NIS2 och Cyber Resilience Act (CRA)
Cyber Resilience Act (CRA) är en EU-förordning som ställer krav på säkerhet genom hela livscykeln för produkter med digitala komponenter – inklusive hantering av sårbarheter, uppdateringar och teknisk dokumentation. NIS2 riktar sig i stället mot utvalda verksamhetsutövare och deras skyldighet att hantera cyberrisk i drift.
Kombinationen påverkar nästan alla större organisationer: även om ni inte tillverkar hårdvara eller mjukvara köper ni produkter som omfattas av CRA, samtidigt som ni kan omfattas av NIS2 via cybersäkerhetslagen.
Officiell text: Cyber Resilience Act i EUR-Lex, NIS2-direktivet i EUR-Lex.
Olika ansvar – samma leveranskedja
Tillverkare och importörer får nya skyldigheter under CRA att bygga in säkerhet, rapportera incidenter och tillhandahålla uppdateringar inom ramen för produktens livslängd. Köpare inom NIS2-omfattning måste fortfarande säkerställa att anskaffning, konfiguration och drift uppfyller lagens krav – inklusive leverantörsstyrning enligt NIS2.
Praktiskt innebär det att era upphandlingskrav bör möta CRA:s marknadserbjudande: be om säkerhetsuppdateringar, SBOM där det är branschpraxis, och tydliga ansvarsfördelningar i avtal.
För utvecklingsbolag
Om ni både utvecklar produkter och driver driftsmiljö kan CRA och NIS2 träffa olika delar av koncernen. Separera produktcompliance (CE-märkning, teknisk fil, övervakning av sårbarheter) från intern driftssäkerhet (incidentledning, åtkomststyrning, loggning) – men låt säkerhetsarkitekturen vara gemensam där det är möjligt.
Open source och komponenter från tredje part
CRA och NIS2 driver båda ökad transparens kring beroenden. För er betyder det att inventering av bibliotek, containeravbildningar och inbäddade system blir en del av både produkt- och driftrevisioner.
Relaterade guider
NIS2 och ISO 27001 · NIS2 och CER · Incidentrapportering enligt NIS2
Att tänka på i upphandling
- Krav på säkerhetsuppdateringar och supportperiod som matchar planerad livslängd.
- Kontraktsmässig klarhet om sårbarhetshantering och eskalering.
- Verifiering att leverantören kan möta både er NIS2-riskbild och produktregler.