Vad är automatiserad klassificering?

Automatiserad klassificering är Vercas deterministiska system för att klassificera produkter och dokument baserat på regelverk och kontext. Systemet analyserar produktbeskrivningar och tekniska specifikationer för att automatiskt identifiera vilka CE-direktiv som gäller och vilken dokumentation som krävs.

Hur fungerar färdiga mallar?

Färdiga mallar är förkonfigurerade dokumentmallar som följer aktuella direktiv och standarder. Varje mall är anpassad för specifika produkttyper och innehåller alla nödvändiga sektioner. Mallarna uppdateras automatiskt när regelverket ändras.

Vad är kontinuerlig validering?

Kontinuerlig validering är automatisk kontroll av kompletthet och överensstämmelse innan dokument skickas för signering. Valideringen sker i realtid så att problem kan identifieras och åtgärdas omedelbart.

Hur minskar Verca kostnad och risk?

Genom automatiserad klassificering, färdiga mallar och kontinuerlig validering kan team leverera rätt första gången. Detta minskar omtag och externa kostnader. Team som använder Verca kan minska externa kostnader med upp till 40% och tidsåtgången med upp till 50%.

Vad är versionshantering och spårbarhet?

Versionshantering ger fullständig revisionslogg. Spårbarhet innebär automatisk spårning av beslutslogg, ändringar och godkännanden för enkel revisionsberedskap. Systemet skapar en komplett audit trail från skapande till signering.

Plattformen

Priser

Logga in Begär demo

EU-regelverk

Cyber Resilience Act (CRA)

Bakgrund

Cyber Resilience Act (CRA), formellt förordning (EU) 2024/2847, är EU:s övergripande cybersäkerhetslagstiftning för produkter med digitala element. Förordningen antogs i slutet av 2024 och inför horisontella cybersäkerhetskrav för alla hårdvaru- och mjukvaruprodukter som ansluts till nätverk eller andra enheter.

Bakgrunden är att den ökande digitaliseringen har gjort cybersäkerhetsbrister till en systemrisk — osäkra produkter öppnar för attacker som kan drabba enskilda användare, företag och kritisk infrastruktur.

CRA fyller ett regleringsmässigt gap: medan befintlig EU-lagstiftning (som NIS2-direktivet) fokuserar på organisationers cybersäkerhet, ställer CRA krav direkt på produkterna — från design och tillverkning till uppdateringar under hela livscykeln.

Tillämpningsområde

Vem berörs?

CRA berör tillverkare, importörer och distributörer av produkter med digitala element — ett begrepp som omfattar i princip alla produkter med mjukvara eller nätverksanslutning. Det inkluderar:

Uppkopplade konsumentprodukter (smarta hem-enheter, wearables, leksaker med nätverksfunktion)
Industriell utrustning med programvara
Fristående mjukvaruprodukter
Komponenter och tillbehör med digitala funktioner

Undantag gäller för produkter som redan regleras av sektorsspecifik lagstiftning med motsvarande cybersäkerhetskrav, till exempel medicintekniska produkter och fordon. Öppen källkod som inte tillhandahålls i kommersiellt syfte undantas också.

Krav & skyldigheter

Centrala krav

Centrala krav i CRA:

Säkerhet vid design (security by design): Produkter ska utformas med cybersäkerhet som integrerad del, inte som tillägg
Sårbarhetshantering: Tillverkare ska ha processer för att identifiera, dokumentera och åtgärda sårbarheter under hela produktens förväntade livstid (minst 5 år)
Säkerhetsuppdateringar: Automatiska säkerhetsuppdateringar ska tillhandahållas kostnadsfritt under produktens supportperiod
Standardinställningar: Produkter ska levereras med säkra standardinställningar, inklusive möjlighet att återställa till fabriksinställningar
Rapportering: Aktivt utnyttjade sårbarheter och allvarliga säkerhetsincidenter ska rapporteras till ENISA inom 24 timmar
CE-märkning: Cybersäkerhetsöverensstämmelse ska inkluderas i CE-märkningsprocessen med teknisk dokumentation och EU-försäkran
Klassificering: Produkter delas in i standardkategori (självbedömning), klass I och klass II (högrisk) med ökande krav på tredjepartsgranskning

Tidsplan

Tidsplan och milstolpar

20 november 2024: CRA publicerades i EU:s officiella tidning
10 december 2024: Förordningen trädde i kraft
11 september 2026: Rapporteringsskyldigheter för sårbarheter och incidenter börjar gälla
11 december 2027: Samtliga krav i förordningen börjar tillämpas

Produkter som redan finns på marknaden berörs inte retroaktivt, men alla nya produkter efter december 2027 ska uppfylla kraven.

Efterlevnad

Konsekvenser vid bristande efterlevnad

Sanktionsramen i CRA är betydande:

Böter upp till 15 miljoner euro eller 2,5 % av global årsomsättning (det högsta beloppet) vid bristande uppfyllnad av väsentliga cybersäkerhetskrav
Böter upp till 10 miljoner euro eller 2 % av omsättningen vid övriga överträdelser
Produkter som inte uppfyller kraven får inte CE-märkas och kan därmed inte lagligen säljas inom EU
Marknadskontrollmyndigheter kan kräva tillbakadragande eller återkallelse
Underlåten rapportering av allvarliga sårbarheter kan utlösa separata sanktioner
Produkter som samtidigt omfattas av maskinförordningen eller radioutrustningsdirektivet (RED) måste uppfylla CRA:s cybersäkerhetskrav parallellt

Handlingsplan

Vad bör ni göra nu?

Inventera produkter med digitala element: Kartlägg vilka produkter i er portfölj som har mjukvara, firmware eller nätverksanslutning
Klassificera enligt CRA: Avgör om produkterna faller under standardkategori, klass I eller klass II
Implementera security-by-design: Integrera cybersäkerhet i produktutvecklingsprocessen från start
Etablera sårbarhetshantering: Inrätta processer för att upptäcka, dokumentera och patcha säkerhetsbrister
Planera uppdateringsinfrastruktur: Säkerställ att ni kan leverera säkerhetsuppdateringar under produktens livstid
Förbered rapporteringsrutiner: Rapporteringsskyldigheten börjar redan september 2026 — implementera processer för incidentrapportering till ENISA
Uppdatera CE-dokumentation: Inkludera cybersäkerhetsbedömning i er tekniska dokumentation och EU-försäkran om överensstämmelse

Verca

Hur Verca hjälper

Verca integrerar CRA:s cybersäkerhetskrav i det samlade CE-arbetsflödet. Plattformens klassificeringsmotor identifierar vilka av era produkter som har digitala element och vilken CRA-kategori de faller under.

Dokumentationsstödet utökas med mallar för cybersäkerhetsbedömning, sårbarhetshanteringsplaner och de rapporteringskrav som börjar gälla i september 2026.

Verca bevakar de harmoniserade standarder som utvecklas under CRA och notifierar er när relevanta standarder publiceras eller uppdateras, så att er tekniska dokumentation hålls aktuell. Genom att hantera CRA, maskinförordningen och GPSR i samma plattform får ni en samlad bild av er regulatoriska status.

Own your compliance

Begär demo