CRA-tjenester
Fra regelverk til pålitelige produkter
Vi hjelper deg å omsette EUs Cyber Resilience Act til praktiske, sikre utviklingspraksiser. Fra GAP-analyse og prosessdesign til retrofit, implementering og revisjonsstøtte sørger våre CRA-tjenester for at tilkoblede produkter forblir samsvarende, sikre og klare for det europeiske markedet.
CRA-samsvarspakker og cybersikkerhet
Med pakkene våre gjør vi produktene dine med digitale elementer CRA-klare for å holde kontantstrømmen i gang. Velg etter behov.
GAP-analyse
Utviklingsprosessene dine for produkter med digitale elementer
- Inventar: Delta for en sikker utviklingsprosess i henhold til standarder
- Fremheving av standarder for god praksis
- Rapport med tiltakspunkter
Implementering
Oppnå CRA-samsvar for produktene dine med digitale elementer
- Retrofit av eksisterende produkter
- Full reimplementering
- Sikring av utviklingsprosessen (leverandørkjede, SBOM, sårbarheter, oppdaterings- og hendelseshåndtering)
Revisjon
Validering av etablerte utviklingsprosesser av et revisjonsorgan
- Gjennom etablerte institusjoner
- f.eks. i henhold til IEC 62443-4-1, BSI-TR-03183, ISO 27001 med ISO 27005 eller ISO 33001 for risikostyring
- Dokumenter CRA-samsvar
Sikkerhet bygget inn i koden
Sikker koding
Retrofit – innkapsling og sikring av eksisterende produkter og komponenter.
Der det ikke lenger er mulig eller økonomisk å oppdatere eksisterende programvare, tilbyr vi et målrettet retrofit-konsept. Eldre systemer flyttes til et kontrollert og beskyttet miljø (f.eks. virtuelle maskiner eller containere). Der sikres trygg drift ved å regulere tilgang og skjerme kjente sårbarheter. Dette holder produktene brukbare og CRA-samsvarende samtidig.
Reimplementering av produktet – den mest bærekraftige løsningen for CRA-beredskap er full reimplementering.
Vi bygger på fremtidsrettet programvarearkitektur, security by design, testautomatisering og omfattende dokumentasjon av sikkerhetsrelaterte krav. Avhengighetssjekker og integrerte verktøylandskap sikrer automatisert samsvarsdokumentasjon. Eksisterende kundesystemer og verktøy integreres.
Supplering av interne utviklingskapasiteter – våre eksperter støtter kundeteam direkte.
Med etablerte metoder sikrer vi implementering av CRA-krav i eksisterende prosjekter og styrker interne kompetanser.
Gjør SSDLC fra teori til praksis
Prosessledelse for Secure Software Development Lifecycle (SSDLC)
Secure Software Development Lifecycle (SSDLC) implementeres som en kontinuerlig prosess som supplerer de klassiske fasene i programvareutvikling (planlegging, design, implementering, testing, utrulling og vedlikehold) med systematiske sikkerhetsaspekter. Målet er at hver fase skal levere tydelige sikkerhetsleveranser som dokumenteres og kan verifiseres for samsvarshåndtering i henhold til CRA. En SSDLC etter IEC 62443-4-1 og ISO/IEC 27002 bygger på en syklisk tilnærming som kan deles inn i fire nivåer:
Kravanalyse og trusselmodellering
Sikker design og arkitektur
Sikker implementering og integrasjon
Verifisering, validering og overlevering til drift
Hvert nivå gjennomsyres i sin tur av prosesser for risikostyring, dokumentasjon og kommunikasjon.
Gjør kompleksitet lett å forklare
Støtte til teknisk dokumentasjon og kundedokumentasjon
Dokumentasjon er et nøkkelpunkt i CRA-samsvar. Den skaper transparens og sporbarhet og danner grunnlag for revisjoner fra markedsovervåkingsmyndigheter eller meldte organer. Vedlegg II og andre deler av Cyber Resilience Act (CRA) krever uttrykkelig utarbeidelse og tilgjengeliggjøring av:
Teknisk dokumentasjon for myndigheter og testorganer
Kundedokumentasjon for sluttbrukere
CE-erklæring og produsentens samsvarserklæringer.
