Hvad der reelt ændrer sig den 11. september 2026

EU's Cyber Resilience Act indfører en fast rapporteringspligt, der begynder den 11. september 2026. Når en producent har en rimelig grad af sikkerhed for, at en sårbarhed i et af dens produkter aktivt udnyttes, eller at en alvorlig hændelse har ramt sikkerheden af det produkt, starter uret. En tidlig varsling skal nå EU's cybersikkerhedsagentur ENISA og det relevante nationale CSIRT inden for 24 timer, sendt gennem en enkelt rapporteringsplatform, der underretter begge på samme tid.

24-timers varslingen er ikke slutningen på det. En mere fyldig underretning skal indgives inden for 72 timer, og en endelig rapport inden for 14 dage, når en korrigerende eller afhjælpende foranstaltning er tilgængelig. Udløseren er ikke fuld retsteknisk bevisførelse. En igangværende undersøgelse standser ikke uret, så det praktiske spørgsmål for en ejer er enkelt: kunne dit team opdage signalet, afgøre at det kvalificerer, og indgive inden for en arbejdsdag?

Hvorfor dette rammer produkter, du allerede har solgt

Det punkt, der overrasker mange operatører, er anvendelsesområdet. Forpligtelsen er ikke begrænset til produkter, der lanceres efter fristen. Så længe et produkt med digitale elementer forbliver på EU-markedet på eller efter den 11. september 2026, falder dets sårbarheder og alvorlige hændelser under rapporteringspligten, herunder ældre enheder og ældre serier, der stadig sælges. En tilsluttet sensor, en maskinstyring eller en softwarekomponent, der blev leveret for årevis siden, kan trække dig ind i en 24-timers indgivelse.

Det er her, eksponeringen ligger for en typisk Mittelstand-producent. Konstruktionen blev godkendt for længe siden, produktet er modent, og ingen ejer et 24-timers rapporteringsdræbog for det. Kommissionens nuværende vejledning fra marts 2026 er den mest autoritative fortolkning, der findes, men den er stadig i udkast og ikke formelt vedtaget, så nogle detaljer kan ændre sig. Kernetidslinjerne og rækkevidden ind i eksisterende produkter er allerede klare nok til at planlægge efter.

Hvad en ejer fornuftigt kan tjekke nu

Start med et ærligt overblik over, hvad du faktisk sælger, der har digitale elementer, herunder indlejret software og tilsluttede funktioner i ældre serier. Spørg derefter, hvem inde i virksomheden der først ville høre, at et af disse produkter bliver udnyttet, og hvordan det når en beslutningstager, der kan godkende en indgivelse. Hvis det ærlige svar er, at beskeden ville ligge i en indbakke hen over en weekend, har du fundet hullet. En navngivet ejer, en defineret vej og en indøvet 24-timers øvelse betyder mere her end et tykt politikdokument.

Intet af dette er juridisk rådgivning, og vejledningens endelige form er endnu ikke fastlagt. Men retningen er sat, og fristen er nær. At behandle rapporteringspligten som et spørgsmål om operationel parathed nu, snarere end et compliance-notat senere, er det, der adskiller de firmaer, der indgiver roligt, fra dem, der farer rundt. Arbejdet er for det meste proces og ejerskab, ikke ny teknologi.