Sådan bliver din virksomhed klar til Cyber Resilience Act (CRA)

For nylig afholdt vi et morgenmøde, hvor cybersikkerhedsekspert René Matthiassen fra Frontdoor Security gjorde os klogere på Cyber Resilience Act (CRA). CRA stiller helt nye krav til virksomheder, der udvikler, sælger eller importerer produkter med indbygget software. Dette gælder alt fra smarte husholdningsapparater til industrielt udstyr.

Den nye EU-forordning gør ikke bare, at virksomheder skal ændre cybersikkerheden i de produkter, de arbejder med. Det handler om at ændre hele måde, de arbejder på. I denne artikel guider vi dig igennem de vigtigste skridt, I skal tage for at overholde kravene i CRA-lovgivningen.

Har du ikke læst vores forrige artikel om, hvordan jeres virksomhed bliver påvirket af CRA, kan du med fordel starte her.

1: Afklar jeres placering i CRA

Det første skridt er at finde ud af, hvordan jeres virksomhed er omfattet af CRA:

  • Tjek jeres kontrakter: Har I et produktansvar?
  • Analyser værdikæden: Er I den første EU-importør?
  • Spørg juridisk: Hvem står på CE-mærkningen?

“Hvis I importerer eller distribuerer noget, er I underlagt CRA. Det er ikke nok bare at være mellemled.”, pointerer René Matthiassen på morgenmødet.

Dernæst skal I identificere, hvilke af jeres produkter der er omfattet, og i hvilken risikokategori de er.

CRA inddeler produkter i tre klasser baseret på vigtighed. Det afgør blandt andet, om I kan nøjes med en intern vurdering (Self-Assessment), eller om der kræves en tredjepartsrevision.

2: Forstå og prioritér kernekravene

CRA indeholder ti centrale krav, hvoraf tre af dem går igen som fokusområder:

  • Secure by Design: Sikkerhed skal bygges ind fra starten – ikke tilføjes bagefter.
  • Risikovurdering: Produkterne må ikke udgøre forudsigelige cybersikkerhedsrisici i det miljø, de skal bruges i.
  • Sårbarhedshåndtering og opdateringer: I skal kunne håndtere sårbarheder løbende og levere gratis opdateringer hurtigt.

Eksempelvis kræver CRA, at enheder skal kunne nulstilles på en sikker måde – en elevator må ikke brage ned, bare fordi softwaren genstartes. Som René siger det: “Digitale produkter skal designes til at fejle sikkert.”

Start med at vurdere, hvor I allerede er i mål, og hvor I mangler noget. Det giver jer mulighed for at prioritere de indsatsområder, der har størst betydning og risiko.

3: Brug standarder som genvej

Heldigvis behøver I ikke at opfinde compliance fra bunden. CRA lægger op til brugen af eksisterende standarder, for eksempel ISA/IEC 62443, som værktøj til at strukturere arbejdet og dokumentere opfyldelse af kravene.

Standardmappingen mellem CRA og for eksempel ISA/IEC 62443 viser, hvilke krav der svarer til hvilke standardpunkter. Det giver et fælles sprog på tværs af jura, teknik og udvikling, og gør det muligt at bruge eksisterende best practices i arbejdet med CRA.

Som René selv forklarer: “Standarderne er jeres shortcuts – ikke en ekstra byrde.”

4: Implementér CRA gennem projektledelse

CRA implementeres i tre faser, hvor de første krav allerede træder i kraft i september 2026. De første krav fokuserer på:

  • Sikring af software mod cybertrusler
  • Effektiv sårbarhedshåndtering
  • Eliminering af kendte sårbarheder før markedsføring

“Det er afgørende at gennemgå hele udviklingsprocessen med fokus på disse krav allerede nu”, fremhæver René.

Det første, man bliver mødt af som virksomhed, er at kunne sikre, at softwaren i produktet er tilstrækkeligt beskyttet. Implementeringen bør derfor ses som en kontinuerlig forbedringscyklus snarere end et afgrænset projekt.

5: Dokumentation og compliance

CRA handler ikke kun om at gøre det rigtige – men om at kunne bevise det. Derfor skal I have styr på:

  • Teknisk dokumentation for alle krav
  • Sikkerhedsprocedurer og udviklingsprocesser
  • Dokumentation for opdateringsrutiner og sårbarhedshåndtering

Afhængigt af jeres produktkategori skal dokumentationen gennemgås enten internt eller af en tredjepart. Det kræver, at I har klare processer og kan samle relevant viden ét sted – også flere år efter produktets lancering.

Brug tiden klogt

Cyber Resilience Act træder først fuldt i kraft i december 2027, med de første krav er gældende fra september 2026. Den gradvise implementering giver jer mulighed for at arbejde systematisk med kravene.

Projekt- og programledelse

Fra kapacitetsstyring til ressourcestyring: Den rigtige rækkefølge

17.03.2025

Lær, hvordan du forbedrer din ressourcestyring ved at starte det rigtige sted og undgå faldgruber i projektledelse.

IT-sikkerhed og compliance

NIS2-lovgivningen træder i kraft den 1. juli – Er du klar?

24.03.2025

Fra 1. juli 2025 træder NIS2-direktivet i kraft. Forstå udfordringerne i forhold til at sikre compliance med NIS2.

IT-sikkerhed og compliance

Sådan bliver din virksomhed klar til Cyber Resilience Act

10.04.2025

Få en praktisk guide til at afklare din rolle, forstå kernekravene og implementere Cyber Resilience Act (CRA) effektivt.

Event

Webinar: Skab forandringer med mikrohandlinger

Online - Teams 20. marts 2025

Henrik Dresbøll giver konkrete værktøjer til at skabe varige forandringer i din organisation med adfærdsledelse.