Cyber Resilience Act
Køb hjælp
til compliance
Se forløb
Vi hjælper jer med
Se EU Kommisionens opsummering af de vigtigste bestemmelser i CRA– Nesp ONE rådgiver og hjælper virksomheder i Danmark og internationalt med at forstå kravene og sikre en effektiv implementering af CRA.Kontakt for CRA rådgivning
At komme fra A til B
01
At styrke jeres processer
02
At forankre sikkerhed i hele organisationen
03
At styrke jeres softwareudvikling
04
At stå stærkt på markedet
05
Alt du skal vide om CRA
Har I styr på Cyber Resilience Act?
Ofte stillede spørgsmål
Hvad er Cyber Resilience Act (CRA)?
Cyber Resilience Act (CRA) er en EU-forordning, der fastsætter bindende cybersikkerhedskrav til produkter med digitale elementer, herunder software og hardware. Formålet er at sikre, at produkter designes, udvikles og vedligeholdes med indbygget sikkerhed gennem hele deres livscyklus.
Forordningen stiller krav til risikovurdering, sikker udviklingspraksis, håndtering af sårbarheder og løbende sikkerhedsopdateringer.
Nesp.ONE rådgiver virksomheder om forståelse og implementering af CRA-krav i praksis.
Hvem er omfattet af Cyber Resilience Act?
CRA omfatter producenter af produkter med digitale elementer, der markedsføres i EU. Det gælder både software- og hardwareproducenter.
Derudover kan importører og distributører have ansvar, hvis de bringer produkter på EU-markedet. Virksomheder, der integrerer tredjepartskomponenter i deres egne produkter, kan også være ansvarlige for den samlede compliance.
Hos Nesp.ONE hjælper vi med at afklare scope og ansvar i forhold til CRA.
Hvornår træder Cyber Resilience Act i kraft?
CRA trådte i kraft i december 2024, og de fleste krav finder fuld anvendelse fra december 2027.
Virksomheder bør starte forberedelserne i god tid, da implementering af processer for sikker udvikling, dokumentation og sårbarhedshåndtering kan være omfattende.
Nesp.ONE bistår virksomheder med at planlægge og strukturere deres compliance-arbejde frem mod 2027.
Hvad betyder Cyber Resilience Act for softwareudvikling i praksis?
CRA betyder, at sikkerhed skal integreres systematisk i hele softwareudviklingsprocessen – fra design og udvikling til drift og vedligeholdelse.
Det indebærer blandt andet risikovurdering, secure-by-design/default principper, dokumentation og etablering af vulnerability management.
Nesp.ONE hjælper udviklingsorganisationer med at operationalisere kravene gennem Secure SDLC.
Er Secure SDLC nødvendigt for at overholde CRA?
Secure SDLC er ikke eksplicit nævnt i forordningen, men i praksis er en struktureret og dokumenteret sikker udviklingsproces nødvendig for at kunne efterleve kravene.
CRA stiller krav til både produktets sikkerhedsegenskaber og producentens interne processer, hvilket kræver systematisk styring.
Hos Nesp.ONE understøtter vi virksomheder i at etablere Secure SDLC som fundament for CRA-compliance.
Hvem kan rådgive om Cyber Resilience Act for softwareprodukter?
Rådgivning om CRA kræver både regulatorisk forståelse og teknisk indsigt i softwareudvikling, risikostyring og sikkerhedsarkitektur.
Virksomheder vælger ofte rådgivere med erfaring i produktcompliance og sikker udvikling.
Nesp.ONE tilbyder specialiseret rådgivning inden for både regulatorisk fortolkning og teknisk implementering.
Hvem kan hjælpe med compliance til Cyber Resilience Act?
Compliance med CRA indebærer analyse af scope, gap-analyse, etablering af processer og dokumentation.
Det kræver typisk tværfaglig indsats mellem ledelse, udvikling, compliance og sikkerhedsfunktioner.
Nesp.ONE understøtter virksomheder gennem hele compliance-processen – fra analyse til implementering.
Hvem er omfattet af CRA?
CRA gælder for producenter af software og hardware med digitale elementer, der bringes på EU-markedet.
Det omfatter både virksomheder, der udvikler egne produkter, og virksomheder, der sælger produkter under eget navn.
Nesp.ONE hjælper med at vurdere, om jeres produkter falder inden for CRA’s anvendelsesområde.
Hvor kan virksomheder få hjælp til implementering af Secure SDLC?
Implementering af Secure SDLC kræver organisatorisk forankring, teknisk modenhed og klare processer.
Det handler om at integrere sikkerhedsaktiviteter i eksisterende udviklingsmetoder og sikre dokumentation.
Nesp.ONE rådgiver om implementering og modning af Secure SDLC i både agile og DevOps-miljøer.
Hvornår giver det mening at søge rådgivning om CRA og Secure SDLC?
Det giver mening at søge rådgivning, når virksomheden er usikker på scope, mangler dokumentation eller står over for markedsintroduktion i EU.
Tidlig afklaring reducerer risiko for senere regulatoriske udfordringer.
Nesp.ONE tilbyder indledende vurderinger af virksomheders CRA-beredskab.
Hvordan kan virksomheder dokumentere overholdelsen af Cyber Resilience Act?
Dokumentation kræver risikovurdering, teknisk dokumentation, sikkerhedsarkitektur, vulnerability management og plan for sikkerhedsopdateringer.
Dokumentationen skal kunne fremvises ved markedsovervågning og eventuel kontrol.
Nesp.ONE hjælper med at etablere den nødvendige dokumentationsstruktur i relation til CRA.
Kan Secure SDLC integreres i eksisterende udviklingsprocesser?
Ja. Secure SDLC kan integreres i Agile, DevOps og andre moderne udviklingsmetoder uden at ændre organisationens grundlæggende arbejdsform.
Det kræver primært justering af governance, kontrolpunkter og sikkerhedstests.
Hos Nesp.ONE arbejder vi med at integrere sikkerhed naturligt i eksisterende workflows og værktøjer.
Karsten Dahl Vandrup, Partner – Cybersikkerhedsekspert, Lektor, Rådgiver.
Martin Schulze, Partner – CISO, Sikkerhedsekspert, Rådgiver.
