Morten Lyhne Petersen
Den 11 september börjar en ny EU-klocka ticka för alla som säljer uppkopplade produkter i Sverige.
Från och med det datumet måste tillverkare av routrar, smarta klockor, babyvakter, kameror och annan uppkopplad elektronik anmäla aktivt utnyttjade säkerhetshål till EU-myndigheten ENISA inom 24 timmar. Reglerna är en del av EU:s Cyber Resilience Act, en omfattande lag som trädde i kraft den 10 december 2024 och som nu går in i sin första skarpa fas.
Lagen täcker det som EU-kommissionen kallar ”produkter med digitala element” och som finns i nästan varje svenskt hem. Det handlar om allt från babyvakter och smarta klockor till appar och programvara.
Tre steg med strikta klockor
Rapporteringskedjan består av tre led. Tillverkaren ska skicka en tidig varning inom 24 timmar från det att man blivit medveten om att en sårbarhet utnyttjas aktivt. Inom 72 timmar krävs en sårbarhetsanmälan med mer detaljer, och senast 14 dagar efter att en åtgärd är på plats ska en slutrapport lämnas in. För allvarliga säkerhetsincidenter förlängs fristen för slutrapporten till en månad.
Anmälningarna går via en ny central tjänst som ENISA bygger upp, Single Reporting Platform. Systemet fungerar som en gemensam ingång, så att tillverkaren bara behöver rapportera en gång. Plattformen vidarebefordrar sedan informationen automatiskt till nationella CSIRT-enheter i de länder där produkten säljs.
Klockan startar när tillverkaren får kännedom om aktivt utnyttjande, inte när hela den tekniska analysen är klar. Det innebär att företagen inte längre kan vänta med att informera myndigheterna tills de själva har en patch klar.
Stora böter och bred räckvidd
Brott mot rapporteringskraven kan bli dyra. För överträdelser av centrala säkerhetskrav och rapporteringsskyldigheter kan böterna uppgå till 15 miljoner euro eller 2,5 procent av den globala årsomsättningen, beroende på vilket belopp som är högst.
Geografin spelar ingen roll. Företag utanför EU som säljer produkter på den europeiska marknaden omfattas också, oavsett var huvudkontoret eller fabriken ligger. Lagen kräver att utländska tillverkare utser en auktoriserad representant inom EU som kan agera kontaktpunkt mot ENISA.
Listan över produkter som berörs är lång. Bland kategorierna återfinns konsumentprodukter med uppkoppling som smarta högtalare, övervakningskameror, bärbar elektronik och routrar, men också industriella styrsystem och företagsprogramvara. Medicintekniska produkter, typgodkända fordon och vissa produkter inom civil luftfart undantas eftersom de redan har egna säkerhetsregelverk.
Vad det betyder för svenska konsumenter
För vanliga hushåll innebär förändringen att tillverkarna för första gången tvingas agera proaktivt på kända säkerhetshål i stället för att vänta tills de själva väljer att gå ut med information. Det gäller även produkter som redan står hemma i bostaden, eftersom kraven på sårbarhetshantering ska följa produkten under hela dess livscykel.
Hela CRA-regelverket träder i full kraft först den 11 december 2027, men just rapporteringskraven blir alltså den första delen som börjar gälla skarpt. Branschen verkar inte riktigt redo, och flera branschorganisationer har under 2026 påpekat att en stor andel av berörda företag fortfarande är obekanta med detaljerna i förordningen.
För konsumenten är det dock ett steg framåt. När en allvarlig sårbarhet börjar utnyttjas i en uppkopplad produkt kommer myndigheterna att få veta det inom ett dygn, oavsett om tillverkaren själv tycker det är ett lägligt tillfälle eller ej.
