32024R2847

This document is an excerpt from the EUR-Lex website

EUROPA
EUR-Lex home
null - 2024/2847 - EN - EUR-Lex

Search tips

Need more search options? Use the Advanced search

Document 32024R2847

Horisontale cybersikkerhedskrav til produkter med digitale elementer

HTML

Dato for seneste gennemgang:: 22/05/2026
Oprindelig oprettelsesdato:: 24/03/2025

Resumékode:

23.08.06.00 Internetkriminalitet
31.08.00.00 Regler om beskyttelse af personlige data og privatlivets fred
31.10.00.00 EU’s dataøkonomi og databeskyttelse

EUROVOC-deskriptor:

Emnekode i registret:

13.20.60.00 Industripolitik og det indre marked / Industripolitik: interventioner inden for de forskellige sektorer / Informationsteknologi, telekommunikation og databehandling

Sammenfattede dokumenter:

32024R2847

Udsteder:: Den Europæiske Unions Publikationskontor
Ansvarlig(e) enhed(er):: Generaldirektoratet for Kommunikationsnet, Indhold og Teknologi

Horisontale cybersikkerhedskrav til produkter med digitale elementer (forordningen om cyberrobusthed)

RESUMÉ AF:

Forordning (EU) 2024/2847 om horisontale cybersikkerhedskrav til produkter med digitale elementer

HVAD ER FORMÅLET MED FORORDNINGEN?

Forordning (EU) 2024/2847, forordningen om cyberrobusthed (CRA), har til formål at styrke cybersikkerheden i hele Den Europæiske Union (EU). Den fastlægger en omfattende ramme for at sikre, at digitale produkter og tjenesteydelser:

er sikre som følge af indbygget sikkerhed
er modstandsdygtige over for cybertrusler
kan levere beskyttelse i hele deres livscyklus.

Den omhandler de voksende udfordringer med cybersikkerhed, der er opstået som følge af enheders øgede konnektivitet og stigningen i cyberangreb, som har betydelige økonomiske og samfundsmæssige virkninger.

HOVEDPUNKTER

CRA har flere centrale mål.

Styrke cybersikkerheden i hele EU ved at fastsætte obligatoriske cybersikkerhedskrav til produkter med digitale elementer.
Fremme af sikker praksis ved at opfordre fabrikanterne til at integrere cybersikkerhed i produktudformningen og udviklingsfaserne.
Sikre gennemsigtighed og ansvarlighed ved at kræve, at fabrikanterne angiver klare oplysninger om deres produkters cybersikkerhedsfunktioner og tager ansvar for at afhjælpe sårbarheder.
Fremme et indre marked for cybersikkerhed ved at harmonisere reglerne på tværs af EU’s medlemsstater for at mindske fragmentering og sikre lige konkurrencevilkår.

Anvendelsesområde

Forordningen finder anvendelse på en lang række produkter med digitale elementer, der bringes i omsætning i EU, uanset hvor fabrikanten er etableret, og som kan kobles direkte eller indirekte til andre anordninger eller netværk, herunder:

hardwareprodukter (f.eks. IoT-enheder (Internet of Things), intelligente husholdningsapparater, industrielle styresystemer, mikrochips)
softwareprodukter (f.eks. videospil, apps og computerprogrammer).

Visse produkter er undtaget, såsom:

medicinsk udstyr, der allerede er omfattet af specifikke EU-forordninger
fly- og bilprodukter, der er reguleret i henhold til sektorspecifik lovgivning
skibsudstyr.

De vigtigste krav til fabrikanterne

Sikre produkter som følge af indbygget sikkerhed

Fabrikanterne skal integrere cybersikkerhed i produktdesign og -udvikling. Dette omfatter blandt andet standardkonfigurationer, passende niveauer af kryptering og adgangskontrol.

Risikovurdering og afbødning

Fabrikanterne skal foretage en risikovurdering og holde den ajourført samt gennemføre foranstaltninger for at afhjælpe identificerede sårbarheder i løbet af produktets livscyklus.
Hvis fabrikanterne er afhængige af tredjepartskomponenter eller -tjenesteydelser, skal de udvise rettidig omhu, når de integrerer dem i deres produkter.

Gennemsigtighed og dokumentation

Fabrikanterne skal levere tydelig og omfattende dokumentation, herunder:

en beskrivelse af produktets cybersikkerhedsfunktioner
anvisninger om sikker installation, konfiguration og brug
oplysninger om, hvordan man indberetter sårbarheder
en overensstemmelseserklæring for at bekræfte overholdelse af forordningen.

Indberetning af hændelser

Fabrikanter skal:

indberette alvorlige cybersikkerhedshændelser og aktivt udnyttede sårbarheder til relevante nationale myndigheder og Den Europæiske Unions Agentur for Cybersikkerhed (ENISA) uden unødig forsinkelse
informere brugerne om potentielle risici og vejlede om afbødning af dem.

