Developers Shore White logo transparent
Hitta utvecklare
Developers Shore White logo transparent
Hitta utvecklare

Cyber Resilience Act – Vad den betyder för techbolag och hur du kan börja förbereda dig

Cyber Resilience Act – Vad den betyder för techbolag och hur du kan börja förbereda dig

Cyber Resilience Act

När EU:s Cyber Resilience Act (CRA) börjar gälla förändras spelplanen för alla som bygger, säljer eller driver digitala produkter. Det här är inte bara en ny regel, det är ett tydligt tecken på hur säkerhet och produktutveckling håller på att växa ihop.

Vi på Developers Shore har under de senaste åren tydligt märkt ett växande fokus på säkerhetskompetens bland våra kunder, från SaaS-bolag och e-handel till e-hälsa och edtech. CRA förstärker den trenden, och i praktiken kommer det påverka hur techteam arbetar, bemannar och dokumenterar sin utveckling.

Vad är Cyber Resilience Act?

Cyber Resilience Act är en ny EU-förordning som inför obligatoriska minimikrav på cybersäkerhet för produkter med digitala element – allt från mjukvara och appar till IoT-enheter och molntjänster. Syftet är enkelt: Säkerhet ska inte vara ett tillval, den ska byggas in i produkten redan från start.

Lagen kräver bland annat att företag:

  • Utvecklar produkter secure by design och secure by default
  • Har processer för sårbarhetshantering och uppdateringar
  • Rapporterar incidenter och exploaterade sårbarheter snabbt
  • Dokumenterar komponenter (Software Bill of Materials) och risker genom hela livscykeln

Förordningen trädde i kraft i december 2024, och de flesta krav blir bindande 2027.
Det kan låta långt bort men för utvecklingsteam som redan idag bygger produkter som ska leva i flera år är tiden knapp.

Vad betyder det här för tech- och produktbolag?

Det viktigaste är att förstå att CRA inte handlar om juridik – det handlar om produktkvalitet, förtroende och konkurrenskraft. För SaaS-bolag, digitala byråer, startups och produktbolag innebär det bland annat:

  1. Utvecklingsprocessen måste förändras. Säkerhet måste in i sprintplanering, kodgranskning och testning, inte läggas på efteråt.
  2. Dokumentation och transparens blir en del av leveransen. Att kunna visa hur produkten hanterar risker blir en del av kundens beslutsunderlag.
  3. Nya kompetenser behövs i teamet. DevSecOps-specialister, säkerhetsarkitekter och testare med säkerhetsfokus blir centrala. Många företag kommer behöva stärka upp tillfälligt eller samarbeta med partnernätverk.
  4. Förtroende blir en ny valuta. Den som kan visa att man tar säkerhet på allvar får lättare att vinna affärer, särskilt i internationella upphandlingar.

Så kan du börja redan nu

Vi brukar rekommendera tre första steg:

  1. Kartlägg din produktportfölj:
    Vilka av era tjänster och produkter har digitala element, och hur ser er säkerhetskedja ut idag? Målet är inte att få allt rätt direkt, utan att förstå var riskerna finns.
  2. För in säkerhet i utvecklingen:
    Gör säkerhet till en naturlig del av sprintar, kodgranskning och testning. Små förändringar, som att automatisera säkerhetstester i CI/CD, gör stor skillnad över tid.
  3. Kompetens och Kapacitet: Identifiera vilka roller och kompetenser som saknas. Det kan vara DevSecOps, säkerhetsarkitektur eller dokumentation. Men lika ofta handlar det om att stärka teamets helhetssyn. Behöver ni högre tempo, så kan ni tillföra expertis tillfälligt istället för att bygga om organisationen.

Vår roll i detta

Developers Shore har byggt team och nätverk inom utveckling, QA, cloud och säkerhet i över ett decennium. Vi arbetar med företag som vill växa snabbt men hållbart, där säkerhet, kvalitet och skalbarhet går hand i hand. Vår erfarenhet från olika branscher gör att vi kan hjälpa företag översätta CRA-kraven till praktiska steg i utvecklingen.

 

Hör av dig så berättar vi mer

Fyll i formuläret

Skicka förfrågan

Vi kontaktar dig