CRA-ydelser
Fra regulering til pålidelige produkter
Vi hjælper dig med at omsætte EU’s Cyber Resilience Act til praktiske, sikre udviklingsmetoder. Fra GAP-analyse og procesdesign til retrofit, implementering og audit-support sikrer vores CRA-ydelser, at dine forbundne produkter forbliver compliant, sikre og klar til det europæiske marked.
CRA-overholdelsespakker og cybersikkerhed
Med vores pakker gør vi dine produkter med digitale elementer CRA-klare, så din cashflow fortsætter. Vælg efter dit behov.
GAP-analyse
Dine udviklingsprocesser for produkter med digitale elementer
- Inventory: Delta for en sikker udviklingsproces i henhold til standarder
- Fremhævelse af standarder for god praksis
- Rapport med action points
Implementering
Opnå CRA-overholdelse for dine produkter med digitale elementer
- Retrofit af eksisterende produkter
- Komplet reimplementering
- Sikring af udviklingsprocessen (supply chain, SBOM, sårbarheds-, opdaterings- og incident management)
Audit
Validering af etablerede udviklingsprocesser af et audit-organ
- Via etablerede institutioner
- fx i henhold til IEC 62443-4-1, BSI-TR-03183, ISO 27001 med ISO 27005 eller ISO 33001 til risikostyring
- Dokumentér CRA-overholdelse
Sikkerhed indbygget i din kode
Sikker kodning
Retrofit – indkapsling og sikring af eksisterende produkter og komponenter.
I tilfælde hvor opdatering af eksisterende software ikke længere er mulig eller økonomisk, tilbyder vi et målrettet retrofit-koncept. Ældre systemer flyttes til et kontrolleret og beskyttet miljø (fx virtuelle maskiner eller containere). Her sikres drift ved at regulere adgang og afskærme kendte sårbarheder. Det holder produkterne brugbare og CRA-compliant samtidig.
Reimplementering af produktet – den mest bæredygtige løsning til CRA-parathed er fuld reimplementering.
Vi bygger på fremtidssikret softwarearkitektur, security by design, testautomatisering og omfattende dokumentation af sikkerhedsrelaterede krav. Dependency checks og integrerede tool-landskaber sikrer automatiseret compliance-dokumentation. Eksisterende kundesystemer og værktøjer integreres.
Supplering af interne udviklingskapaciteter – vores eksperter yder direkte støtte til kundeteams.
Med etablerede metoder sikrer vi implementering af CRA-krav i eksisterende projekter og styrker interne kompetencer.
Gør SSDLC fra teori til praksis
Processtyring for Secure Software Development Lifecycle (SSDLC)
Secure Software Development Lifecycle (SSDLC) implementeres som en kontinuerlig proces, der supplerer de klassiske faser i softwareudvikling (planlægning, design, implementering, test, deployment og vedligehold) med systematiske sikkerhedsaspekter. Målet er, at hver fase leverer klare sikkerhedsleverancer, der dokumenteres og kan verificeres for compliance management i henhold til CRA. Et SSDLC efter IEC 62443-4-1 og ISO/IEC 27002 bygger på en cyklisk tilgang, der kan opdeles i fire niveauer:
Kravanalyse og threat modeling
Sikkert design og arkitektur
Sikker implementering og integration
Verifikation, validering og overdragelse til drift
Hvert niveau gennemsyres samtidig af processer for risikostyring, dokumentation og kommunikation.
Gør kompleksitet let at forklare
Support til teknisk og kundedokumentation
Dokumentation er et nøgleelement i CRA-overholdelse. Den skaber transparens og sporbarhed og danner grundlag for audits fra markedsovervågningsmyndigheder eller bemyndigede organer. Bilag II og andre afsnit i Cyber Resilience Act (CRA) kræver udtrykkeligt udarbejdelse og tilgængeliggørelse af:
Teknisk dokumentation til myndigheder og testorganer
Kundedokumentation til slutbrugere
CE-erklæring og producentens overensstemmelseserklæringer.