Softwareopdateringer og support

Fabrikanterne skal levere sikkerhedsopdateringer i løbet af produktets supportperiode, som skal afspejle den periode, produktet forventes at være i brug.
Opdateringerne skal imødekomme sårbarheder og sikre produktets fortsatte sikkerhed.

Importørers og distributørers forpligtelser

Forordningen pålægger også importører og distributører ansvaret for at sikre, at produkterne overholder cybersikkerhedskravene.

Importørerne skal kontrollere, at fabrikanterne har overholdt forordningen og sikre, at produkterne er mærket og dokumenteret korrekt.
Distributørerne skal sikre, at produkterne bærer CE-mærkningen, og at oplysninger og anvisninger til brugeren er leveret, før de gøres tilgængelige på markedet.
Produkterne skal være CE-mærket for at angive, at de overholder CRA-kravene.
Ikke-EU-fabrikanter skal overholde forordningen for at få adgang til EU’s marked og potentielt påvirke globale cybersikkerhedsstandarder.

Håndhævelse

For at sikre overensstemmelse fastlægger forordningen en robust ramme for håndhævelse.

De nationale markedsovervågningsmyndigheder overvåger overholdelsen og udfører inspektioner.
Manglende overholdelse kan resultere i væsentlige sanktioner, der kan omfatte:
- bøder på op til 2,5 % af fabrikantens samlede globale årsomsætning
- forbud eller begrænsning af et produkts tilgængelighed
- krav om at et produkt tilbagekaldes eller trækkes tilbage
myndighederne i medlemsstaterne udveksler oplysninger og koordinerer håndhævelsesforanstaltningerne.

HVORNÅR GÆLDER FORORDNINGEN FRA?

Forordningen træder i kraft den 11. december 2027 med visse undtagelser:

indberetningsforpligtelser vedrørende aktivt udnyttede sårbarheder og alvorlige hændelser træder i kraft den 11. september 2026
underretning om overensstemmelsesvurderingsorganer træder i kraft den 11. juni 2026.

BAGGRUND

For yderligere oplysninger henvises til:

Forordningen om cyberrobusthed (Europa-Kommissionen)
Forordningen om cyberrobusthed — faktablad (Europa-Kommissionen)
Programmet for et digitalt Europa (Europa-Kommissionen).

HOVEDDOKUMENT

Europa-Parlamentets og Rådets forordning (EU) 2024/2847 af 23. oktober 2024 om horisontale cybersikkerhedskrav til produkter med digitale elementer og om ændring af forordning (EU) nr. 168/2013 og (EU) 2019/1020 og direktiv (EU) 2020/1828 (forordningen om cyberrobusthed) (EUT L, 2024/2847 af 20.11.2024).

Efterfølgende ændringer til direktiv (EU) 2024/2847 er blevet indarbejdet i grundteksten. Denne konsoliderede udgave har ingen retsvirkning.

TILHØRENDE DOKUMENTER

Europa-Parlamentets og Rådets forordning (EU) 2024/1689 af 13. juni 2024 om harmoniserede regler for kunstig intelligens og om ændring af forordning (EF) nr. 300/2008, (EU) nr. 167/2013, (EU) nr. 168/2013, (EU) 2018/858, (EU) 2018/1139 og (EU) 2019/2144 samt direktiv 2014/90/EU, (EU) 2016/797 og (EU) 2020/1828 (forordningen om kunstig intelligens) (EUT L, 2024/1689 af 12.7.2024).

Europa-Parlamentets og Rådets direktiv (EU) 2022/2555 af 14. december 2022 om foranstaltninger til sikring af et højt fælles cybersikkerhedsniveau i hele Unionen, om ændring af forordning (EU) nr. 910/2014 og direktiv (EU) 2018/1972 og om ophævelse af direktiv (EU) 2016/1148 (NIS 2-direktivet) (EUT L 333 af 27.12.2022, s. 80-152).

Se den konsoliderede udgave.

Europa-Parlamentets og Rådets direktiv (EU) 2020/1828 af 25. november 2020 om adgang til anlæggelse af gruppesøgsmål til beskyttelse af forbrugernes kollektive interesser og om ophævelse af direktiv 2009/22/EF (EUT L 409 af 4.12.2020, s. 1-27).

Se den konsoliderede udgave.

Europa-Parlamentets og Rådets forordning (EU) 2019/881 af 17. april 2019 om ENISA (Den Europæiske Unions Agentur for Cybersikkerhed), om cybersikkerhedscertificering af informations- og kommunikationsteknologi og om ophævelse af forordning (EU) nr. 526/2013 (forordningen om cybersikkerhed) (EUT L 151 af 7.6.2019, s. 15-69).

