2018 tog det i snitt 2,3 år från att en sårbarhet upptäcktes till att den utnyttjades. I juni 2026 är snittet 8 timmar. Nästan sju av tio utnyttjade sårbarheter är i dag så kallade zero-days attacker som sker samma dag som sårbarheten blir känd, eller redan innan.
Det är den verkligheten som EU:s Cyber Resilience Act (CRA) ska möta. Från december 2027 ska alla produkter med digitala komponenter på EU-marknaden vara säkra från start, hantera sårbarheter på ett strukturerat sätt och kunna rapportera incidenter. För att lagen ska fungera i praktiken krävs standarder. Men alla standarder är inte lika mycket värda, varken juridiskt eller praktiskt.
Vi pratade med Angelo D’Amato, grundare av Vulnir och rapportör inom CEN/CENELEC för två av EU:s nya horisontella CRA-standarder – en för generella säkerhetskrav och en för sårbarhetshantering.
För Angelo är det hotbilden som gör CRA så akut. När angripare arbetar i maskinhastighet räcker det inte längre med ett reaktivt säkerhetsarbete – företag behöver automatiserat stöd och proaktivt försvar för att hänga med.
Angelo D’Amato, grundare av Vulnir och rapportör för två av EU:s horisontella CRA-standarder.
– CRA är komplext, för det finns motstridiga intressen i botten. Kommissionen vill ha hårda krav. Tillverkarna, som påverkar arbetet via sina nationella standardiseringsorgan, vill ofta mjuka upp dem. Vår roll är att hitta balansen, så att vi får en standard som faktiskt fungerar för marknaden, säger Angelo.
Horisontellt och vertikalt – två olika roller
Det första man behöver förstå är skillnaden mellan horisontella och vertikala standarder.
De horisontella sätter en gemensam baslinje. De beskriver vilka säkerhetskrav som gäller generellt, och fyller två funktioner.
- Dels stöttar de produkter som faller utanför de mer kritiska klasserna, det som i CRA kallas allmänna (default category) produkter.
- Dels lägger de grunden för de vertikala standarderna.
De vertikala standarderna är sektorsspecifika och avsedda att ge presumtion om överensstämmelse. De översätter de generella kraven till konkreta krav för en viss typ av produkt, till exempel en router, ett operativsystem, eller en nätverksfunktion för telekom.
De fyra horisontella standarderna
Inom CEN/CENELEC JTC 13 WG 9 utvecklas just nu fyra horisontella standarder. Tillsammans utgör de grunden för CRA-efterlevnad:
- prEN 40000-1-1 – Vocabulary, en gemensam terminologi.
- prEN 40000-1-2 – Principles for Cybersecurity, övergripande processkrav.
- prEN 40000-1-3 – Vulnerability Handling, krav på sårbarhetshantering.
- prEN 40000-1-4 – Generic Security Requirements, som översätter lagens väsentliga krav till konkreta säkerhetskontroller.
Angelo leder arbetet med prEN 40000-1-2 och prEN 40000-1-3.
De två första standarderna är nu planerade att publiceras i oktober 2026. Den tredje, prEN 40000-1-3, i slutet av december 2026 och prEN 40000-1-4 senast i oktober 2027. De vertikala standarderna förväntas vara klara i mars eller april 2027.
Olika juridisk tyngd
Den andra viktiga skillnaden är att standarderna inte är juridiskt likvärdiga. Vilken tyngd en standard får beror på EU:s ramverk New Legislative Framework (NLF), och vilken kategori produkten tillhör.
Ingen produkt har krav på att följa en specifik standard. Standarder är ett stödverktyg för att visa att produkten uppfyller lagen. Det som varierar mellan produktkategorierna är vilken juridisk effekt en standard ger, och vad alternativen är om tillverkaren inte väljer att använda en.
Läs också: Inifrån ETSI TC CYBER – Kim Nordström om vägen från CRA-lag till färdig standard
För allmänna produkter sker bedömningen genom egendeklaration. Tillverkaren ansvarar för att visa att lagens väsentliga krav är uppfyllda. En harmoniserad standard kan användas som stöd men ger ingen särskild juridisk effekt.
