Cyber Resilience Act (CRA) er EUs nye regelverk for cybersikkerhet – forordning (EU) 2024/2847 «on horizontal cybersecurity requirements for products with digital elements”.

CRA vil trolig bli en del av norsk rett og vil uansett gjelde produkter som selges i EU fra 11. desember 2027.

Sagt kort: Selger du noe som inneholder digitale elementer og kan kobles til et nettverk i vid forstand kan du forvente nye regler og det er klokt å forberede seg.

Regelverket setter krav til cybersikkerhet i hele produktets livssyklus, fra design og utvikling til sårbarhetshåndtering, dokumentasjon og tilsyn.

Gjelder dette ditt produkt?

CRA gjelder produkter med digitale elementer som selges i EU-markedet når formålet eller forventet bruk innebærer direkte eller indirekte tilkobling til en enhet eller et nettverk.

Dette gjelder bl.a. programvare og maskinvare og kan inkludere produktets databehandlingsløsninger. Det er verdt å merke seg at «connection» inkluderer «logiske» tilkoblinger f.eks. gjennom et API og indirekte tilkobling gjennom andre systemer. «Network» er heller ikke begrenset til bare internett.

Dere kan være omfattet hvis dere:

• utvikler programvare
• selger produkter som kommuniserer med et nettverk
• dette inkluderer hardware med digitale elementer nettverk
• importerer teknologi til EU/EØS
• distribuerer digitale produkter produsert av andre under eget navn
• gjør visse endringer eller tillegg til andres produkter

Mange virksomheter vil bli omfattet uten å være klar over det.

Hva er konsekvensene for deg?

CRA innfører blant annet krav om:

Innebygd sikkerhet (security by design):

Produktet må være designet, utviklet og produsert i tråd med regelverkets sikkerhetskrav, og skal gjennomføre en dokumentert cybersikkerhetsrisikovurdering som brukes i planlegging, design, utvikling, produksjon, levering og vedlikehold for å minimere risiko og hendelser.

Produktet skal ha et cybersikkerhetsnivå tilpasset risiko, være uten kjente utnyttbare sårbarheter, ha «secure by default»-konfigurasjon og skal fortløpende fjerne sårbarheter via sikkerhetsoppdateringer.

Rapportering av sårbarheter og hendelser:

Produsenter skal identifisere og dokumentere sårbarheter og komponenter. Aktivt utnyttede sårbarheter skal meldes via ENISAs rapporteringsplattform. Det skal gis en «early warning» innen 24 timer, nærmere varsel innen 72 timer. Det er egne frister for sluttrapportering avhengig av hendelsens alvorlighetsgrad.

Sikkerhetsoppdateringer gjennom produktets levetid:

Produsenten skal levere sikkerhetsstøtte så lenge produktet forventes brukt, som hovedregel minst 5 år.  Det skal i den perioden leveres sikkerhetsoppdateringer fortløpende og som hovedregel gratis. Produsenten skal blant annet teste/revidere sikkerhet regelmessig og ha en policy for koordinert sårbarhetsvarsling.

Teknisk dokumentasjon og samsvarserklæring:

Før produktet selges må det foreligge teknisk dokumentasjon, samsvarsvurdering, EU-samsvarserklæring og CE-merking. Teknisk dokumentasjon og EU-samsvarserklæring skal være tilgjengelig for tilsyn i minst 10 år.

Bøter og salgsforbud hvis reglene ikke følges

Følger du ikke regelverket kan myndighetene forby eller begrenset tilgangen til markedet. Du risikerer også at det produktet må tilbakekalles og det må varsles til myndighetene.

Brudd på grunnleggende cybersikkerhetskravene og produsentplikter kan gi bøter opptil EUR 15 000 000 eller 2,5 % av global årlig omsetning (høyeste beløp gjelder). CRA er med andre ord ikke noe man bør ta lett på.

Hvor i verdikjeden ligger ansvaret?

CRA gjelder «økonomiske aktører» i verdikjeden, som produsent, representanter, importører og distributører. Rolleavklaring blir svært viktig, særlig der flere aktører samarbeider om et produkt. 

Produsenter har hovedansvaret:

Du er produsent hvis du utvikler eller får utviklet produktet og markedsfører det under eget navn/varemerke – også ved gratis distribusjon. Som produsent er du ansvarlig for hele produktet, inkludert integrerte tredjepartskomponenter og open source-programvare.

Importører og distributører får selvstendige plikter:

Importører må kontrollere CE-merking, samsvarserklæring og teknisk dokumentasjon før det selges. Distributører skal opptre aktsomt og ikke gjøre produkter tilgjengelig hvis de har grunn til å tro at kravene ikke er oppfylt.

Den som gjør vesentlige endringer, kan bli ansett som produsent:

Importør/distributør (og andre) kan bli ansett som produsent dersom de markedsfører under eget navn/varemerke eller foretar en «vesentlig endring» (substantial modification). Da får man produsentplikter (for totalen av produktet eller for den berørte delen/hele produktet avhengig av påvirkning).

Når trer forpliktelsene i kraft?

De fleste kravene under CRA vil gjelde fra 11. desember 2027.

Rapporteringspliktene (aktivt utnyttede sårbarheter og alvorlige hendelser) gjelder tidligere – fra 11. september 2026 – og reglene om notified bodies gjelder fra 11. juni 2026.

Produkter som er ute i markedet før 11. desember 2027 blir som hovedregel bare omfattet ved «substantial modification» etter den dato, men rapporteringspliktene gjelder likevel også for slike «gamle» produkter.

