Gäller Cyber Resilience Act svenska företag?

Ja. Förordning (EU) 2024/2847 gäller alla tillverkare, importörer och distributörer av produkter med digitala element som släpps på EU-marknaden. Svenska företag är direkt berörda. Fullständig tillämpning från 11 december 2027, med rapporteringsskyldigheter för sårbarheter från 11 september 2026.

Vilken roll spelar Swedac och NCSC-SE i CRA?

Enligt SOU 2025:115 föreslås Swedac som anmälande myndighet för CRA i Sverige, ansvarig för bedömning och notifiering av organ för bedömning av överensstämmelse. NCSC-SE (Nationellt cybersäkerhetscenter) är koordinerande CSIRT. Från 11 september 2026 rapporterar tillverkare aktivt utnyttjade sårbarheter via ENISA:s Single Reporting Platform.

Förordning (EU) 2024/2847 Swedac • NCSC-SE • SOU 2025:115

Cyber Resilience Act
för svenska företag

Q: Vad är SOU 2025:115?

SOU 2025:115 är den svenska statliga utredningen 'Kompletterande bestämmelser till EU:s cyberresilienslag', som presenterades i december 2025. Utredningen föreslår en svensk kompletteringslag och förordning för att stödja tillämpningen av CRA i Sverige, inklusive nationella bestämmelser om tillsyn och sanktioner, samt föreslår institutionella utpekanden.

Förordning (EU) 2024/2847 ställer obligatoriska cyberskyddskrav på tillverkare, importörer och distributörer av produkter med digitala element på EU-marknaden. Svenska företag är direkt berörda.

Automatisera din CRA-efterlevnad →

Svenska myndigheter för CRA

Tre aktörer spelar en central roll i genomförandet av CRA i Sverige.

🏗

Swedac — anmälande myndighet

Enligt SOU 2025:115 föreslås Swedac som anmälande myndighet för CRA i Sverige. Swedac ansöker om, bedömer och notifierar organ för bedömning av överensstämmelse (OB) till EU-kommissionen.

🚨

NCSC-SE — CSIRT-koordinator

Nationellt cybersäkerhetscenter (NCSC-SE) är koordinerande CSIRT för Sverige. Från 11 september 2026 rapporterar tillverkare aktivt utnyttjade sårbarheter via ENISA:s Single Reporting Platform som automatiskt vidarebefordrar till NCSC-SE.

📊

SOU 2025:115 — kompletteringslagstiftning

Den statliga utredningen presenterades i december 2025 och föreslår en svensk kompletteringslag och förordning för tillsyn, sanktioner och institutionella utpekanden för CRA i Sverige.

Källa: SOU 2025:115; msb.se

Viktiga datum för svenska företag

Officiell tidslinje baserad på förordning (EU) 2024/2847, artiklarna 71–72.

10 december 2024

CRA träder i kraft Klart

Förordning (EU) 2024/2847 trädde i kraft. Svenska företag bör påbörja förberedelser för efterlevnad.

December 2025

SOU 2025:115 presenteras Klart Sverige

Den statliga utredningen om kompletterande bestämmelser till CRA presenterades med förslag om Swedac som anmälande myndighet.

11 juni 2026

Organ för bedömning av överensstämmelse

Sverige ska ha notifierat organ för bedömning av överensstämmelse (OB) till EU-kommissionen. Kapitel IV i förordningen tillämpas.

11 september 2026

Rapporteringsskyldighet för sårbarheter

Artikel 14 tillämpas. Tillverkare rapporterar aktivt utnyttjade sårbarheter och allvarliga incidenter via ENISA:s Single Reporting Platform. Frister: 24h tidig varning, 72h anmälan, 14 dagar slutrapport.

11 december 2027

Full tillämpning av CRA

Alla krav tillämpas: väsentliga cyberskyddskrav (bilaga I), CE-märkning, EU-försäkran om överensstämmelse, teknisk dokumentation (bilaga VII). Böter upp till 15 000 000 EUR eller 2,5% av global årsomsättning (artikel 64).

Vanliga frågor

Svar baserade på den officiella texten i förordning (EU) 2024/2847.

Gäller CRA även programvara?

Ja. CRA gäller alla produkter med digitala element, inklusive fristående programvara som släpps ut på EU-marknaden i samband med en kommersiell verksamhet. Mobilappar, desktopprogram, firmware och mjukvarukomponenter som släpps separat omfattas. Undantag: öppen källkod som inte utgör kommersiell verksamhet kan undantas.

Källa: Förordning (EU) 2024/2847, artikel 2 — EUR-Lex

Vilka påföljder gäller vid bristande efterlevnad?

Artikel 64 i förordning (EU) 2024/2847 fastställer maximiböter: bristande efterlevnad av väsentliga cyberskyddskrav upp till 15 000 000 EUR eller 2,5% av global årsomsättning; andra överträdelser upp till 10 000 000 EUR eller 2% av omsättningen; felaktiga uppgifter till myndigheter upp till 5 000 000 EUR eller 1% av omsättningen. Mikroföretag och små företag är undantagna från böter för att missa 24-timmarsfristen för sårbarhetsrapportering.

Källa: Förordning (EU) 2024/2847, artikel 64 — EUR-Lex

Vad är SBOM och är det obligatoriskt?

En Software Bill of Materials (SBOM) är en strukturerad lista över alla programvarukomponenter i en produkt, inklusive versioner och kända sårbarheter. Bilaga I del II i förordning (EU) 2024/2847 älägger tillverkare att upprätta och underhålla en SBOM som en del av sårbarhetshanteringsprocessen. SBOM behöver inte publiceras aktivt men måste vara tillgänglig för marknadstillsynsmyndigheter.

Källa: Förordning (EU) 2024/2847, bilaga I del II — EUR-Lex

Automatisera din CRA-efterlevnad

CRA Ready är B2B SaaS-plattformen för europeiska tillverkare. Teknisk dokumentation, CE-märkning, sårbarhetshantering och SBOM — allt på ett ställe.

Öppna plattformen →

Rättslig ansvarsfriskrivning: Denna sida är en informationskälla. Allt innehåll rörande CRA hänvisar till den officiella texten i förordning (EU) 2024/2847 publicerad i EU:s officiella tidning (EUR-Lex). Information om svenska myndigheter är hämtad från SOU 2025:115 och msb.se. Denna sida utgör inte juridisk rådgivning.

Cyber Resilience Actför svenska företag

Svenska myndigheter för CRA

Viktiga datum för svenska företag

Vanliga frågor

Automatisera din CRA-efterlevnad

Cyber Resilience Act
för svenska företag