Hvor klar er din virksomhed og dine produkter til EU’s kommende Cyber Resilience Act (CRA)?
I dagens marked har stort set alle produkter digitale funktioner og er forbundet online – hvilket i høj grad øger eksponeringen for cybertrusler. Med den nye EU Cyber Resilience Act bliver cybersikkerhed nu et lovkrav for næsten alle tilsluttede produkter, der sælges på det europæiske marked. Det påvirker dig direkte som producent.
Ved du, hvilket niveau af compliance dine produkter skal opretholde for fortsat at kunne sælges?
Er I godt i gang – eller bagud – med at sikre jeres produkter mod fremtidens krav og potentielle bøder i 2027? Hvis I endnu ikke har en plan, er I måske allerede sent på den.
Dine Risici
Måske har du hørt om bøder på op til €15 millioner eller 2,5 % af virksomhedens globale omsætning (alt efter hvad der er højest). Men den virkelige risiko er afslag på markedsadgang.
Som producent er du ansvarlig for, at dine produkter lever op til CRA-kravene før du udsteder en EU-overensstemmelseserklæring og CE-mærker produktet – og dermed før det må sælges i EU.
Dit ansvar
De fleste tilsluttede produkter falder i den såkaldte “Default”-kategori, dvs. produkter som ikke specifikt er opført som højrisiko Class I eller Class II. Det gælder f.eks. smarte højttalere (uden specifik sikkerhedsfunktionalitet), tilsluttede legetøj, basis-smart-hvidevarer og simple fitness-trackere.
For disse produkter kan du som producent selv:
-
Foretage en selv-evaluering
-
Lukke sikkerhedshuller i design og implementering
-
Dokumentere hvordan kravene overholdes
-
Udarbejde den nødvendige tekniske dokumentation
Men selv for Default-kategorien kræver CRA (jf. Bilag I) blandt andet:
-
Sikkerhed i design og standardkonfiguration
-
Beskyttelse mod uautoriseret adgang
-
Fortrolighed og integritet af data (lagret, transmitteret og behandlet)
-
Minimering af angrebsflader og datamængder
-
Modstandsdygtighed overfor DoS-angreb
-
Sikker opdateringsmekanisme
-
Beskyttelse mod manipulation
-
Overvågning af sårbarheder – inkl. i tredjepartskomponenter
-
Levering af sikkerhedsopdateringer og patches
-
Offentliggørelse af kendte sårbarheder
-
Sikkerhedsopdateringer i hele forventet produktlevetid – minimum 5 år
-
Fyldestgørende teknisk dokumentation
Praktiske udfordringer
-
Eftermontering af sikkerhed
Mange eksisterende produkter er ikke bygget med sikkerhed som grundlag. Tilføjelse af fx secure boot, kryptering og hardware-beskyttelse kan være krævende.
-
Sikre opdateringer
Ældre produkter har ofte ustabile eller usikre opdateringsmekanismer.
-
Håndtering af nøgler
Korrekt generering, lagring og styring af krypteringsnøgler kræver ofte hardware som TPM eller Secure Elements – som ældre platforme mangler.
-
Designvalg
Sikkerhedsmæssige brister i produkter designet før cybersikkerhed blev en prioritet.
-
Sårbarheder i tredjepartssoftware
Du skal nu kunne dokumentere, tracke og patche afhængigheder som libraries, OS og chipsets.
-
Begrænset sikkerhedstest
Få produkter testes grundigt nok for sikkerhedsfejl inden release.
Vores anbefalinger
✅ Vent ikke – lav vurderingen nu: Få overblik over, hvordan CRA konkret påvirker dine produkter
✅ Kend din kategori og dine mangler: Identificér produktklassen og lav et gap-analyse
✅ Prioritér rigtigt: Fokuser på fundamentale sikkerhedskrav og højrisikoprodukter først
✅ Få eksperthjælp: En partner med viden om CRA og embedded sikkerhed sparer både tid og fejl
✅ Tænk strategisk: CRA er ikke kun et krav – det er en investering i produktkvalitet og konkurrenceevne
Vores tilgang
det seneste år har vi arbejdet tæt med danske SMV’er, der står overfor de samme udfordringer som dig. For mange er deres tilsluttede produkter centrale for virksomhedens fremtid – og derfor hjælper vi med en helhedsorienteret tilgang, fra idé til implementering.
Med konsulent- og udviklingsteams i Danmark og Polen, hjælper vi danske virksomheder med at komme sikkert i mål – praktisk, effektivt og jordnært.
Hvordan spiser man en elefant? Én bid ad gangen.
📅 Book en CRA readiness-konsultation:
📧 hw@flexsolutions.com