För viktiga produkter i klass I blir presumtion om överensstämmelse särskilt värdefull. Om kommissionen har listat en harmoniserad standard i EU:s tidning Official Journal, och tillverkaren följer den fullt ut, så förmodas produkten uppfylla lagstiftningen – och tillverkaren kan göra en egendeklaration. Den som väljer att inte följa en harmoniserad standard måste i stället låta ett anmält organ bedöma att produkten uppfyller kraven i CRA.
För viktiga produkter i klass II är tredjepartsbedömning av anmält organ alltid obligatorisk, oavsett om tillverkaren följer en harmoniserad standard eller inte. Klass II omfattar produkter där en säkerhetsbrist kan få bredare systemkonsekvenser.
Det är här de horisontella standarderna kan framstå som mindre viktiga. Men där har Angelo en avgörande poäng.
– prEN 40000-1-2 och prEN 40000-1-4 kommer inte att ge någon presumtion om överensstämmelse. Men prEN 40000-1-3 är skriven för att göra det. Den är den enda standard som täcker de väsentliga kraven kring sårbarhetshantering, och den blir styrande för alla andra standarder under CRA, både horisontella och vertikala, säger Angelo.
Med andra ord: även företag som främst arbetar mot en vertikal standard behöver hålla koll på hur kraven på sårbarhetshantering ser ut. De kommer att gälla brett.
Tabell: Vad är vad i CRA:s produktkategorier?
CRA delar in produkter med digitala element i fyra kategorier:
| Kategori | Exempel | Bedömning |
|---|---|---|
| Allmänna produkter | Produkter som inte räknas som viktiga eller kritiska (t.ex. ordbehandlare, datorspel, smarta vitvaror) | Egendeklaration |
| Viktiga produkter, Klass I | Webbläsare, lösenordshanterare, antivirus, VPN, routrar, modem, smarta hem-assistenter, SIEM-system | Egendeklaration om harmoniserad standard följs, annars anmält organ |
| Viktiga produkter, Klass II | Hypervisorer, brandväggar, telekom-nätverksfunktioner | Anmält organ obligatoriskt |
| Kritiska produkter | Hårdvarubaserade säkerhetsboxar, smarta mätare, smartkort | Anmält organ obligatoriskt, ev. EU-certifiering |
Källa: ETSI:s vertikala standardarbete (EN 304-serien), CRA bilaga III och IV.
Standarden som gemensam referenspunkt
Det finns som sagt ingen standard som ger presumtion för allmänna produkter. Till skillnad från viktiga och kritiska produkter, som ofta omfattas av en sektorsspecifik vertikal standard, finns inget motsvarande för den allmänna kategorin. Det är här de horisontella standarderna fyller en viktig funktion.
Eftersom CRA är skriven på en övergripande nivå behöver tillverkaren något mer konkret att hålla sig till. En horisontell standard fyller den funktionen genom att ge tillverkare och granskare en gemensam referenspunkt. Det gör det enklare att visa att kraven är uppfyllda.
När tillverkare, anmälda organ och marknadsövervakning utgår från samma standard blir bedömningarna mer förutsägbara, och det blir tydligt vad som faktiskt krävs.
– Att en produkt räknas som allmän betyder inte automatiskt att risken är låg. Den kan vara installerad i kritisk infrastruktur, som kärnkraft, energi eller telekommunikation. Just därför är det viktigt att alla parter har samma utgångspunkt och sätter både riskbedömningen och produktens specifika riskprofil i sitt sammanhang, säger Angelo.
Ett arbete med många viljor
Komplexiteten i arbetet syns i siffrorna. Utkastet till prEN 40000-1-3 fick under sin remissrunda 2 902 kommentarer – från nationella standardiseringsorgan, kommissionens konsulter för harmoniserade standarder (HAS) och från andra intressenter. I juni 2026 återstod omkring 1 000 kommentarer att lösa.