Udfordringen for virksomheder er at se dokumentation ikke som en byrde, men som en integreret del af udviklingsprocessen. En systematisk tilgang sikrer, at dokumentation skabes effektivt, standardiseret og audit-sikkert. Support til teknisk og kundedokumentation i CRA-kontekst betyder:
Standardisering af processer
Integration i SSDLC
Automatisering for øget effektivitet
Verificerbarhed for audits og myndigheder
Med en konsekvent dokumentationspraksis sikrer virksomheder, at de til enhver tid er auditerbare, transparente og CRA-compliant. Kombinationen af teknisk dybde til myndigheder, forståeligt sprog til brugere og juridisk korrekte CE-erklæringer skaber tillid og reducerer omkostninger på langt sigt.
Klarhed over dine procesgab
GAP-analyser og vurderinger på procesniveau
GAP-analyse er et nøgleværktøj til at vurdere en organisations modenhed i forhold til kravene i Cyber Resilience Act (CRA). Den giver et struktureret overblik over, hvilke elementer af Secure Software Development Lifecycle (SSDLC) der allerede er implementeret, hvor der er mangler, og hvilke tiltag der er nødvendige for at opnå overholdelse. Vi analyserer eksisterende softwareudviklingsprocesser fra kravanalyse videre gennem design, implementering og test. Særlig opmærksomhed rettes mod verifikation/validering, afhængigheder og biblioteker. Vi evaluerer etablerede processer, skabeloner og sikkerhedshændelser. Slutresultatet er en rapport, der fremhæver styrker, svagheder, anbefalinger til handling og en implementeringsplan.
Vores GAP-analyse lægger grundlaget for målrettet at forberede organisationer til CRA. Efter en grundig vurdering ved virksomheder og myndigheder ved afslutningen af denne fase præcist, hvilke udfordringer der stadig står i vejen for CRA-overholdelse, og hvordan de systematisk kan adresseres.
Fra antagelser til verificeret sikkerhed
Tekniske undersøgelser – sikkerhedsverifikation og -validering
Sikkerhedsverifikation og -validering (SVV) er afgørende faser i livscyklussen for et produkt med digitale elementer. Målet er at sikre, at sikkerhedskravene defineret i Secure Software Development Lifecycle (SSDLC) ikke kun implementeres, men også dokumenterbart virker. Vi støtter implementeringen af sikkerhedskrav gennem en struktureret tilgang fra design til test. Leverancer:
Testplaner
Testrapporter
Sikkerhedsrapporter
Den tætte integration med sårbarheds-, incident- og opdateringshåndtering fremhæves og præsenteres for interessenter på en forståelig måde. Det gør sikkerhed verificerbar, reproducerbar og regulatorisk compliant. Hele SSDLC bliver også forståelig i sin sammenhæng for alle parter i sikkerhedsprocessen. Sikkerhedsverifikation og -validering er ikke kun tekniske testopgaver, men en strategisk komponent i CRA-parathed.
Fra awareness til reel kompetence
Academy – coaching og træning
Implementering af kravene i Cyber Resilience Act (CRA) kræver ikke kun processer og tekniske tiltag, men frem for alt kompetence og awareness i de involverede teams. Med vores Academy tilbyder vi et struktureret program, der hjælper virksomheder med systematisk at forberede medarbejdere og ledere på CRA-overholdelse. Det kombinerer praktisk coaching med struktureret træning. På den måde sikrer vi, at organisationer ikke blot etablerer processer og dokumentation, men også udvikler den nødvendige ekspertise til at fastholde dem permanent.
Coaching
Vores eksperter støtter virksomheder individuelt, giver praktisk input og sikrer varig forankring (hjælp til selvhjælp og train the trainer, blended learning).
Obligatorisk træning
Workshops og træningsforløb om CRA-krav og implementering. Rollebaseret træning for udviklere, ledelse og drift. Dokumenterede beviser understøtter audits.