Virksomheter bør starte forberedelsene nå.

Søk juridisk bistand i god tid

Pretor Advokat bistår din bedrift i forbindelse med Cyber Resilience Act.

• Kartlegging av om regelverket gjelder dine produkter
• Avklaring av rolle i verdikjeden
• Compliance-struktur
• Kontraktgjennomgang
• Risikovurdering

Cyber Resilience Act: Is your business ready?

What is the Cyber Resilience Act?

The Cyber Resilience Act (CRA) is the EU’s new cybersecurity regulation – Regulation (EU) 2024/2847 «on horizontal cybersecurity requirements for products with digital elements».

The Cyber Resilience Act has not yet been adopted or incorporated into EEA and Norwegian law, but it is expected to be. It will apply to products sold in the EU from 11 December 2027.

In short: if you sell something that contains digital elements and can be connected to a network (in the broad sense), you should expect new rules that you will have to comply with. It may be wise to prepare well in advance to avoid costly rushes later on.

The regulations set requirements for cybersecurity throughout the product’s life cycle, from design and development to vulnerability management, documentation and enforcement.

Does this apply to your product?

The regulation applies to «products with digital elements made available on the market, the intended purpose or reasonably foreseeable use of which includes a direct or indirect logical or physical data connection to a device or network«.

The term “digital elements” covers both software and hardware – and may include the product’s data processing solutions. It is worth noting that «connection» in this context includes «logical» connections, e.g. through an API, and indirect connections through other systems. «Network» is also not limited to just the internet.

You may be covered if you:

• develop software
• sell products that communicate with a network
• this includes hardware with digital elements
• import technology into the EU/EEA
• distribute digital products manufactured by others under your own name
• make certain changes or additions to other people’s products

Many businesses will be covered without being aware of it.

What are the consequences for you?

The CRA introduces key requirements including, but not limited to:

Security by design:

The product must be designed, developed and manufactured in accordance with the security requirements of the regulation, and must undergo a documented cybersecurity risk assessment that is used in planning, design, development, production, delivery and maintenance to minimize risks and incidents.

The product must have a level of cybersecurity appropriate to the risk, be placed on the market without known exploitable vulnerabilities, be delivered with a «secure by default» configuration and enable the handling of vulnerabilities via security updates.

Reporting of vulnerabilities and incidents:

Manufacturers must identify and document vulnerabilities and components.

Actively exploited vulnerabilities shall be reported via ENISA’s reporting platform: early warning within 24 hours, detailed notification within 72 hours, and final report no later than 14 days after the available measures. Serious incidents have corresponding deadlines, but the final report shall be submitted no later than one month after the 72-hour notification.

Security updates throughout the product’s lifetime:

The manufacturer shall establish a support period that reflects how long the product is expected to be used, as a general rule at least 5 years (possibly shorter if the expected useful life is shorter).

During this period, security updates shall be provided without delay and, as a general rule, free of charge. The manufacturer shall test/review security regularly, have a policy for coordinated vulnerability notification and have a contact point for vulnerability reporting, etc.

Technical documentation and declaration of conformity:

Before the product is placed on the market, the manufacturer must prepare technical documentation, carry out a conformity assessment, prepare an EU declaration of conformity and CE mark the product. The manufacturer must keep technical documentation and the EU declaration of conformity available for market surveillance for at least 10 years after placing the product on the market or during the support period (whichever is longer).

Non-compliance may result in fines and sales bans

If the manufacturer or other responsible party fails to take adequate measures, the authorities may prohibit or restrict the product’s availability on the market, withdraw or recall the product, and this must be notified to the Commission and other Member States.

Violations of the basic cybersecurity requirements and manufacturer obligations may result in administrative fines of up to EUR 15,000,000 or 2.5% of global annual turnover (whichever is higher). In other words, compliance with CRA should be a priority.

Where in the value chain does the responsibility lie?

The CRA imposes obligations on «economic operators» in the value chain, in particular manufacturers, authorized representatives, importers and distributors. Clarification of roles is very important, especially when several operators collaborate on a product.

Manufacturers have the main responsibility:

You are a manufacturer if you develop or have the product developed and market it under your own name/trademark – even if it is distributed free of charge. As a manufacturer, you are responsible for the entire product, including integrated third-party components and open source software.

You are responsible for the entire product that you place on the market:

When integrating third-party components (including other products with digital elements, hardware, open source software that is not marketed commercially), you become responsible for the entire product.

Importers and distributors have independent obligations:

Importers must check that the product has CE marking, a declaration of conformity and technical documentation before it is placed on the market. Distributors must act with due care and not make products available if they have reason to believe that the requirements are not met.

Anyone who makes substantial modifications may be considered a manufacturer:

Importers/distributors (and others) may be considered manufacturers if they market under their own name/trademark or make a «substantial modification» and make the product available on the market, in which case they will have manufacturer obligations (either in full or for the affected part/entire product, depending on the impact).

When do the obligations come into force?

Most of the requirements under the CRA will apply from 11 December 2027.

The reporting obligations (actively exploited vulnerabilities and serious incidents) apply earlier – from 11 September 2026 – and the rules on notified bodies apply from 11 June 2026.

Products placed on the market before 11 December 2027 will, as a general rule, only be covered by «substantial modification» after this date, but the reporting obligations will still apply to such «old» products.

Businesses should start preparing now.

Seek legal assistance early

Pretor Advokat assists your company in connection with the Cyber Resilience Act:

• Mapping whether the regulations apply to your products
• Clarification of role in the value chain
• Compliance structure
• Contract review
• Risk assessment