Utfordringen for virksomheter er å se dokumentasjon ikke som en byrde, men som en integrert del av utviklingsprosessen. En systematisk tilnærming sikrer at dokumentasjon skapes effektivt, standardiseres og er revisjonssikker. Støtte til teknisk og kundedokumentasjon i CRA-kontekst betyr:
Standardisering av prosesser
Integrasjon i SSDLC
Automatisering for økt effektivitet
Verifiserbarhet for revisjoner og myndigheter
Med en konsekvent tilnærming til dokumentasjon sikrer virksomheter at de til enhver tid er revisjonsbare, transparente og CRA-samsvarende. Kombinasjonen av teknisk dybde for myndigheter, forståelig språk for brukere og juridisk korrekte CE-erklæringer skaper tillit og reduserer kostnader på lang sikt.
Klarhet i prosessgapene
GAP-analyser og vurderinger på prosessnivå
GAP-analyse er et sentralt verktøy for å vurdere en organisasjons modenhetsnivå opp mot kravene i Cyber Resilience Act (CRA). Den gir en strukturert oversikt over hvilke elementer i Secure Software Development Lifecycle (SSDLC) som allerede er implementert, hvor det finnes mangler, og hvilke tiltak som er nødvendige for å oppnå samsvar. Vi analyserer eksisterende programvareutviklingsprosesser fra kravarbeid videre gjennom design, implementering og testing. Særlig oppmerksomhet vies verifisering/validering, avhengigheter og biblioteker. Vi vurderer etablerte prosesser, maler og sikkerhetshendelser. Sluttresultatet er en rapport som fremhever styrker, svakheter, anbefalte tiltak og en implementeringsplan.
Vår GAP-analyse legger grunnlaget for å forberede organisasjoner målrettet for CRA. Basert på en grundig vurdering vil virksomheter og myndigheter ved slutten av denne fasen vite nøyaktig hvilke utfordringer som fortsatt står i veien for CRA-samsvar og hvordan disse kan håndteres systematisk.
Fra antakelser til verifisert sikkerhet
Tekniske undersøkelser – sikkerhetsverifisering og validering
Sikkerhetsverifisering og validering (SVV) er kritiske faser i livssyklusen til et produkt med digitale elementer. Målet er å sikre at sikkerhetskravene som er definert i Secure Software Development Lifecycle (SSDLC) ikke bare implementeres, men også dokumenterbart er effektive. Vi støtter implementering av sikkerhetskrav gjennom en strukturert tilnærming fra design til testing. Leveranser:
Testplaner
Testrapporter
Sikkerhetsrapporter
Den tette integrasjonen med sårbarhets-, hendelses- og oppdateringshåndtering fremheves og presenteres for interessenter på en forståelig måte. Dette gjør sikkerhet verifiserbar, reproducerbar og regulatorisk samsvarende. Hele SSDLC blir også forståelig i sin sammenheng for alle involverte i sikkerhetsprosessen. Sikkerhetsverifisering og validering er ikke bare tekniske testoppgaver, men en strategisk komponent i CRA-beredskap.
Fra bevissthet til reell kompetanse
Academy – coaching og opplæring
Å implementere kravene i Cyber Resilience Act (CRA) krever ikke bare prosesser og tekniske tiltak, men fremfor alt kompetanse og bevissthet i de involverte teamene. Med vår Academy tilbyr vi et strukturert program som hjelper virksomheter å forberede ansatte og ledere systematisk for CRA-samsvar. Det kombinerer praktisk coaching med strukturert opplæring. Slik sikrer vi at organisasjoner ikke bare etablerer prosesser og dokumentasjon, men også utvikler nødvendig kompetanse for å gjennomføre dette varig.
Coaching
Våre eksperter gir individuell støtte til virksomheter, leverer praktiske innspill og sikrer varig forankring (hjelp til selvhjelp og train the trainer, blended learning).
Obligatorisk opplæring
Workshops og kurs om CRA-krav og implementering. Rollebasert opplæring for utviklere, ledelse og drift. Dokumenterte bevis støtter revisjoner.
