Cyber Resilience Act – vad den betyder för techbolag och hur du kan börja förbereda dig
När EU:s Cyber Resilience Act (CRA) börjar gälla förändras spelplanen för alla som bygger, säljer eller driver digitala produkter.
Det här är inte bara en ny regel – det är ett tydligt tecken på hur säkerhet och produktutveckling håller på att växa ihop.
Vi på Developers Shore har under det senaste året märkt ett växande fokus på säkerhetskompetens bland våra kunder – från SaaS-bolag och e-handel till e-hälsa och edtech. CRA förstärker den trenden, och i praktiken kommer det påverka hur techteam arbetar, bemannar och dokumenterar sin utveckling.
Vad är Cyber Resilience Act?
Cyber Resilience Act är en ny EU-förordning som inför obligatoriska minimikrav på cybersäkerhet för produkter med digitala element – allt från mjukvara och appar till IoT-enheter och molntjänster.
Syftet är enkelt; säkerhet ska inte vara ett tillval – den ska byggas in i produkten redan från start.
Lagen kräver bland annat att företag:
- Utvecklar produkter secure by design och secure by default
- Har processer för sårbarhetshantering och uppdateringar
- Rapporterar incidenter och exploaterade sårbarheter snabbt
- Dokumenterar komponenter (Software Bill of Materials) och risker genom hela livscykeln
Förordningen trädde i kraft i december 2024, och de flesta krav blir bindande 2027. Det kan låta långt bort – men för utvecklingsteam som redan idag bygger produkter som ska leva i flera år är tiden knapp.
Vad betyder det här för tech- och produktbolag?
Det viktigaste är att förstå att CRA inte handlar om juridik – det handlar om produktkvalitet, förtroende och konkurrenskraft. För SaaS-bolag, digitala byråer, startups och produktbolag innebär det bland annat:
Utvecklingsprocessen måste förändras – Säkerhet måste in i sprintplanering, kodgranskning och testning – inte läggas på efteråt.
Dokumentation och transparens blir en del av leveransen – Att kunna visa hur produkten hanterar risker blir en del av kundens beslutsunderlag.
Nya kompetenser behövs i teamet – DevSecOps-specialister, säkerhetsarkitekter och testare med säkerhetsfokus blir centrala. Många företag kommer behöva stärka upp tillfälligt – eller samarbeta med partnernätverk.
Förtroende blir en ny valuta – Den som kan visa att man tar säkerhet på allvar får lättare att vinna affärer, särskilt i internationella upphandlingar.
Så kan du börja redan nu
Vi brukar rekommendera tre första steg:
Kartlägg din produktportfölj – Identifiera vilka produkter, appar eller tjänster som omfattas av CRA.
Se över processerna – Integrera säkerhet i utvecklingskedjan – design, kod, test, release, support.
Säkerställ kompetens – Bygg eller hyr in rätt kunskap inom DevSecOps, testning och dokumentation. Det är ofta här vi kommer in och hjälper företag hitta rätt roller och erfarenhet.
Vår roll i detta
Developers Shore har byggt team och nätverk inom utveckling, QA, cloud och säkerhet i över ett decennium. Vi arbetar med företag som vill växa snabbt men hållbart – där säkerhet, kvalitet och skalbarhet går hand i hand. Vår erfarenhet från olika branscher gör att vi kan hjälpa företag översätta CRA-kraven till praktiska steg i utvecklingen.