Från december 2027 får inga digitala produkter säljas inom EU utan att uppfylla nya cybersäkerhetskrav. För svenska tillverkare och importörer innebär Cyber Resilience Act en omställning som redan borde ha startat.
EU:s nya cyberlag slår igenom 2027 - böter upp till 15 miljoner euro
Wi-Fi-routrar, smarta TV-apparater, babymonitorer, industriell programvara, appar. Från slutet av 2027 måste allt med mjukvara eller internetuppkoppling uppfylla EU:s nya säkerhetskrav. Produkter som inte lever upp till kraven får inte säljas, inte CE-märkas och riskerar att dras från marknaden.
Lagen heter Cyber Resilience Act (CRA) och trädde i kraft i december 2024. Nu tickar klockan mot full efterlevnad den 11 december 2027. Ansvaret flyttas från användaren till tillverkaren. Produkter ska vara säkra redan från start, så kallat ”secure by design”.
Sverige bygger upp regelverket
Den svenska Cyberresiliensutredningen (SOU 2025:115) föreslog i slutet av förra året hur lagen ska implementeras i Sverige. Post- och telestyrelsen (PTS) föreslås bli marknadskontrollmyndighet med ansvar för att produkter uppfyller kraven. Myndigheten för samhällsskydd och beredskap (MSB) blir den instans som tar emot rapporter om säkerhetsbrister och incidenter.
Svenskt Näringsliv har i en rapport kartlagt konsekvenserna för svenska företag. Förordningen berör allt från industriell automation och IoT-enheter till konsumentprodukter som larm och smartphones.
Tre steg till certifiering
Marco Spielmann, VD för det estniska mjukvaruföretaget Proekspert som specialiserar sig på CRA-anpassningar, beskriver processen i tre steg.
”Först gör vi en gapanalys. Vi granskar produkten, sedan mjukvarukomponenterna och slutligen processerna bakom. Efter revisionen går vi vidare till teknisk implementering så att produkten kan TÜV-certifieras”, säger Spielmann till Ingenieur.de.
Den goda nyheten, enligt Spielmann, är att de flesta befintliga produkter kan göras CRA-kompatibla genom mjukvaruuppdateringar. Produkter som är 20 år gamla kan anpassas utan att utvecklas från grunden.
”I de flesta CRA-certifieringar vi genomfört har vi bara behövt göra mjukvaruändringar. Behövs inga hårdvaruändringar är det betydligt mer kostnadseffektivt att anpassa mjukvaran än att utveckla en helt ny produkt”, säger han.
Cyberattacker ökar, ansvaret skärps
Bakgrunden är en kraftig ökning av cyberattacker riktade mot just uppkopplade enheter. Attackerna rör sig bort från traditionella datorer och mot IoT-enheter som klimatanläggningar, industriella styrsystem och övervakningskameror.
Det är en verklighet svenska företag redan drabbats hårt av. Enligt Global Cybersecurity Outlook 2026 uppger 73 procent av beslutsfattare att de eller någon i deras professionella nätverk personligen drabbats av cyberrelaterade bedrägerier det senaste året.
Samtidigt visar en rapport att bara 7 av 100 företag har tillräckligt cyberskydd. Styrelsernas bristande fokus på frågan kostar miljarder, enligt PwC.
Böter upp till 15 miljoner euro
CRA kompletterar den nya cybersäkerhetslagen (NIS2) som trädde i kraft i januari 2026 och som riktar sig mot verksamheter med böter upp till 10 miljoner euro. CRA riktar sig istället mot produkterna, med ännu hårdare sanktioner.
Företag som säljer produkter som inte uppfyller CRA-kraven riskerar böter på upp till 15 miljoner euro eller 2,5 procent av den globala årsomsättningen.
Importörer och distributörer har ett eget ansvar att verifiera att produkterna de säljer är kompatibla.
Konkurrensfördel snarare än kostnad
Spielmann menar att företag som agerar tidigt kan vända regelverket till en fördel.
”Med det obligatoriska införandet av CRA är det viktigt att enheter förblir säkra under hela livscykeln och regelbundet kan uppdateras. När nya regelverk träder i kraft måste man kunna implementera nya säkerhetsåtgärder omgående. Det är en stark fördel gentemot konkurrenter”, säger han.
Regeringens satsning på 300 miljoner kronor i nationell cybersäkerhet under 2026, med ökningar till 350 miljoner 2027 och 400 miljoner 2028, understryker att frågan prioriteras politiskt.
Forskningsinstitutet RISE erbjuder redan stöd till svenska företag som behöver förbereda sig inför CRA-kraven.
Det här bör svenska företag göra nu
Knappt 18 månader återstår innan kraven slår igenom fullt ut. Företag som tillverkar, importerar eller distribuerar produkter med digitala komponenter bör redan nu inventera sin produktportfölj, identifiera luckor i säkerheten och inleda anpassningsarbetet.
Den som väntar riskerar att stå med produkter som inte får säljas.
