Taler I NIS2? Mange virksomheder gør ikke
Cyber Resilience Act (CRA) stiller nye krav til produktsikkerhed, compliance og rapportering – og bliver et vilkår for it-leverandører, der vil sælge software og hardware i EU.
Den nye Cyber Resilience Act (CRA) gør cybersikkerhed til et lovkrav for alle, der sælger software og hardware i EU. Hvor NIS2 er et direktiv til national implementering, er CRA en forordning, som gælder direkte i Danmark fra dag ét, uden lokale tilpasninger.
For danske softwarevirksomheder og tech scale-ups bliver CRA et nyt, konkret vilkår for at kunne sælge digitale produkter på det europæiske marked.
Hvem er omfattet af de nye regler?
CRA gælder for alle producenter af produkter med digitale elementer. Det omfatter software og hardware, der kan forbindes til netværk eller andre enheder.
Reglerne er særligt relevante for virksomheder, der udvikler og licenserer softwareprodukter, uanset om leveringen sker via download, on‑premise eller som SaaS. De rammer også leverandører, der vedligeholder applikationer, der er drevet hos kunden. Det afgørende er, om virksomheden er producent af den underliggende software eller det digitale produkt.
Cloud- og hostingplatforme er som udgangspunkt dækket af NIS2‑regimet. CRA bliver dog relevant, hvis virksomheden selv har bygget den software, der driver platformen.
Hvornår skal din virksomhed være klar?
CRA indfases i tre etaper frem mod slutningen af 2027:
Etape 1: den 11. juni 2026 skal de nationale myndigheder have procedurerne klar. Det gælder især udpegningen af de organer, der skal vurdere produkternes overensstemmelse.
Etape 2: den 11. september 2026 træder rapporteringsforpligtelsen i kraft. Her skal producenter rapportere aktivt udnyttede sårbarheder til myndighederne inden for 24 timer.
Denne pligt gælder alle produkter, der er i brug på EU-markedet. Det inkluderer også systemer, der allerede er i drift hos jeres kunder i dag.
Etape 3: den 11. december 2027 træder alle øvrige krav fuldt ud i kraft. Herefter må produkter ikke sælges uden dokumentation for deres sikkerhed og korrekt CE-mærkning.
Hvad med systemer, der allerede er i drift?
Det vigtigste skel går mellem produktkrav og rapporteringspligt. Produkter, der er bragt i omsætning før december 2027, er som udgangspunkt undtaget de nye produktkrav.
Undtagelsen bortfalder dog, hvis produktet undergår en væsentlig ændring, for eksempel ændringer i formålet eller opdateringer, der øger cybersikkerhedsrisikoen. Almindelige sikkerhedsopdateringer og mindre fejlretninger betragtes ikke som væsentlige ændringer.
Rapporteringspligten fra september 2026 gælder derimod alle eksisterende produkter. Virksomheder bør allerede nu vurdere deres beredskab til at håndtere rapportering på tværs af porteføljen.
Tre kategorier: placér jeres produkt rigtigt
CRA opdeler produkter i tre kategorier. Kategorien afgør, hvilken type overensstemmelsesvurdering der kræves.
- Standardprodukter (default)
Her vil langt de fleste software‑ og hardwareprodukter ligge. Producenten kan selv foretage en egenvurdering (self‑assessment) og udstede en EU‑overensstemmelseserklæring med CE‑mærkning, for eksempel forretningsapplikationer, branchespecifikke fagsystemer og specialudviklede løsninger til erhvervskunder. - Vigtige produkter, klasse I
Produkter med forhøjet cybersikkerhedsrisiko. Egenvurdering er kun tilladt, hvis producenten følger harmoniserede standarder, som endnu ikke er færdigudviklet, men forventes klar i løbet af 2026 og 2027. Indtil da vil der ofte være behov for tredjepartsvurdering, for eksempel for identity management‑systemer, password managers, antivirus‑software, VPN‑løsninger, netværksstyringssystemer, SIEM‑systemer og browsere. - Vigtige produkter, klasse II, og kritiske produkter
Her er tredjepartsvurdering via et akkrediteret organ obligatorisk, for eksempel for firewalls, hypervisors, hardware security modules og industrielle styresystemer til kritisk infrastruktur.