Dokumentér overholdelse, opbyg tillid
Certificering og overensstemmelsesvurdering
Cyber Resilience Act (CRA) kræver, at producenter af produkter med digitale elementer kan dokumentere deres overholdelse. Afhængigt af produktkategori kræves interne vurderinger, audits fra bemyndigede organer eller formelle CE-mærkninger. Vores ydelser inden for certificering og overensstemmelsesvurdering hjælper virksomheder med at opfylde disse krav sikkert, effektivt og transparent. Vores ydelser sikrer, at virksomheder handler audit-sikkert og juridisk korrekt. Fra auditing og etablering af en CE-proces til test leverer vi omfattende støtte og lægger fundamentet for langvarig CRA-parathed.
Audit
Gennemførelse af audits i henhold til IEC 62443 og ISO/IEC 27001. Fokus på SSDLC, risikostyring og håndtering af sårbarheder. Resultater i standardiserede auditrapporter.
CE-proces
Etablering af workflows for CE og producent-erklæringer. Indsamling og strukturering af evidens, gennemførelse af pilotprojekter til test og integration i eksisterende ledelsessystemer.
Koordinér din vej til overholdelse
Projektledelse for CRA-parathed
Implementering af kravene i Cyber Resilience Act (CRA) er ikke et engangsprojekt, men en virksomhedsbred transformationsopgave, der påvirker udviklingsprocesser, produktstrategier og organisatoriske strukturer. Mange virksomheder står over for udfordringen med at implementere regulatoriske krav parallelt med igangværende udvikling og markedsaktiviteter. Her kommer vores projektledelse for CRA-parathed ind – vi tager ansvar for planlægning, styring og eksekvering, så organisationer opnår overholdelse til tiden, effektivt og verificerbart.
Hjælper dig med at vælge CRA-klare produkter
Støtte til organisationen i indkøb af compliant produkter
Cyber Resilience Act (CRA) forpligter ikke kun producenter, men påvirker også organisationers indkøbsprocesser. Virksomheder skal sikre, at de produkter med digitale elementer, de anvender, overholder regulatoriske krav. Vi støtter organisationer i systematisk at udvælge, evaluere og anskaffe compliant produkter.
Giver brugere mulighed for at arbejde sikkert
Brugertræning og enablement
De fulde fordele ved et CRA-compliant produkt kan kun realiseres, hvis brugerorganisationer også er i stand til at anvende produkterne sikkert og effektivt. Vi sikrer, at kunder har de rette processer, kompetencer og strukturer på plads til at drive CRA-klare produkter succesfuldt. Dette omfatter:
Registrering af produkter i kundens egne dependency tracking-systemer
Verifikation af brugernes forståelse af kundedokumentation
Inddragelse af produktegenskaber i egen risiko- og mulighedsstyring
Sætter dig i forbindelse med de rette CRA-specialister
Distribution og formidling af tredjeparter (specialistteams) til enkelte discipliner og fagområder i CRA
Ikke alle virksomheder har intern kapacitet eller specialiseret ekspertise til at dække alle discipliner i Cyber Resilience Act (CRA) i den nødvendige dybde. CRA er et tværgående emne, der kombinerer tekniske, organisatoriske, juridiske og regulatoriske aspekter. Med ydelsen 'Salg og formidling af tredjeparter' udvider vi vores portefølje til et modulært økosystem for CRA-overholdelse. Kunder får adgang til et netværk af specialister, som målrettet kan inddrages på alle fagområder i CRA – effektivt, juridisk compliant og fra én samlet leverandør.
