Dette skal din virksomhed vide om CRA
René Matthiassen, partner og senior sikkerhedskonsulent hos Frontdoor Security, har de seneste år været med til at udforme sikkerhedskravene til Cyber Resilience Act (CRA), der er gældende fra september 2026. Skal din virksomhed kunne efterleve forordningens krav, skal I kunne svare på nedenstående fire spørgsmål.
1. Hvad er CRA?
Cyber Resilience Act (CRA) er en forordning, der har til formål at højne niveauet for cybersikkerheden i de produkter, som sælges i EU. Forordningen er udsprunget som en del af EU’s digitale årti, hvor formålet er at beskytte forbrugeres data bedre, end den er i dag. Samtidig har den til formål at sikre, at producenterne tager cybersikkerhed mere alvorligt – både i udviklingsprocessen samt i hele produktets levetid.
2. Hvem gælder CRA for?
CRA gælder for ”Products with Digital Elements” eller produkter med software, hvilket dækker over alt fra babyalarmer, smart-tv’er, og smartwatches til robotstøvsugere, køleskabe og ovne. Der er altså et krav til producenten om at sikre, at deres produkter lever op til en række sikkerhedskrav. Produkterne inddeles i tre kategorier, alt efter hvor kritiske de er. Herudover vurderes produkterne ud fra den audit-pligt, der ligger indenfor kategorierne. Der er eksempelvis krav til ekstern revisionspligt for nogle produkttyper, mens der til andre er tale om en såkaldt self-assessment.
3. Hvordan bliver man CRA-compliant gennem projektledelse?
Her gælder det om at se på, hvilket produkt man producerer, for at finde ud af, hvilken kategori man tilhører. Noget at det første, man som virksomhed bliver mødt af i forordningen er, at man skal kunne sikre, at softwaren som produktet indeholder er tilstrækkelig beskyttet i forhold til cybertrusler. Dette omhandler sårbarhedshåndtering, softwareopdateringer samt at produktet ikke sendes ud til markedet med cybersecurity-sårbarheder. Dette krav er gældende fra september 2026, og er første del af en trefaset indførsel, hvor de sidste er gældende i 2027. Det er derfor vigtigt, at man gennemgår sin udviklingsproces og sikrer, at den indeholder de specifikke krav.
4. Hvordan implementerer man med de forandringer, som CRA-compliance medbringer?
Implementeringen af CRA bør betragtes som en kontinuerlig forbedringscyklus, hvor der løbende evalueres og justeres for at sikre vedvarende compliance. Disse skridt understøttes af anbefalingerne fra ENISA og Europa-Kommissionen, som fokuserer på harmonisering af standarder, samarbejde mellem interessenter og løbende overvågning og forbedring af cybersikkerhedsforanstaltninger.
Læs mere om, hvordan ChangeGroup kan hjælpe din virksomhed med CRA her!
Cyber Resilience Act (CRA) er gældende fra september 2026, og er første del af en trefaset indførsel, hvor de sidste er gældende i 2027.”
René Matthiassen, partner og senior sikkerhedskonsulent hos Frontdoor Security.
