Rättsakten om cyberresiliens

Från baby-monitorer till smarta klockor, från appar till datorprogram, anslutbar hårdvara och programvara är allestädes närvarande i våra dagliga liv. Mindre uppenbart för många användare är den säkerhetsrisk som sådana produkter kan medföra.

Cyberresiliensakten syftar till att skydda konsumenter och företag som köper programvaru- eller hårdvaruprodukter med digitala element. CRA tar itu med den otillräckliga cybersäkerhetsnivån i många produkter och bristen på säkerhetsuppdateringar i rätt tid. Det tar också itu med de utmaningar som konsumenter och företag för närvarande står inför när de försöker avgöra vilka produkter som är cybersäkra och när de installeras på ett säkert sätt, vilket gör det lättare att identifiera hårdvara och programvara med rätt cybersäkerhetsfunktioner.

Genom kreditvärderingsinstitutet införs obligatoriska cybersäkerhetskrav för tillverkare, som omfattar planering, utformning, utveckling och underhåll av sådana produkter. Dessa skyldigheter måste uppfyllas i alla led i värdekedjan. CRA kräver också att tillverkare hanterar sårbarheter under sina produkters livscykel. Vissa produkter av särskild relevans för cybersäkerhet kan behöva genomgå en tredjepartsbedömning av ett anmält organ innan de säljs på EU-marknaden.

Produkterna kommer att vara CE-märkta för att visa att de uppfyller kraven i förordningen om kreditvärderingsinstitut, och de nationella marknadskontrollmyndigheterna kommer att se till att reglerna efterlevs. 

Kreditvärderingsinstitutet trädde i kraft den 10 december 2024. De huvudsakliga skyldigheter som införs genom lagen kommer att gälla från och med den 11 december 2027, med rapporteringsskyldigheter som ska gälla från och med den 11 september 2026. 

Cyberresiliensakten bygger påEU:s strategi för cybersäkerhetfrån 2020  och strategin för EU:s säkerhetsunion. Det kompletterar annan lagstiftning på detta område, särskilt NIS 2-direktivet.

Läs mer om genomförandet av cyberresiliensakten.