Cybersecurity

Din hårdvara är nu reglerad mjukvara

EU:s Cyber Resilience Act gör varje uppkopplad produkt till en reglerad vara, med en 24-timmars rapporteringsklocka från 2026 och böter på upp till 2,5 procent av omsättningen.

Av Leon Soliman · 2026-06-28 · 3 min lästid

Viktigaste punkterna

Cyber Resilience Act behandlar varje produkt med digitala element som en reglerad vara, så en tillverkare av en uppkopplad maskin eller enhet är nu en mjukvaruleverantör enligt EU-rätten.
Från och med den 11 september 2026 startar en aktivt utnyttjad sårbarhet en fast klocka: en tidig varning inom 24 timmar, en fylligare rapport inom 72 timmar och en slutrapport inom 14 dagar.
Från och med den 11 december 2027 behöver produkter en CE-märkning som vilar på säkerhet i designen och uppdateringar under hela supportperioden, med böter på upp till 15 miljoner euro eller 2,5 procent av den globala omsättningen.
Plikten upphör inte vid försäljningen, den gäller under hela den stödda livslängden för varje enhet, och den binder tillverkare utanför EU som säljer in på den europeiska marknaden.

Ordet tillverkare betyder nu dig

EU:s Cyber Resilience Act trädde i kraft i december 2024, och dess definition av en tillverkare är bredare än de flesta styrelser antar. Den omfattar varje produkt med digitala element som släpps ut på den europeiska marknaden: en uppkopplad maskin, en industriell styrenhet, en medicinteknisk produkt, en konsumentpryl eller en fristående mjukvara. Om din produkt talar med ett nätverk faller den inom tillämpningsområdet, och det gör också de importörer och distributörer som släpper ut den på marknaden.

För ett family office eller en ägare inom Mittelstand är det den obekväma omklassificeringen. Ett företag som har byggt precisionsmaskiner i tre generationer, och aldrig kallat sig en mjukvaruverksamhet, är nu en reglerad mjukvaruleverantör i EU-rättens ögon. Regeln når också bortom unionen. En tillverkare baserad var som helst i världen som säljer in på den europeiska marknaden bär samma plikter som en baserad i Frankfurt.

En 24-timmarsklocka du inte styr över

Den första hårda deadlinen är nära. Från och med den 11 september 2026 startar en aktivt utnyttjad sårbarhet eller en allvarlig säkerhetsincident en fast rapporteringskaskad genom en enda europeisk plattform. En tidig varning ska lämnas inom 24 timmar, en fylligare anmälan inom 72 timmar och en slutrapport inom 14 dagar efter att en åtgärd eller tillfällig lösning utfärdats. Klockan väntar inte på din juridiska granskning eller din kommunikationsplan.

Den tidsramen är den operativa chocken. 24-timmarsfönstret öppnas under det värsta ögonblicket av en incident, när informationen är ofullständig och instinkten är att inte säga något förrän fakta är klara. Akten tar bort det alternativet. En organisation som inte kan upptäcka, prioritera och rapportera en brist inom ett dygn kommer att missa deadlinen, inte för att den saknar god vilja, utan för att den aldrig byggde maskineriet för att röra sig så snabbt.

CE-märkning, och en bot anpassad till din omsättning

De bredare skyldigheterna följer den 11 december 2027. Från det datumet behöver en produkt med digitala element en CE-märkning som intygar att den byggdes med säkerhet i designen, levereras utan kända utnyttjbara defekter och kommer att få säkerhetsuppdateringar under en definierad supportperiod. Efterlevnad är inte ett engångstest före lanseringen, det är en plikt som gäller under den stödda livslängden för varje enhet du har sålt.

Tillsynen bär tyngd. Nationella marknadskontrollmyndigheter övervakar reglerna, och Tyskland har redan lagt fram ett första utkast till lagen för att namnge sin behöriga myndighet. Böter för att inte uppfylla kärnkraven når 15 miljoner euro eller 2,5 procent av den globala årsomsättningen, beroende på vilket som är högst. För en lönsam medelstor tillverkare är omsättningssiffran den som bör fånga rummets uppmärksamhet.

Läs vidare: Är ert cyberförsvar redo för attacker i maskinhastighet? · Din kryptering har ett utgångsdatum

Vanliga frågor

Gäller Cyber Resilience Act för oss om vi bara tillverkar fysiska maskiner?

Ja, om de maskinerna ansluter till ett nätverk eller kör mjukvara. Akten omfattar produkter med digitala element, inte bara ren mjukvara, så en uppkopplad maskin, styrenhet eller enhet placerar sin tillverkare rakt inom tillämpningsområdet, inklusive plikten att hantera sårbarheter och rapportera incidenter.

Vi är baserade utanför EU. Är vi ändå bundna av den?

Ja. Skyldigheterna följer marknaden, inte huvudkontoret. Varje tillverkare som släpper ut en produkt med digitala element på den europeiska marknaden bär samma plikter som en EU-baserad, och din EU-importör eller distributör kan hållas ansvarig där du inte är det.

Cyber Resilience Act frågar inte om du betraktar dig själv som ett mjukvaruföretag. Den avgör det åt dig i samma ögonblick som din produkt ansluter till ett nätverk. Den verkliga frågan är om du kan namnge varje uppkopplad produkt du säljer, bevisa hur den är säkrad och rapportera ett aktivt utnyttjande inom ett dygn, eller om du kommer att få svaret under själva incidenten.

Cyber Resilience Act Product Security CE Marking EU Regulation Mittelstand

Mer från Servola Journal

Cybersecurity

Är ert cyberförsvar redo för attacker i maskinhastighet?

2026-06-23 · 2 min lästid

Läs artikeln →

Information Security

Din kryptering har ett utgångsdatum

2026-06-26 · 2 min lästid

Läs artikeln →

AI Security

Dina AI-agenter är fler än din personal

2026-06-26 · 2 min lästid

Läs artikeln →

Servola

Servola hjälper ägare och Mittelstand-tillverkare att kartlägga vilka av deras produkter som faller under Cyber Resilience Act och att bygga den sårbarhetshantering och rapportering de kommer att behöva före deadlinen 2026.

Begär en konfidentiell introduktion Om Servola →

Servola är teknologisk rådgivning för ett litet antal familjer och family offices. När ett beslut inte kan delegeras sitter vi på din sida av bordet.

Servola Systems GmbH · Ludwigshafen, Germany · [email protected]

← Alla artiklar