EU’s Cyber Resilience Act (CRA) er en EU‑forordning, der indfører fælles, obligatoriske cybersikkerhedskrav til “produkter med digitale elementer” – dvs. både hardware og software, der kan forbindes (direkte eller indirekte) til et netværk. Formålet er at hæve grundsikkerheden på EU‑markedet ved at kræve secure by design og løbende sikkerhedsvedligehold gennem hele produktets livscyklus.
For SMV’er er CRA især relevant, hvis I udvikler, producerer eller markedsfører digitale produkter under eget navn (typisk som “producent” i CRA‑forstand) – eller hvis I importerer/distribuerer dem i EU. Kravene handler bl.a. om risikovurdering, sikker udvikling og vedligehold, teknisk dokumentation, samt (for mange produkter) EU‑overensstemmelseserklæring og CE‑mærkning før produktet bringes på markedet.
CRA indeholder også hurtige rapporteringskrav: Hvis der opstår en aktivt udnyttet sårbarhed eller en alvorlig sikkerhedshændelse med betydning for produktets sikkerhed, skal producenten typisk sende en tidlig advarsel inden 24 timer og en mere detaljeret anmeldelse inden 72 timer.
For SMV’er, der er NIS2‑omfattet, betyder CRA, at compliance ikke kun er organisatorisk (styring, kontroller og incident response) men også produktorienteret. For SMV’er, der leverer til NIS2‑omfattede virksomheder, bliver CRA i praksis et vigtigt kontrakt- og konkurrenceparameter, fordi kunderne vil kræve dokumentation for sikker udvikling, sårbarhedshåndtering og opdateringspraksis.
CRA trådte i kraft 10. december 2024. De fleste produktkrav gælder fra 11. december 2027, mens rapporteringskravene starter tidligere (11. september 2026).
