Hoppa till innehållet
Avanet
Cyber Resilience Act: Nya skyldigheter för tillverkare och påverkan på Sophos Firewall

Cyber Resilience Act: Nya skyldigheter för tillverkare och påverkan på Sophos Firewall

4. AUGUSTI 2025

Cyber Resilience Act kommer att ändra reglerna för tillverkare av digitala produkter från 2027. Säkerhetsuppdateringar måste tillhandahållas kostnadsfritt, supportperioder tydligt definieras och säkerhet bevisas redan vid designen. För IT-administratörer innebär detta mer transparens; för leverantörer som Sophos, anpassningar av deras uppdateringsstrategi.

Kort översikt

  • EU-förordningen gäller från 11.12.2027
  • Minst fem års kostnadsfria säkerhetsuppdateringar krävs
  • Skyldighet att säkerställa säker design, dokumentation och rapporteringsprocesser
  • Sophos måste anpassa sin uppdateringspolicy
  • IT-administratörer får större planeringssäkerhet

Varför ämnet är relevant nu

Cyber Resilience Act har varit i kraft sedan slutet av 2024. Tillverkare och kunder har fram till december 2027 på sig att anpassa sina processer. För IT-säkerheten i Europa innebär detta en bindande standard: produkter utan säkerhetsuppdateringar och otydlig livscykelinformation ska försvinna.

Vad som ändras eller vad som är nytt

  • Kostnadsfria säkerhetsuppdateringar: Tillverkare får inte längre lägga kritiska patchar bakom en betalvägg.
  • Transparenta supportperioder: Minst fem års uppdateringar eller explicit angivelse av kortare perioder.
  • CE-märkning: Från 2027 kommer CE-märket även att bekräfta cybersäkerhetskonformitet.
  • Rapporteringsskyldigheter: Säkerhetsincidenter måste rapporteras till myndigheter inom 24 timmar. För att vara exakt: tidig varning inom 24 timmar, ytterligare rapportering inom 72 timmar; mottagare är den utsedda CSIRT (koordinator) och ENISA via den centrala plattformen.
  • Höga böter: Upp till 15 miljoner euro eller 2,5 % av omsättningen vid överträdelser.

Teknisk översikt

Cyber Resilience Act riktar sig till alla ”produkter med digitala element”. Dessa inkluderar klassiska företagssystem som brandväggar, routrar och operativsystem, men även IoT-enheter inom konsumentsektorn samt säkerhetskritisk programvara. Kraven påverkar alltså praktiskt taget hela ekosystemet av uppkopplade produkter. Tillverkare måste uppfylla följande skyldigheter enligt Cyber Resilience Act:

  • Bevisa Security by Design (t.ex. säkra standardinställningar, kryptering, testade protokoll, härdning mot DoS-attacker).
  • Upprätthålla en Software Bill of Materials (SBOM) som detaljerar alla relevanta komponenter, bibliotek och beroenden för att skapa transparens för uppdateringar och hantering av sårbarheter.
  • Erbjuda alternativ för automatiska uppdateringar, åtminstone för säkerhetskritiska korrigeringar, och säkerställa att dessa uppdateringar kan installeras utan betydande avbrott eller försämringar. För professionella miljöer måste det dessutom finnas ett alternativ för kontrollerad, tidsplanerad installation.
  • Behålla dokumentation i tio år, inklusive riskbedömningar, testrapporter och överensstämmelsedeklarationer, så att det vid en revision alltid kan spåras hur säkerheten har säkerställts.
  • Upprätta en process för sårbarhetshantering och en rapporteringsplats för säkerhetsproblem, så att externa forskare eller kunder omedelbart kan rapportera upptäckta luckor.
  • Implementera mekanismer för säkra uppdateringar (t.ex. signering, verifiering) för att förhindra manipulering under distribution.

Dessa detaljerade krav visar tydligt att Cyber Resilience Act inte bara sätter minimistandarder utan kräver en omfattande säkerhetshantering från utveckling till drift och supportperiod.

Praktisk guide för IT-administratörer

Förberedelse:

  • Granska inköpsprocesser: köp i framtiden endast CRA-kompatibla produkter.
  • Dokumentera livscykelinformation och komplettera den i tillgångsförvaltningen.
  • Klarlägga ansvar i IT-teamet och definiera roller för uppdateringshantering.
  • Anpassa interna policyer till CRA-kraven och komplettera saknade processer.

