Cyber Resilience Act (CRA) och Maskiner - vad gäller och vad behöver du göra?


Om du tillverkar maskiner med digitala komponenter kommer Cyber Resilience Act (CRA) sannolikt att påverka din verksamhet.

Ladda ner guiden "Från krav till praktiskt arbete - 6 steg för att uppfylla CRA"

De flesta moderna maskiner innehåller idag:

  • PLC-system

  • HMI-paneler

  • Industriella datorer

  • Kommunikationsmoduler

  • Molnuppkopplingar

  • Fjärrsupportlösningar

  • Programvara från tredje part

  • Open Source-komponenter

Det innebär att cybersäkerhet inte längre är enbart en teknisk fråga. Den blir ett lagkrav.

För många maskintillverkare innebär detta nya krav på dokumentation, sårbarhetshantering, säkerhetsuppdateringar och uppföljning långt efter att maskinen har levererats.

I den här artikeln går vi igenom vad CRA innebär för maskintillverkare och vilka sex områden du behöver ha kontroll över.

Omfattas mina maskiner av CRA?

Den första frågan många ställer är:

"Gäller CRA verkligen våra maskiner?"

Svaret är ofta ja.

CRA omfattar produkter med digitala element. En maskin som innehåller programvara eller kan kommunicera elektroniskt omfattas normalt av reglerna.

Exempel:

✅ Produktionsmaskiner

✅ Robotceller

✅ Förpackningsmaskiner

✅ Automationsutrustning

✅ Mobila maskiner med uppkopplade funktioner

✅ Maskiner med fjärrsupport

✅ Maskiner med industriella nätverk

För många maskintillverkare blir därför CRA lika relevant som maskinförordningen.

Hur hänger CRA ihop med maskinförordningen?

Maskinförordningen fokuserar på:

  • Mekaniska risker

  • Funktionell säkerhet

  • Skyddsåtgärder

  • Säker användning

CRA fokuserar istället på:

  • Cybersäkerhetsrisker

  • Sårbarheter

  • Säkerhetsuppdateringar

  • Incidentrapportering

  • Säkerhet över tid

I praktiken måste båda perspektiven hanteras.

En cyberattack som påverkar maskinens säkerhetsfunktioner kan leda till samma konsekvenser som ett mekaniskt fel.

Det innebär att cybersäkerhet blir en naturlig del av den totala riskbedömningen.

Vad behöver du göra i praktiken?

För att uppfylla CRA behöver du etablera en process som fungerar under hela produktens livscykel.

De sex områdena nedan visar hur arbetet kan struktureras.

1. Skaffa kontroll över alla komponenter

Många maskintillverkare vet exakt vilka mekaniska komponenter som finns i maskinen.

Färre har motsvarande kontroll över:

  • PLC-program

  • Operativsystem

  • Bibliotek

  • Open Source-programvara

  • Kommunikationsmoduler

  • Leverantörsprogramvara

För att uppfylla CRA behöver du veta exakt vad maskinen innehåller.

Resultat: SBOM och komponentförteckning. Det finns flera SBOM-verktyg både Open-Source och kommersiella.

2. Bevaka nya sårbarheter

När en sårbarhet upptäcks i exempelvis:

  • Linux

  • Windows IoT

  • Codesys

  • OpenSSL

  • Node.js

  • Tredjepartsbibliotek

måste du kunna avgöra om dina maskiner påverkas.

Det kräver en process för kontinuerlig övervakning.

Resultat: Tidig upptäckt av nya risker.

3. Bedöm konsekvenserna

Alla sårbarheter är inte kritiska.

Du behöver kunna avgöra:

  • Påverkas maskinen?

  • Kan säkerhetsfunktioner påverkas?

  • Finns risk för produktionsstopp?

  • Kan användare skadas?

  • Krävs rapportering?

Resultat: Prioriterade åtgärder.

4. Åtgärda och verifiera

Om en sårbarhet påverkar produkten behöver du:

  • Utveckla korrigeringar

  • Testa lösningen

  • Dokumentera resultatet

  • Säkerställa att nya risker inte introduceras

För maskintillverkare blir detta ofta en kombination av cybersäkerhet och traditionell verifiering.

Resultat: Minskad risk och dokumenterad efterlevnad.

5. Informera kunder och användare

När en säkerhetsrisk identifieras måste berörda kunder få relevant information.

Exempelvis:

  • Vilka maskiner som påverkas

  • Vilka versioner som berörs

  • Vilka åtgärder som krävs

  • När uppdateringar finns tillgängliga

Resultat: Kunder kan agera innan problemet utnyttjas.

6. Hantera maskinen under hela stödperioden

Här sker den största förändringen för många maskintillverkare.

CRA ställer krav på att arbetet fortsätter även efter leverans.

Du behöver bland annat:

  • Leverera säkerhetsuppdateringar

  • Hantera rapporterade sårbarheter

  • Upprätthålla dokumentation

  • Informera om stödperiodens slut

Det innebär att cybersäkerhet blir en livscykelfråga snarare än ett projekt.

De vanligaste luckorna hos maskintillverkare

När vi granskar organisationers beredskap för CRA ser vi ofta samma utmaningar:

  • Ingen SBOM

  • Otydlig ansvarsfördelning

  • Ingen process för sårbarhetshantering

  • Ingen dokumenterad stödperiod

  • Bristande kontroll över Open Source-komponenter

  • Ingen central dokumentation för cybersäkerhetsarbete

Är du redo för CRA?

Om du kan svara "ja" på frågorna nedan har du kommit långt:

  • Vet vi exakt vilka programvarukomponenter våra maskiner innehåller?

  • Kan vi identifiera om en ny sårbarhet påverkar våra produkter?

  • Har vi en process för att bedöma cybersäkerhetsrisker?

  • Kan vi distribuera säkerhetsuppdateringar?

  • Kan vi informera kunder om säkerhetsproblem?

  • Har vi resurser för att hantera produkten under hela stödperioden?

Om svaret är nej på någon av frågorna finns det sannolikt arbete kvar innan ni uppfyller CRA.

Gäller CRA maskiner?

Ja, om maskinen innehåller digitala komponenter omfattas den normalt av CRA.

Hur skiljer sig CRA från Maskinförordningen?

Maskinförordningen fokuserar på safety.

CRA fokuserar på cybersecurity.

Båda behöver hanteras.

Måste vi skapa en SBOM?

I praktiken ja.

Det är mycket svårt att uppfylla CRA utan kontroll över vilka komponenter som finns i produkten.

När börjar CRA gälla?

Rapporteringsskyldigheterna börjar gälla den 11 september 2026.

Övriga krav börjar tillämpas den 11 december 2027.

Är vi redo för CRA?

Om du kan svara "ja" på frågorna nedan har du kommit långt:

  • Vet vi exakt vilka programvarukomponenter våra maskiner innehåller?

  • Kan vi identifiera om en ny sårbarhet påverkar våra produkter?

  • Har vi en process för att bedöma cybersäkerhetsrisker?

  • Kan vi distribuera säkerhetsuppdateringar?

  • Kan vi informera kunder om säkerhetsproblem?

  • Har vi resurser för att hantera produkten under hela stödperioden?


Ladda ner den kompletta guiden

Från krav till praktiskt arbete - 6 steg för att uppfylla CRA