2 och DORA: tre lager, tre lagar<\/h2>\n\n\n\n
        Cyber Resilience Act anl\u00e4nder mitt i en v\u00e5g av EU-regler som l\u00e4tt blandas ihop. Den som vill f\u00f6rst\u00e5 sin egen exponering beh\u00f6ver h\u00e5lla is\u00e4r de tre stora: produkten, organisationen och finanssektorn. Tabellen st\u00e4ller dem mot varandra.<\/p>\n\n\n\n
        Aspekt<\/th>Cyber Resilience Act<\/th>NIS2 (cybers\u00e4kerhetslagen)<\/th>DORA<\/th><\/tr><\/thead>
        Reglerar<\/td>Produkter med digitala element<\/td>V\u00e4sentliga och viktiga verksamheter<\/td>Finansiella entiteter och deras IT-leverant\u00f6rer<\/td><\/tr>
        R\u00e4ttslig form<\/td>F\u00f6rordning (g\u00e4ller direkt)<\/td>Direktiv (nationell lag kr\u00e4vs)<\/td>F\u00f6rordning (g\u00e4ller direkt)<\/td><\/tr>
        Tr\u00e4der i kraft<\/td>Krav fr\u00e5n 2026, fullt 2027<\/td>Cybers\u00e4kerhetslagen 15 januari 2026<\/td>Till\u00e4mpas sedan 17 januari 2025<\/td><\/tr>
        B\u00f6testak<\/td>15 M euro \/ 2,5 %<\/td>Speglar NIS2-niv\u00e5erna, upp till 10 M euro<\/td>Sektorsspecifika sanktioner<\/td><\/tr>
        Ansvarig i Sverige<\/td>Marknadskontrollmyndigheter<\/td>MSB, PTS och sektorsmyndigheter<\/td>Finansinspektionen<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n
        Reglerna kompletterar varandra snarare \u00e4n \u00f6verlappar. En tillverkare kan beh\u00f6va CRA-efterlevnad f\u00f6r produkten, samtidigt som ett sjukhus som anv\u00e4nder produkten har NIS2-skyldigheter f\u00f6r sin organisation och en bank har DORA-krav f\u00f6r sin operativa motst\u00e5ndskraft. Den som k\u00f6per in en uppkopplad produkt kommer i f\u00f6rl\u00e4ngningen att kunna kr\u00e4va CRA-bevis av leverant\u00f6ren som en del av sin egen NIS2- eller DORA-efterlevnad. P\u00e5 s\u00e5 s\u00e4tt f\u00f6rst\u00e4rker lagarna varandra genom hela leverant\u00f6rskedjan.<\/p>\n\n\n\n
        Vad det betyder f\u00f6r Norden och svenska tillverkare<\/h2>\n\n\n\n
        Norden \u00e4r en region med ovanligt m\u00e5nga bolag som tillverkar just produkter med digitala element. Svensk industri \u00e4r stark inom n\u00e4tverkskameror, telekomutrustning, industriautomation och uppkopplade konsumentprodukter. Alla dessa hamnar i Cyber Resilience Acts till\u00e4mpningsomr\u00e5de s\u00e5 snart produkterna s\u00e4ljs p\u00e5 EU-marknaden, oavsett var bolaget har sitt huvudkontor.<\/p>\n\n\n\n
        Det nordiska hotl\u00e4get understryker varf\u00f6r regelverket kommer nu. I DNV:s nordiska rapport f\u00f6r 2026 noterades 60 cyberincidenter i Sverige under 2025, fler \u00e4n i n\u00e5got annat nordiskt land. Tabellen visar f\u00f6rdelningen.<\/p>\n\n\n\n
        Land<\/th>Observerade cyberincidenter 2025<\/th><\/tr><\/thead>
        Sverige<\/td>60<\/td><\/tr>
        Finland<\/td>44<\/td><\/tr>
        Danmark<\/td>41<\/td><\/tr>
        Norge<\/td>21<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n
        Statsminister Ulf Kristersson har offentligt beskrivit att Sverige uts\u00e4tts f\u00f6r vad han kallat “enorma cyberattacker”, och har pekat p\u00e5 att tj\u00e4nster som SVT, banker och BankID har drabbats. Den politiska viljan att lagstifta om s\u00e4kerhet \u00e4r d\u00e4rf\u00f6r h\u00f6g. F\u00f6r svenska exportbolag inneb\u00e4r Cyber Resilience Act samtidigt en konkurrensf\u00f6rdel p\u00e5 sikt: den som tidigt bygger in s\u00e4kerhet och kan visa upp dokumentation f\u00e5r l\u00e4ttare att s\u00e4lja in mot kunder som sj\u00e4lva pressas av NIS2 och DORA.<\/p>\n\n\n\n
        Marknadsp\u00e5verkan: kostnader, konsolidering och konkurrens<\/h2>\n\n\n\n
        Efterlevnad kostar pengar, och notan faller olika h\u00e5rt. En j\u00e4mf\u00f6relse ger en fingervisning: konsultbolaget Frontier Economics har uppskattat de \u00e5rliga efterlevnadskostnaderna f\u00f6r NIS2 till omkring 31,2 miljarder euro i EU. Cyber Resilience Act tr\u00e4ffar en \u00e4nnu bredare krets, eftersom den omfattar varje tillverkare oavsett storlek, inte bara v\u00e4sentliga verksamheter. F\u00f6r ett stort bolag \u00e4r kostnaden hanterbar. F\u00f6r ett litet h\u00e5rdvarubolag med tunna marginaler kan kravet p\u00e5 s\u00e5rbarhetshantering, dokumentation och rapporteringsberedskap bli avg\u00f6rande.<\/p>\n\n\n\n