Implementering:

  • Planera säkerhetsuppdateringar regelbundet, även om automatiska uppdateringar är tillgängliga.
  • Prenumerera på tillverkarens meddelanden och integrera dem i interna processer.
  • Använd testmiljöer för att kontrollera uppdateringar före utrullning på kritiska system.
  • Använd gränssnitt till ärendehanterings- eller övervakningsverktyg för att automatiskt dokumentera uppdateringsprocesser.

Validering:

  • Testa patchar efter installation.
  • Kontrollera loggar för anomalier efter uppdatering.
  • Utför nätverks- och säkerhetsskanningar för att säkerställa att kända sårbarheter har åtgärdats.
  • Generera efterlevnadsrapporter som uppfyller CRA-kraven.

Återställning & Övervakning:

  • Behåll återställningsplaner för kritiska system.
  • Använd övervakning för att snabbt upptäcka avbrott efter uppdateringar.
  • Definiera larm så att kritiska fel omedelbart blir synliga.
  • Tillhandahåll nödkontrollistor för att snabbt återställa driften i en nödsituation.

Rekommendationer och Bästa Praxis

Ämne Rekommendation
Produktval Föredra CRA-kompatibla tillverkare
Supporttid Välj enheter med minst 5 års uppdateringsåtaganden
Patchhantering Etablera central uppdateringshantering
Dokumentation Inkludera SBOM och livscykeldata i inventeringen
Kommunikation Automatisera tillverkarens säkerhetsmeddelanden

Påverkan på Sophos och andra plattformar

Sophos ändrade sin firmware-uppdateringspolicy 2022: uppdateringar är sedan dess endast tillgängliga med en giltig supportlicens. Säkerhetsfixar och signaturuppdateringar förblev gratis, men inte ordinarie firmware. Cyber Resilience Act tvingar tillverkare som Sophos att ompröva denna separation. Troligen kommer man i framtiden att behöva skilja mellan “funktionsuppdateringar” (betalda) och “säkerhetsfixar” (gratis).

För IT-administratörer innebär detta:

  • Mer klarhet om supportperioder för apparater.
  • Pålitlig åtkomst till säkerhetskritiska patchar, även utan licens.
  • Större transparens om livscykel och End-of-Life-datum.

Vanliga frågor

Gäller Cyber Resilience Act även befintliga produkter?

Nej, den gäller för produkter som släpps på marknaden från och med 2027-12-11.

Vad händer med gamla enheter utan uppdateringar?

Enheter utan säkerhetsstöd kommer inte längre att vara CRA-kompatibla efter supportperiodens utgång och utgör risker.

Måste uppdateringar installeras automatiskt?

För många konsumentenheter, ja. För brandväggar eller kritiska system räcker ett manuellt alternativ med avisering.

Vilka påföljder hotar tillverkare?

Upp till 15 miljoner euro eller 2,5 % av den globala årsomsättningen.

Vilken roll spelar Avanet?

Avanet stöder livscykelplanering, uppdateringsstrategier och val av Cyber Resilience Act-kompatibla produkter.

Vilka data är relevanta för Cyber Resilience Act?

Förordningen har varit i kraft sedan 2024-12-10; de flesta skyldigheter gäller från 2027-12-11. Rapporteringsskyldigheter börjar redan 2026-09-11. Källor: EUR-Lex och flera advokatbyråer.

Slutsats

Cyber Resilience Act skapar från och med 2027 en bindande ram för IT-säkerhet. För Sophos och andra tillverkare innebär det anpassningar av uppdateringsstrategier och supportperioder. För administratörer medför det ökad tillförlitlighet i uppdateringar och livscykelplanering. Nu är rätt tid att anpassa inköpsprocesser och uppdateringsstrategier till CRA-kraven.

Vidare länkar

Patrizio

Patrizio

Patrizio ar en erfaren natverksspecialist med fokus pa Sophos-brandvaggar, switchar och accesspunkter. Han stottar kunder och IT-team med konfiguration, migrering och ren natverkssegmentering.