Sikkerhed indbygget i værktøjer, workflows og adgang
Tekniske og organisatoriske kontroller i udviklingsmiljøet
En sikker udviklingsproces kræver ikke kun definerede metoder og processer, men også et sikkert udviklingsmiljø. Udviklings- og testmiljøer er attraktive mål for angribere, da de giver tidlig adgang til kildekode, build-artifacts og fortrolig information. CRA kræver derfor dokumenteret implementering af sikkerhedstiltag, der dækker tekniske kontroller (værktøjer, systemer) og organisatoriske kontroller (retningslinjer, processer, roller). Et sikkert udviklingsmiljø er fundamentet for CRA-compliant produkter. Kun når både tekniske og organisatoriske kontroller implementeres konsekvent, kan integriteten i udviklingsprocessen garanteres.
Virksomheder får:
Beskyttelse mod supply chain-angreb
Verificerbar CRA-overholdelse
Tillid fra markedstilsyn og kunder
Øget effektivitet gennem standardiserede processer.
Klar, struktureret kommunikation med kunder og regulatorer
Kommunikationsprocesser med kunder og markedstilsyn
En sikker udviklingsproces slutter ikke med at skrive kildekode eller gennemføre tests. For at et produkt kan anses som compliant under Cyber Resilience Act (CRA), skal producenter etablere klare kommunikationsprocesser med alle relevante interessenter.
Disse omfatter:
Kunder og slutbrugere, som er afhængige af gennemsigtig information om sikkerhed, opdateringer og support.
Markedsovervågningsmyndigheder, som forventer evidens, dokumentation og sikkerhedsrapporter som del af deres tilsynsrolle.
Partnere og leverandører, som indgår i supply chain og skal udfylde deres rolle i sårbarhedshåndtering.
Uden en struktureret informationsstrøm er der risiko for forsinkelser, juridisk usikkerhed eller endda bøder. Kommunikationsprocesser er en central komponent i CRA-overholdelse. De sikrer transparens, styrker kunders og markedstilsyns tillid og skaber et solidt fundament for juridisk compliant handling.
En virksomhed med klare kommunikationsprocesser opnår:
Hurtigere responstider ved en sikkerhedshændelse
Undgåelse af regulatoriske sanktioner
Større tillid i markedet gennem dokumenterbar åbenhed
Øget effektivitet gennem standardiserede procedurer
Aktiviteter på dette område dækkes af status som autoriseret repræsentant inden for CRA.
FAQs
Ofte stillede spørgsmål
Svar på de vigtigste spørgsmål om CRA-parathed, sikker udvikling og vores tilgang til overholdelse.
Hvad gør vi for de andre roller i CRA?
Kunder: Træningsforløb og dokumenter samt instruktioner til producenter på vegne af forbrugerbeskyttelsesorganisationer.
Importører: Sikring af indkøbte produkter
Distributører (kundehåndtering): Handling på vegne af distributører, hvor producenter ikke kan eller vil gøre det
White-label-producenter: Due diligence hos producenter.
Kan I hjælpe os med at retrofit’e eksisterende produkter, så de opfylder CRA-krav?
Ja. Vores Refit/Retrofit-tilgang indkapsler legacy-software i kontrollerede miljøer — såsom containere eller VM’er — for at isolere sårbarheder og sikre drift uden en fuld nyudvikling.
Hvor lang tid tager CRA-parathed typisk?
Tidslinjer afhænger af produktets kompleksitet og organisationens modenhed. Efter en indledende GAP-analyse leverer vi en klar roadmap med milepæle — fra hurtige forbedringer til fuld compliance-integration.
Kan vi integrere CRA- og CE-overholdelse i vores eksisterende processer?
Ja. Vi er specialister i at indlejre compliance-workflows direkte i jeres udviklings- og kvalitetsstyringssystemer, så sporbarhed, automatisering og minimal forstyrrelse af eksisterende pipelines sikres.
Klar til at gøre dine produkter CRA-klare?
Uanset om du har brug for en første GAP-analyse, hands-on implementeringsstøtte eller uafhængig audit – hjælper vi dig med at finde den rette CRA-pakke til dine produkter og din organisation. Kontakt os, så drøfter vi din situation i et kort og fokuseret opkald.