Kontakt

Cyber Resilience Act

Nye lovkrav fra EU på vej

De fleste organisationer har i dag et forhold til GDPR. Persondata, ansvar og dokumentation er blevet en naturlig del af arbejdet med digitale løsninger. Men EU’s næste store regulering (CRA) handler om software og cybersikkerhed.

Cyber Resilience Act (CRA) er EU’s nye regelsæt, som fra 2027 stiller bindende krav til sikkerheden i software og digitale produkter, der bringes på markedet i EU.

Hvad er CRA?

Cyber Resilience Act er en EU‑forordning, der har til formål at hæve det generelle cybersikkerhedsniveau i digitale produkter.

Den gælder bredt for software, hardware og indlejrede systemer – fra klassiske softwareprodukter og mobil apps til IoT‑enheder og komponenter, der indgår i større systemer.

Kort sagt flytter CRA cybersikkerhed fra at være “best practice” til at være et lovkrav.

Producenter og leverandører får et klart ansvar for, at deres produkter er udviklet, vedligeholdt og opdateret med sikkerhed for øje.

Flere af de nye lovkrav træder i kraft fra 2026.

Hvem rammer CRA?

CRA rammer bredere, end mange forventer. Den gælder ikke kun traditionelle softwarehuse, men også virksomheder, der:

  • udvikler produkter, som leveres til kunder
  • sælger digitale løsninger som en del af et fysisk produkt
  • integrerer tredjepartssoftware i egne produkter
  • opererer som producent, importør eller distributør i EU

Med andre ord: Hvis software er en del af det, I sælger eller leverer, er CRA sandsynligvis relevant jer.

Security by design

Et centralt princip i CRA er security by design. Det betyder, at sikkerhed ikke længere kan være noget, man tilføjer til sidst – eller noget, der primært håndteres i driftsfasen.

CRA stiller krav til:

  • hvordan software designes og udvikles
  • hvordan sårbarheder identificeres, håndteres og dokumenteres
  • hvordan opdateringer og patches leveres gennem hele produktets levetid

 

For mange organisationer kræver det et skifte i både udviklingsprocesser, governance og ansvar – ikke kun i it‑afdelingen, men på tværs af forretningen.

Gert Mikkelsen

Head of Security Lab

gert.l.mikkelsen@alexandra.dk

“Vi hjælper virksomheder med at omsætte krav som CRA til praksis. Det kan vi på to måder: et sikkerhedsreview, der giver overblik over jeres risici og konkrete anbefalinger – eller hjælp til at implementere de nødvendige processer. Eller begge dele."

Start allerede nu

Book en uforpligtende snak

CRA får fuld virkning fra 2027. Men flere krav gælder allerede fra 2026.

Virksomheder skal fra 11. september 2026 kunne håndtere obligatorisk rapportering af aktivt udnyttede sårbarheder og alvorlige sikkerhedshændelser.

Allerede året efter, den 11. december 2027, bliver reglerne fuldt gældende for alle produkter med digitale elementer.

Organisationer, der begynder forberedelsen tidligt, får mulighed for:

  • at integrere kravene naturligt i eksisterende udviklings- og sikkerhedsprocesser
  • at undgå hasteløsninger tæt på deadline
  • at bruge CRA som løftestang for bedre kvalitet og robusthed

 

Manglende overholdelse kan få både juridiske og forretningsmæssige konsekvenser – mens god CRA‑parathed kan blive et konkurrenceparameter.

Formular indsendt!