Europa-Parlamentets og Rådets forordning (EU) 2019/1020 af 20. juni 2019 om markedsovervågning og produktoverensstemmelse og om ændring af direktiv 2004/42/EF og forordning (EF) nr. 765/2008 og (EU) nr. 305/2011 (EUT L 169 af 25.6.2019, s. 1-44).

Se den konsoliderede udgave.

Europa-Parlamentets og Rådets forordning (EU) 2019/2144 af 27. november 2019 om krav til typegodkendelse af motorkøretøjer og påhængskøretøjer dertil samt systemer, komponenter og separate tekniske enheder til sådanne køretøjer for så vidt angår deres generelle sikkerhed og beskyttelsen af køretøjspassagerer og bløde trafikanter og om ændring af Europa-Parlamentets og Rådets forordning (EU) 2018/858 og ophævelse af Europa-Parlamentets og Rådets forordning (EF) nr. 78/2009, forordning (EF) nr. 79/2009 og forordning (EF) nr. 661/2009 og Kommissionens forordning (EF) nr. 631/2009, (EU) nr. 406/2010, (EU) nr. 672/2010, (EU) nr. 1003/2010, (EU) nr. 1005/2010, (EU) nr. 1008/2010, (EU) nr. 1009/2010, (EU) nr. 19/2011, (EU) nr. 109/2011, (EU) nr. 458/2011, (EU) nr. 65/2012, (EU) nr. 130/2012, (EU) nr. 347/2012, (EU) nr. 351/2012, (EU) nr. 1230/2012 og (EU) 2015/166 (EUT L 325 af 16.12.2019, s. 1-40).

Se den konsoliderede udgave.

Europa-Parlamentets og Rådets forordning (EU) 2018/1139 af 4. juli 2018 om fælles regler for civil luftfart og oprettelse af Den Europæiske Unions Luftfartssikkerhedsagentur og om ændring af forordning (EF) nr. 2111/2005, (EF) nr. 1008/2008, (EU) nr. 996/2010, (EU) nr. 376/2014 og direktiv 2014/30/EU og 2014/53/EU og om ophævelse af (EF) nr. 552/2004 og (EF) nr. 216/2008 og Rådets forordning (EØF) nr. 3922/91 (EUT L 212 af 22.8.2018, s. 1-122).

Se den konsoliderede udgave.

Europa-Parlamentets og Rådets forordning (EU) 2017/745 af 5. april 2017 om medicinsk udstyr, om ændring af direktiv 2001/83/EF, forordning (EF) nr. 178/2002 og forordning (EF) nr. 1223/2009 og om ophævelse af Rådets direktiv 90/385/EØF og 93/42/EØF (EUT L 117 af 5.5.2017, s. 1-175).

Se den konsoliderede udgave.

Europa-Parlamentets og Rådets forordning (EU) 2017/746 af 5. april 2017 om medicinsk udstyr til in vitro-diagnostik og om ophævelse af direktiv 98/79/EF og Kommissionens afgørelse 2010/227/EU (EUT L 117 af 5.5.2017, s. 176-332).

Se den konsoliderede udgave.

Europa-Parlamentets og Rådets direktiv (EU) 2016/943 af 8. juni 2016 om beskyttelse af fortrolig knowhow og fortrolige forretningsoplysninger (forretningshemmeligheder) mod ulovlig erhvervelse, brug og videregivelse (EUT L 157 af 15.6.2016, s. 1-18).

Europa-Parlamentets og Rådets direktiv 2014/90/EU af 23. juli 2014 om skibsudstyr og om ophævelse af Rådets direktiv 96/98/EF (EUT L 257 af 28.8.2014, s. 146-185).

Se den konsoliderede udgave.

Europa-Parlamentets og Rådets forordning (EU) nr. 168/2013 af 15. januar 2013 om godkendelse og markedsovervågning af to- og trehjulede køretøjer samt quadricykler (EUT L 60 af 2.3.2013, s. 52-128).

Se den konsoliderede udgave.

seneste ajourføring 18.2.2025

Choose the experimental features you want to try

Titel og reference

RESUMÉ AF:

HVAD ER FORMÅLET MED FORORDNINGEN?

HOVEDPUNKTER

Anvendelsesområde

De vigtigste krav til fabrikanterne

Sikre produkter som følge af indbygget sikkerhed

Risikovurdering og afbødning

Gennemsigtighed og dokumentation

Indberetning af hændelser

Softwareopdateringer og support

Importørers og distributørers forpligtelser

Håndhævelse

HVORNÅR GÆLDER FORORDNINGEN FRA?

BAGGRUND

HOVEDDOKUMENT

TILHØRENDE DOKUMENTER