
Cyber Resilience Act (CRA) och Maskiner - vad gäller och vad behöver du göra?
Om du tillverkar maskiner med digitala komponenter kommer Cyber Resilience Act (CRA) sannolikt att påverka din verksamhet.
Ladda ner guiden "Från krav till praktiskt arbete - 6 steg för att uppfylla CRA"
De flesta moderna maskiner innehåller idag:
PLC-system
HMI-paneler
Industriella datorer
Kommunikationsmoduler
Molnuppkopplingar
Fjärrsupportlösningar
Programvara från tredje part
Open Source-komponenter
Det innebär att cybersäkerhet inte längre är enbart en teknisk fråga. Den blir ett lagkrav.
För många maskintillverkare innebär detta nya krav på dokumentation, sårbarhetshantering, säkerhetsuppdateringar och uppföljning långt efter att maskinen har levererats.
I den här artikeln går vi igenom vad CRA innebär för maskintillverkare och vilka sex områden du behöver ha kontroll över.
Omfattas mina maskiner av CRA?
Den första frågan många ställer är:
"Gäller CRA verkligen våra maskiner?"
Svaret är ofta ja.
CRA omfattar produkter med digitala element. En maskin som innehåller programvara eller kan kommunicera elektroniskt omfattas normalt av reglerna.
Exempel:
✅ Produktionsmaskiner
✅ Robotceller
✅ Förpackningsmaskiner
✅ Automationsutrustning
✅ Mobila maskiner med uppkopplade funktioner
✅ Maskiner med fjärrsupport
✅ Maskiner med industriella nätverk
För många maskintillverkare blir därför CRA lika relevant som maskinförordningen.
Hur hänger CRA ihop med maskinförordningen?
Maskinförordningen fokuserar på:
Mekaniska risker
Funktionell säkerhet
Skyddsåtgärder
Säker användning
CRA fokuserar istället på:
Cybersäkerhetsrisker
Sårbarheter
Säkerhetsuppdateringar
Incidentrapportering
Säkerhet över tid
I praktiken måste båda perspektiven hanteras.
En cyberattack som påverkar maskinens säkerhetsfunktioner kan leda till samma konsekvenser som ett mekaniskt fel.
Det innebär att cybersäkerhet blir en naturlig del av den totala riskbedömningen.
Vad behöver du göra i praktiken?
För att uppfylla CRA behöver du etablera en process som fungerar under hela produktens livscykel.
De sex områdena nedan visar hur arbetet kan struktureras.
1. Skaffa kontroll över alla komponenter
Många maskintillverkare vet exakt vilka mekaniska komponenter som finns i maskinen.
Färre har motsvarande kontroll över:
PLC-program
Operativsystem
Bibliotek
Open Source-programvara
Kommunikationsmoduler
Leverantörsprogramvara
För att uppfylla CRA behöver du veta exakt vad maskinen innehåller.
Resultat: SBOM och komponentförteckning. Det finns flera SBOM-verktyg både Open-Source och kommersiella.
2. Bevaka nya sårbarheter
När en sårbarhet upptäcks i exempelvis:
Linux
Windows IoT
Codesys
OpenSSL
Node.js
Tredjepartsbibliotek
måste du kunna avgöra om dina maskiner påverkas.
Det kräver en process för kontinuerlig övervakning.
Resultat: Tidig upptäckt av nya risker.
3. Bedöm konsekvenserna
Alla sårbarheter är inte kritiska.
Du behöver kunna avgöra:
Påverkas maskinen?
Kan säkerhetsfunktioner påverkas?
Finns risk för produktionsstopp?
Kan användare skadas?
Krävs rapportering?
Resultat: Prioriterade åtgärder.
4. Åtgärda och verifiera
Om en sårbarhet påverkar produkten behöver du:
Utveckla korrigeringar
Testa lösningen
Dokumentera resultatet
Säkerställa att nya risker inte introduceras
För maskintillverkare blir detta ofta en kombination av cybersäkerhet och traditionell verifiering.
Resultat: Minskad risk och dokumenterad efterlevnad.
5. Informera kunder och användare
När en säkerhetsrisk identifieras måste berörda kunder få relevant information.
Exempelvis:
Vilka maskiner som påverkas
Vilka versioner som berörs
Vilka åtgärder som krävs
När uppdateringar finns tillgängliga
Resultat: Kunder kan agera innan problemet utnyttjas.
6. Hantera maskinen under hela stödperioden
Här sker den största förändringen för många maskintillverkare.
CRA ställer krav på att arbetet fortsätter även efter leverans.
Du behöver bland annat:
Leverera säkerhetsuppdateringar
Hantera rapporterade sårbarheter
Upprätthålla dokumentation
Informera om stödperiodens slut
Det innebär att cybersäkerhet blir en livscykelfråga snarare än ett projekt.
De vanligaste luckorna hos maskintillverkare
När vi granskar organisationers beredskap för CRA ser vi ofta samma utmaningar:
Ingen SBOM
Otydlig ansvarsfördelning
Ingen process för sårbarhetshantering
Ingen dokumenterad stödperiod
Bristande kontroll över Open Source-komponenter
Ingen central dokumentation för cybersäkerhetsarbete
Är du redo för CRA?
Om du kan svara "ja" på frågorna nedan har du kommit långt:
Vet vi exakt vilka programvarukomponenter våra maskiner innehåller?
Kan vi identifiera om en ny sårbarhet påverkar våra produkter?
Har vi en process för att bedöma cybersäkerhetsrisker?
Kan vi distribuera säkerhetsuppdateringar?
Kan vi informera kunder om säkerhetsproblem?
Har vi resurser för att hantera produkten under hela stödperioden?
Om svaret är nej på någon av frågorna finns det sannolikt arbete kvar innan ni uppfyller CRA.
Gäller CRA maskiner?
Ja, om maskinen innehåller digitala komponenter omfattas den normalt av CRA.
Hur skiljer sig CRA från Maskinförordningen?
Maskinförordningen fokuserar på safety.
CRA fokuserar på cybersecurity.
Båda behöver hanteras.
Måste vi skapa en SBOM?
I praktiken ja.
Det är mycket svårt att uppfylla CRA utan kontroll över vilka komponenter som finns i produkten.
När börjar CRA gälla?
Rapporteringsskyldigheterna börjar gälla den 11 september 2026.
Övriga krav börjar tillämpas den 11 december 2027.
Är vi redo för CRA?
Om du kan svara "ja" på frågorna nedan har du kommit långt:
Vet vi exakt vilka programvarukomponenter våra maskiner innehåller?
Kan vi identifiera om en ny sårbarhet påverkar våra produkter?
Har vi en process för att bedöma cybersäkerhetsrisker?
Kan vi distribuera säkerhetsuppdateringar?
Kan vi informera kunder om säkerhetsproblem?
Har vi resurser för att hantera produkten under hela stödperioden?
Ladda ner den kompletta guiden
Från krav till praktiskt arbete - 6 steg för att uppfylla CRA

