Redan efter sommaren ska svenska företag som bygger och säljer produkter med mjukvara vara redo för den första delen av nästa stora EU-reglering på cybersäkerhetsområdet. Cyber Resilience Act (CRA) kommer att införas i två steg där den första delen träder i kraft den 11 september 2026, medan den stora delen träder i kraft i december 2027. Det börjar alltså bli bråttom. 

Användarvillkoren för produkter med mjukvara har i alla år kommit undan med att de säljs ”i befintligt skick”, utan löften om garanti eller cybersäkerhet. CRA har ambitionen att ändra på detta så att kunderna får det de redan tror att de får: produkter utan kända sårbarheter som kommer hållas uppdaterade över tid. Jag skulle därför vilja påstå att regleringen i egentlig mening inte är en fråga om compliance utan om rimlighet.

CRA kräver att alla produkter som är eller innehåller mjukvara ska vara utan kända sårbarheter som kan utnyttjas vid det tillfälle de släpps till försäljning. Du ska alltså inte kunna lansera en ny produkt utan att ha koll på att den inte innehåller några kända säkerhetsbrister. Den kräver också att utvecklingsprocessen ska skapa underlag och bevis för att så är fallet. Det betyder att det ska finnas dokumenterade processer, säkerhetstester, och rapporter från säkerhetsverktyg. Detta måste alla produktföretag göra från december nästa år när hela lagen träder i kraft.

Men redan den 11 september i år införs en rapporteringsplikt för de produkter som redan finns på marknaden. Den innebär att du inom 24 timmar från att en sårbarhet som drabbar dina kunder upptäcks ska rapportera detta till myndigheterna. Du ska också ha förmågan att skyndsamt skicka ut en uppdatering. CRA kräver att du erbjuder säkerhetsuppdateringar under minst fem år efter att produkten blivit såld. Konsekvenserna är inte kosmetiska: du kan tvingas stoppa försäljningen, återkalla produkter eller betala sanktionsavgifter. 

Det du behöver säkra inför september är: 

1. Förmågan att upptäcka: Har ni förmåga att se när en kund drabbas av en sårbarhet?
2. Förmågan att rapportera: Finns en process? Vem äger den? Vem ska ha informationen?
3. Förmågan att åtgärda: Har ni verktyg, processer och infrastruktur för att snabbt ta fram och distribuera uppdateringar?

Ni bör också ha startat det stora arbetet med att uppfylla alla kraven i CRA då den träder i kraft 11 december 2027.

Även om det kan kännas överväldigande, så finns det stöd att få. Det finns etablerade processer att tillämpa och modeller att följa. ENISA har publicerat en förhandsversion av sin kommande ”Security by Design and Default Playbook” som ger konkreta råd främst för små och medelstora företag kring hur de ska arbeta för att uppfylla kraven i CRA. 

Det är hög tid att sätta i gång.