Cyber Resilience Act: Nye sikkerhetskrav i endelig versjon av forordningen
Hjem / Artikler / Teknologi, IT og AI / Cyber Resilience Act: Nye sikkerhetskrav i endelig versjon av forordningen
Cyber Resilience Act

Cyber Resilience Act: Nye sikkerhetskrav i endelig versjon av forordningen

EUs Cyber Resilience Act (CRA) er nå endelig vedtatt, og trådde i kraft 10. desember 2024. Forordningen vil påvirke særlig produsenter, importører og distributører av produkter med digitale elementer ved å stille omfattende sikkerhetskrav.
Publisert: 02.09.25
Teknologi, IT og AI
Forfattere

Hva er CRA?

CRA er EUs første generelle cybersikkerhetsregelverk for tilkoblede produkter. Målet er å beskytte forbrukere og bedrifter mot cyberangrep gjennom hele produktets livssyklus.

Som ventet har det ikke skjedd materielle endringer i utkastet fra Europaparlamentet av 12. mars 2024 til den endelige versjonen av 23. oktober 2024. Se derfor vår tidligere artikkel om CRA, som gir en oversikt over innholdet, inkludert de sentrale minimumskravene som må overholdes.

Hvilke frister må man forholde seg til?

For de EU-virksomhetene som kravene gjelder for, er det satt flere frister gjennom 2026 og 2027. Siden fristene ikke gjelder for norske virksomheter direkte før forordningen er gjort til norsk lov, vil fristene påvirke primært gjennom handel med EU-selskaper. For norske leverandører betyr det at de må være forberedt på å etterleve kravene i CRA som underleverandør, som følge av krav i kontrakten med EU-kunden. Når CRA blir implementert i Norge, vil kravene følge av norsk lov.

I EU gjelder disse fristene:

  • 11. juni 2026: Sertifiseringsorganer kan godkjennes for CRA-vurderinger.
  • 11. september 2026: Rapporteringsplikt for sårbarheter og alvorlige hendelser trer i kraft.
  • 11. desember 2027: Full etterlevelse av alle CRA-krav blir obligatorisk.

Hvilke produkter omfattes og hva er kravene?

Regelverket gjelder alle produkter med digitale elementer som kan tilkobles andre enheter eller nettverk. Som beskrevet i vår artikkel om CRA kan det blant annet omfatte smart-TVer, hjemmeautomatisering, rutere, operativsystemer, smarte dørlåser, brannmurer og sikkerhetskontrollere.

I samme artikkel kan du lese mer om kravene til leverandører, importører og distributører og sanksjoner ved brudd.

Hvordan forberede seg?

  1. Kartlegg din rolle: Avklar om du er produsent, importør eller distributør.
  2. Gjennomfør risikovurdering: Identifiser cybersikkerhetsrisikoer i dine produkter.
  3. Oppdater rutiner: Etabler prosedyrer for sikkerhetsoppdateringer og rapportering.
  4. Revidér avtaler: Sikre at krav videreføres til underleverandører.
  5. Teknisk dokumentasjon: Utarbeid nødvendig dokumentasjon for CE-merking.

Med oppstart av mulighet for CE-sertifisering for EU-virksomheter allerede fra 11. juni 2026 og rapporteringsplikt fra 11. september 2026, bør ikke omfattede virksomheter vente for lenge med å begynne forberedelsene.

CRA kompletterer cybersikkerhetsregelverket NIS2 og sikkerhetsregelverket CER. Se artikler om disse her:

Hvilke konkrete sikkerhetstiltak krever NIS2 at virksomheter gjennomfører?

Hvilke virksomheter omfattes?

Personlig ansvar for ledelsen og ansatte.

Ta kontakt med vår dyktige faggruppe innen IT, teknologi og AI dersom du har spørsmål om CRA eller andre sikkerhetsregelverk.

Relaterte artikler

Les flere artikler her

Hvordan kan vi hjelpe deg?

Trenger du juridisk hjelp? Ring oss eller send en e-post for en helt uforpliktende prat.

Kompetanse

Alle kompetanseområdene våre