        Tre marknadseffekter \u00e4r redan synliga. Den f\u00f6rsta \u00e4r en framv\u00e4xande tj\u00e4nstemarknad: konsulter, SBOM-verktyg och plattformar f\u00f6r s\u00e5rbarhetshantering s\u00e4ljer in sig som genv\u00e4g till efterlevnad. Den andra \u00e4r en risk f\u00f6r konsolidering, d\u00e4r mindre tillverkare k\u00f6ps upp eller drar sig ur EU-marknaden hellre \u00e4n att bygga compliance-funktioner. Den tredje \u00e4r en kvalitetsh\u00f6jning: n\u00e4r s\u00e4kerhet blir ett krav i upphandlingar premieras de leverant\u00f6rer som kan bevisa den, vilket gynnar seri\u00f6sa akt\u00f6rer p\u00e5 bekostnad av billiga produkter utan uppdateringsl\u00f6fte.<\/p>\n\n\n\n
        Historisk kontext: fr\u00e5n frivillighet till tv\u00e5ng<\/h2>\n\n\n\n
        Cyber Resilience Act \u00e4r slutpunkten p\u00e5 ett decennium av misslyckad frivillighet. Under 2010-talet sv\u00e4mmade marknaden \u00f6ver av uppkopplade prylar utan grundl\u00e4ggande s\u00e4kerhet, sammanfattat av Mirai-botn\u00e4tet 2016 som kapade hundratusentals os\u00e4kra IoT-enheter och slog ut stora delar av internet i en \u00f6verbelastningsattack. Frivilliga m\u00e4rkningar och branschstandarder f\u00f6ljde, men utan tv\u00e5ng saknade de genomslag.<\/p>\n\n\n\n
        EU valde samma modell som varit framg\u00e5ngsrik f\u00f6r produkts\u00e4kerhet i \u00f6vrigt: en f\u00f6rordning med CE-m\u00e4rkning och marknadskontroll. Europaparlamentets rapport\u00f6r Bart Groothuis (Renew Europe) drev under f\u00f6rhandlingarna linjen att ansvaret m\u00e5ste ligga hos tillverkaren och inte hos den enskilde anv\u00e4ndaren, och att en produkt med digitala element ska vara s\u00e4ker n\u00e4r den l\u00e4mnar fabriken. Resultatet blev en lag som behandlar mjukvarus\u00e4kerhet p\u00e5 samma s\u00e4tt som EU sedan l\u00e4nge behandlar els\u00e4kerhet eller leksakers giftfrihet. Det \u00e4r en principiell f\u00f6rskjutning: s\u00e4kerhet \u00e4r inte l\u00e4ngre en funktion man kan v\u00e4lja bort.<\/p>\n\n\n\n
        Expertr\u00f6ster och reaktioner<\/h2>\n\n\n\n
        Europeiska kommissionen \u00e4r tydlig med sitt m\u00e5l. I sin officiella beskrivning av lagen framh\u00e5ller kommissionen att produkter med digitala element ofta sl\u00e4pps ut med otillr\u00e4cklig s\u00e4kerhet och att Cyber Resilience Act ska s\u00e4kerst\u00e4lla att de \u00e4r s\u00e4kra genom hela livscykeln, fr\u00e5n design till underh\u00e5ll. Det \u00e4r ramen som hela regelverket vilar p\u00e5.<\/p>\n\n\n\n
        ENISA, EU:s cybers\u00e4kerhetsbyr\u00e5, f\u00e5r en central operativ roll genom den gemensamma rapporteringsplattform som ska ta emot tillverkarnas anm\u00e4lningar fr\u00e5n september 2026. Byr\u00e5n har l\u00e4nge argumenterat f\u00f6r att samordnad s\u00e5rbarhetshantering \u00e4r en f\u00f6ruts\u00e4ttning f\u00f6r en motst\u00e5ndskraftig digital inre marknad, och plattformen \u00e4r det konkreta uttrycket f\u00f6r den linjen.<\/p>\n\n\n\n
        Branschens jurister varnar samtidigt f\u00f6r tempot. I analyser fr\u00e5n advokatbyr\u00e5er som f\u00f6ljer regelverket \u00e5terkommer budskapet att klockan tickar och att f\u00f6rberedelserna m\u00e5ste b\u00f6rja l\u00e5ngt f\u00f6re 2027, eftersom s\u00e5rbarhetshanteringen och rapporteringsplikten redan sl\u00e5r till 2026. DNV, som kartl\u00e4gger nordisk cybermotst\u00e5ndskraft, konstaterar i sin rapport f\u00f6r 2026 att nordiska bolag generellt ligger efter med att bygga den l\u00f6pande beredskap som lagen nu kr\u00e4ver. Den gemensamma slutsatsen \u00e4r att efterlevnad \u00e4r ett projekt som tar m\u00e5nader, inte veckor.<\/p>\n\n\n\n
        Fem prognoser f\u00f6r Cyber Resilience Act fram till 2027<\/h2>\n\n\n\n