Cybersecurity

Din hardware er nu reguleret software

EU's Cyber Resilience Act gør ethvert forbundet produkt til en reguleret vare, med en 24-timers rapporteringsfrist fra 2026 og bøder på op til 2,5 procent af omsætningen.

Af Leon Soliman · 2026-06-28 · 3 min læsning

Vigtigste punkter

Cyber Resilience Act behandler ethvert produkt med digitale elementer som en reguleret vare, så en producent af forbundne maskiner eller enheder er nu en softwareleverandør under EU-retten.
Fra den 11. september 2026 udløser en aktivt udnyttet sårbarhed et fast ur: en tidlig advarsel inden for 24 timer, en mere fuldstændig rapport inden for 72 timer og en endelig rapport inden for 14 dage.
Fra den 11. december 2027 skal produkter have en CE-mærkning understøttet af sikkerhed gennem design og opdateringer i hele supportperioden, med bøder på op til 15 millioner euro eller 2,5 procent af den globale omsætning.
Pligten ophører ikke ved salget, den løber gennem hele den understøttede levetid for hver enkelt enhed, og den binder producenter uden for EU, der sælger ind på det europæiske marked.

Ordet producent betyder nu dig

EU's Cyber Resilience Act trådte i kraft i december 2024, og dens definition af en producent er bredere, end de fleste bestyrelser antager. Den omfatter ethvert produkt med digitale elementer, der bringes i omsætning på det europæiske marked: en forbundet maskine, en industriel styreenhed, en medicinsk enhed, en forbrugerdims eller et stykke selvstændig software. Hvis dit produkt taler med et netværk, er det omfattet, og det samme gælder de importører og distributører, der bringer det i omsætning.

For et family office eller en Mittelstand-ejer er den ubehagelige del omklassificeringen. En virksomhed, der har bygget præcisionsmaskiner gennem tre generationer og aldrig har kaldt sig en softwarevirksomhed, er nu en reguleret softwareleverandør i EU-rettens øjne. Reglen rækker også ud over unionen. En producent med base hvor som helst i verden, der sælger ind på det europæiske marked, bærer de samme pligter som en med base i Frankfurt.

Et 24-timers ur, du ikke styrer

Den første hårde frist er tæt på. Fra den 11. september 2026 udløser en aktivt udnyttet sårbarhed eller en alvorlig sikkerhedshændelse en fast rapporteringskaskade gennem en enkelt europæisk platform. En tidlig advarsel skal ske inden for 24 timer, en mere fuldstændig underretning inden for 72 timer og en endelig rapport inden for 14 dage efter, at en rettelse eller en løsning er udsendt. Uret venter ikke på din juridiske gennemgang eller din kommunikationsplan.

Den timing er det operationelle chok. De 24 timers vindue åbner i det værste øjeblik af en hændelse, når oplysningerne er ufuldstændige, og instinktet er at sige intet, indtil fakta er klare. Forordningen fjerner den mulighed. En organisation, der ikke kan opdage, triagere og rapportere en fejl inden for en dag, vil overskride fristen, ikke fordi den mangler velvilje, men fordi den aldrig byggede maskineriet til at bevæge sig så hurtigt.

CE-mærkning og en bøde målt efter din omsætning

De bredere forpligtelser følger den 11. december 2027. Fra den dato skal et produkt med digitale elementer have en CE-mærkning, der bekræfter, at det er bygget med sikkerhed gennem design, leveres uden kendte udnyttelige defekter og vil modtage sikkerhedsopdateringer gennem en defineret supportperiode. Overholdelse er ikke en engangstest før lanceringen, det er en pligt, der løber gennem hele den understøttede levetid for hver enkelt enhed, du har solgt.

Håndhævelsen bærer vægt. Nationale markedsovervågningsmyndigheder håndhæver reglerne, og Tyskland har allerede udstedt et første udkast til loven for at udpege sin kompetente myndighed. Bøder for at svigte kernekravene når 15 millioner euro eller 2,5 procent af den globale årlige omsætning, alt efter hvad der er højest. For en rentabel mellemstor producent er omsætningstallet det, der bør samle rummet.

Læs videre: Er dit cyberforsvar klar til angreb i maskinhastighed? · Din kryptering har en udløbsdato

Ofte stillede spørgsmål

Gælder Cyber Resilience Act for os, hvis vi kun fremstiller fysiske maskiner?

Ja, hvis de maskiner forbinder til et netværk eller kører software. Forordningen omfatter produkter med digitale elementer, ikke kun ren software, så en forbundet maskine, styreenhed eller enhed placerer sin producent klart inden for anvendelsesområdet, herunder pligten til at håndtere sårbarheder og rapportere hændelser.

Vi har base uden for EU. Er vi stadig bundet af den?

Ja. Forpligtelserne følger markedet, ikke hovedkvarteret. Enhver producent, der bringer et produkt med digitale elementer i omsætning på det europæiske marked, bærer de samme pligter som en EU-baseret, og din importør eller distributør i EU kan holdes ansvarlig, hvor du ikke er.

Cyber Resilience Act spørger ikke, om du betragter dig selv som en softwarevirksomhed. Den afgør det for dig i det øjeblik, dit produkt forbinder til et netværk. Det egentlige spørgsmål er, om du kan navngive hvert forbundet produkt, du sælger, bevise hvordan det er sikret, og rapportere en aktiv udnyttelse inden for en dag, eller om du lærer svaret under selve hændelsen.

Cyber Resilience Act Product Security CE Marking EU Regulation Mittelstand

Mere fra Servola Journal

Cybersecurity

Er dit cyberforsvar klar til angreb i maskinhastighed?

2026-06-23 · 2 min læsning

Læs artiklen →

Information Security

Din kryptering har en udløbsdato

2026-06-26 · 2 min læsning

Læs artiklen →

AI Security

Dine AI-agenter er flere end dine ansatte

2026-06-26 · 2 min læsning

Læs artiklen →

Servola

Servola hjælper ejere og Mittelstand-producenter med at kortlægge, hvilke af deres produkter der falder under Cyber Resilience Act, og opbygge den sårbarhedshåndtering og rapportering, de får brug for inden fristen i 2026.

Anmod om en fortrolig introduktion Om Servola →

Servola er teknologisk rådgivning for et lille antal familier og family offices. Når en beslutning ikke kan delegeres, sidder vi på din side af bordet.

Servola Systems GmbH · Ludwigshafen, Germany · [email protected]

← Alle artikler