Klassificeringen afgøres af produktets kernefunktionalitet og ikke af, hvem der køber det, eller hvilken branche det sælges til.
Eksisterende compliance: godt fundament, men ikke nok
Mange spørger, om eksisterende compliance‑arbejde i form af ISO 27001/27002‑certificering, GDPR‑kontroller og NIS2‑implementering betyder, at de næsten er i mål. Svaret er: I har et godt fundament, men ikke en genvej.
ENISA og EU’s Joint Research Centre har kortlagt eksisterende standarder op mod CRA’s krav. Konklusionen er, at ISO 27002 dækker omtrent halvdelen af CRA’s produktsikkerhedskrav på et overordnet niveau, for eksempel risikostyring, adgangskontrol, incident response og sikker softwareudvikling.
Den afgørende forskel er, at ISO 27001/27002, GDPR og NIS2 primært regulerer organisationen, mens CRA regulerer produktet. CRA lægger et nyt lag af krav på selve softwaren eller enheden, som det eksisterende compliance‑arbejde ikke i sig selv omfatter.
De krav, der typisk ligger uden for kendte frameworks, er:
- Software bill of materials (SBOM), en komplet og ajourført komponentoversigt.
- Produktspecifik teknisk dokumentation (technical file) til tilsynsmyndigheder.
- Verifikation af secure default configuration på produktniveau.
- Rapportering til ENISA inden for 24 timer ved aktivt udnyttede sårbarheder.
- Formel conformity assessment‑procedure med tilhørende dokumentation.
For virksomheder med et modent informationssikkerhedsarbejde er startpositionen god. Men CRA‑compliance kræver et målrettet, produktrettet spor, som bør sættes i gang nu – ikke mindst på grund af rapporteringspligten fra september 2026.
Konsekvenser og markedets forventninger
Manglende efterlevelse har direkte konsekvenser. Bøderne kan nå op på 15 millioner euro eller 2,5 procent af den globale omsætning, og myndighederne kan forbyde salg og kræve produkter trukket tilbage fra markedet.
For kunderne stopper konsekvenserne ikke dér. Hvis en leverandør pålægges at ophøre med en leverance, mister kunden adgang til et system, der måske er driftskritisk. For virksomheder omfattet af NIS2 opstår der samtidig en særskilt risiko, fordi NIS2 forpligter til at styre risici i leverandørkæden og sikre, at kritiske it‑leverandørers produkter er cybersikre.
Styr på CRA bliver derfor også et spørgsmål om kommerciel troværdighed. Kunderne vil i stigende grad forvente, at it‑leverandører kan dokumentere produktsikkerhed og compliance – ikke kun på organisationsniveau, men på det konkrete produkt.
CRA giver producenter i standard‑ og klasse I‑kategorien mulighed for at erklære sig selv compliant. Men bag en egenvurdering skal der ligge risikovurdering, teknisk dokumentation, en SBOM og dokumenterede processer for sårbarhedshåndtering. Det er substantielt arbejde, ikke blot et skema.
Under GDPR og NIS2 har markedet allerede udviklet ISAE 3000‑erklæringer som uafhængig dokumentation. Meget tyder på, at CRA over tid vil skabe et tilsvarende behov for uafhængig attestation af CRA‑compliance.
Hvad bør virksomheder gøre nu?
Uanset kategori er der grund til at handle nu:
- Kortlæg, hvilke produkter der er omfattet af CRA, og hvilken kategori de tilhører.
- Vurder, om systemer i drift og løbende opdateringer kan udløse krav om væsentlig ændring.
- Etabler processer for sårbarhedshåndtering og incident reporting inden september 2026.
- Dokumentér risikovurdering, teknisk dokumentation og compliance‑status i god tid inden december 2027.
Hos Grant Thornton hjælper vi it‑leverandører med at oversætte CRA til konkrete krav og med at dokumentere compliance på en måde, der giver troværdighed over for både kunder og myndigheder.
Tag kontakt til vores eksperter i IT‑erklæringer og IT‑risikostyring, hvis du har spørgsmål til, hvad CRA konkret betyder for jeres produkter og virksomhed.
