René Matthiassen er en af Danmarks førende eksperter inden for regulering af cybersikkerhed, og som medlem af EU’s Workgroup 9 har han bidraget til udviklingen af kravene i Cyber Resilience Act for Europa-Kommissionen.
Hvis emnet er nyt for dig, og du gerne vil have styr på, hvad CRA er, hvem det gælder for, og hvad lovgivningen indeholder, så læs vores introduktionsartikel her.
I denne artikel zoomer vi ind på det spørgsmål, som mange virksomheder sidder tilbage med nu: “Hvad betyder CRA for os i praksis?”
CRA er vedtaget – og det ændrer spillereglerne
CRA er ikke bare endnu et EU-direktiv, som virksomheder kan tage stilling til senere. Det er en strukturel ændring i måden, vi udvikler, dokumenterer og understøtter produkter med digitale elementer.
Som René udtalte på morgenmødet: “EU tager den store hammer og sætter foden ned én gang for alle. Det er slut med at tænke sikkerhed som noget, man lægger til bagefter.”
CRA kræver, at sikkerhed indbygges gennem hele produktets livscyklus – fra det øjeblik, det kommer på markedet, til det tages af igen.
Sådan påvirker det jer i praksis
Hvis din virksomhed er omfattet af CRA, er der ikke tale om mindre justeringer. Det påvirker hele værdikæden.
Konkret betyder det, at I:
- Skal dokumentere Security by Design: Sikkerhed skal indbygges i produktudviklingen (SDLC) helt fra starten. Som René forklarede det på morgenmødet: “En elevator skal kunne nulstilles uden at brage ned – den skal være fail-safe. På samme måde skal digitale produkter designes til at håndtere fejl sikkert.”
- Ikke længere kan bruge Open Source eller tredjepartssoftware ukritisk: Der stilles krav til due diligence, dokumentation og sårbarhedsvurdering. Du kan ikke længere hive et Open Source-bibliotek ind uden at vide, hvad det indeholder.
- Får ansvaret for at levere gratis sikkerhedsopdateringer hurtigt: Uden “unødig forsinkelse”, som det står skrevet i forordningen.
- Skal have en konkret proces til håndtering og rapportering af sårbarheder – ikke bare en plan i skuffen: René understregede, at man skal kunne rapportere til CSIRT og ENISA – og at det skal fungere i praksis.
- Skal opbevare teknisk dokumentation i mindst 10 år: Den skal være tilgængelig, hvis myndighederne beder om den.
Konsekvenserne ved ikke at implementere CRA
“Hvad sker der så, hvis vi ikke får implementerer CRA?”, spurgte en af deltagerne til morgenmødet.
Tidligere har virksomheder været vant til en advarsel eller bødestraf ved andre EU-forordninger. Det samme gør sig gældende for CRA.
“Der er både en monetær straf og en disciplinær straf. Men ultimativt bliver du bandlyst fra markedet med dit produkt”, svarede René.
Tidslinjen for implementering
CRA blev officielt vedtaget den 10. december 2024, men kravene træder gradvist i kraft:
- 11. september 2026: Første krav om sårbarhedshåndtering og incident management.
- December 2027: Alle krav er i spil – uanset om din virksomhed er producent, importør eller distributør.
Selvom implementeringsperioden er standard for denne type EU-lovgivning, kræver det grundigt forarbejde at forstå og omsætte kravene til praksis – især når det handler om noget så grundlæggende som produktdesign og leverandørkæder.
Hvad gør I nu?
Det første din virksomhed skal gøre, er at finde ud af, om I er omfattet, og hvor I i givet fald står i forhold til kravene. Det kræver, at I får et reelt overblik over, hvor langt I er fra CRA’s krav.
Det handler ikke kun om at kende lovteksten, men om at kunne omsætte den til praksis. Hvad gør I allerede i dag? Hvor er hullerne? Har I styr på dokumentation, processer og sikkerhedsopdateringer?
Som René sagde til morgenmødet: “Man skal forstå kravene og kunne oversætte dem til konkrete tiltag. Ellers kan man ikke opnå compliance.”
Vil du vide, hvordan du griber det an i praksis? Så læs vores næste artikel, hvor vi guider dig gennem trin for trin, så du kan overholde CRA.