– Synpunkterna går åt olika håll. Vissa vill skärpa kraven, andra vill mjuka upp dem. Vår uppgift är att hitta en formulering som håller juridiskt, mot lagtexten, säger Angelo.
Att processen tar tid är en konsekvens av hur europeisk standardisering är uppbyggd. Standarder beslutas inte genom omröstning utan genom konsensus. Det innebär att invändningar inte kan röstas ned, de måste hanteras tills berörda parter kan acceptera resultatet, eller hitta rätt balans, eftersom det inte alltid är möjligt att tillgodose alla, vilket gör att en ”good enough”-princip behöver tillämpas.
För företag som ska tillämpa standarden är konsensus en viktig egenskap. En standard som förankrats brett bland tillverkare, myndigheter och bedömningsorgan blir mer förutsägbar i tillämpningen. Tolkningsutrymmet minskar, och det blir lättare för olika aktörer att utgå från samma förståelse.
– När en standard når den punkten – att alla kan ställa sig bakom resultatet – då har den verkligt värde. Det är inte alltid den vassaste varianten som vinner, men den mest hållbara, säger Angelo.
Vad ska mindre företag prioritera?
För små och medelstora företag är CRA-landskapet lätt att uppleva som överväldigande. Angelos råd är att börja i rätt ände.
– CRA bygger på proportionalitet. Man behöver inte uppfylla maximala krav om risken inte motiverar det. Men man måste göra en riskbedömning för att veta var man faktiskt står, säger han.
Han ser några återkommande misstag:
- Företag underskattar omfattningen. CRA påverkar fler delar av verksamheten än många först inser.
- Vissa hoppar över riskbedömningen. Det leder till att man antingen överarbetar eller missar viktiga åtgärder.
- En del hoppas att tillämpningsdatumet ska skjutas fram, likt det som hände med cybersäkerhetskraven under Radio Equipment Directive (RED), då tillämpningsdatumet flyttades från augusti 2024 till augusti 2025.
På ENISA-konferensen, den 10:e Cybersecurity Standardisation Conference, i mars 2026 var kommissionens besked tydligt: någon framflyttning är inte planerad.
– CRA kräver inte att produkten ska vara perfekt. Den kräver att du minskar antalet sårbarheter och hanterar dem strukturerat. Det handlar om att lägga upp en rimlig färdplan och förbättras längs vägen, säger Angelo.
En lag som inte upprätthålls är bara en rekommendation
Avslutningsvis lyfter Angelo något som ofta hamnar i skuggan i diskussionerna om efterlevnad: marknadsövervakningen.
– Vi pratar mycket om vad tillverkare ska göra. Men om EU-institutionerna och de nationella myndigheterna inte har resurser för en stark marknadsövervakning, så blir reglerna bara förslag i praktiken. En lag som inte upprätthålls är ingen lag, säger han.
För Angelo är det en lika viktig pusselbit som själva standardiseringen. Båda behövs om CRA ska få den effekt lagstiftaren tänkt sig.
Tidsfönstret minskar
December 2027 närmar sig. Sårbarheterna utnyttjas allt snabbare. Och de standarder som ska göra CRA tillämpbar är fortfarande under utveckling.
– Det är nu det avgörs hur den här lagen kommer att fungera i praktiken. Den som vill påverka måste vara med nu, inte sen, säger Angelo.
Att engagera sig gör skillnad
Standardiseringsarbetet är öppet för fler än de stora företagen, framhåller Angelo. Det är ofta små och medelstora aktörer som har den specifika kunskap som behövs för att standarder ska bli tillämpbara i praktiken.
– Du behöver inte vara expert på allt. Du behöver bara vara villig att bidra med det du faktiskt kan. Det är så vi får standarder som speglar verkligheten, säger Angelo.
Vill du engagera dig i framtidens cybersäkerhetsstandarder?
Läs mer om ITS arbetsgrupper och hur du kan vara med och påverka standardiseringsarbetet inom CRA och andra områden.