Dokumenter samsvar, bygg tillit
Sertifisering og samsvarsvurdering
Cyber Resilience Act (CRA) krever at produsenter av produkter med digitale elementer kan dokumentere samsvar. Avhengig av produktkategori kreves interne vurderinger, revisjoner fra meldte organer eller formell CE-merking. Våre tjenester for sertifisering og samsvarsvurdering hjelper virksomheter å møte disse kravene sikkert, effektivt og transparent. Tjenestene våre sikrer at virksomheter opptrer revisjonssikkert og juridisk korrekt. Fra revisjon og etablering av en CE-prosess til testing gir vi kundene omfattende støtte og legger grunnlaget for langsiktig CRA-beredskap.
Revisjon
Gjennomføring av revisjoner i henhold til IEC 62443 og ISO/IEC 27001. Fokus på SSDLC, risikostyring og håndtering av sårbarheter. Resulterer i standardiserte revisjonsrapporter.
CE-prosess
Etablering av arbeidsflyter for CE og produsenterklæringer. Innsamling og strukturering av bevis, gjennomføring av pilotprosjekter for testing, integrasjon i eksisterende styringssystemer.
Koordiner veien til samsvar
Prosjektledelse for CRA-beredskap
Implementering av kravene i Cyber Resilience Act (CRA) er ikke et engangsprosjekt, men en virksomhetsomfattende transformasjonsoppgave som påvirker utviklingsprosesser, produktstrategier og organisasjonsstrukturer. Mange virksomheter står overfor utfordringen med å implementere regulatoriske krav parallelt med løpende utvikling og markedsaktivitet. Her kommer vår prosjektledelse for CRA-beredskap inn – vi tar ansvar for planlegging, styring og gjennomføring slik at organisasjoner oppnår samsvar i tide, effektivt og verifiserbart.
Hjelper deg å velge CRA-klare produkter
Støtte til organisasjonen i anskaffelse av samsvarende produkter
Cyber Resilience Act (CRA) forplikter ikke bare produsenter, men påvirker også anskaffelsesprosessene i organisasjoner. Virksomheter må sikre at produktene med digitale elementer de bruker oppfyller regulatoriske krav. Vi støtter organisasjoner i å velge, evaluere og anskaffe samsvarende produkter på en systematisk måte.
Gjør brukere i stand til å jobbe sikkert
Brukeropplæring og enablement
De fulle fordelene av et CRA-samsvarende produkt kan bare realiseres dersom brukerorganisasjoner også settes i stand til å bruke produktene sikkert og effektivt. Vi sikrer at kunder har riktige prosesser, ferdigheter og strukturer på plass for å lykkes med drift av CRA-klare produkter. Dette inkluderer:
Registrering av produkter i kundens egne systemer for dependency tracking
Verifisering av brukernes forståelse av kundedokumentasjon
Å ta hensyn til produktegenskaper i egen risiko- og mulighetsstyring
Kobler deg til riktige CRA-spesialister
Distribusjon og formidling av tredjeparter (spesialistteam) for enkeltdisipliner og fagområder innen CRA
Ikke alle virksomheter har intern kapasitet eller spesialisert kompetanse til å dekke alle disipliner i Cyber Resilience Act (CRA) med nødvendig dybde. CRA er et tverrgående tema som kombinerer tekniske, organisatoriske, juridiske og regulatoriske aspekter. Med tjenesten 'Salg og formidling av tredjeparter' utvider vi porteføljen vår til et modulært økosystem for CRA-samsvar. Kunder får tilgang til et nettverk av spesialister som kan involveres målrettet på alle fagområder innen CRA – effektivt, juridisk korrekt og fra én leverandør.
Sikkerhet innebygd i verktøy, arbeidsflyter og tilgang
Tekniske og organisatoriske kontroller i utviklingsmiljøet
En sikker utviklingsprosess krever ikke bare definerte metoder og prosesser, men også et sikkert utviklingsmiljø. Utviklings- og testmiljøer er attraktive mål for angripere fordi de gir tidlig tilgang til kildekode, build-artifacts og konfidensiell informasjon. CRA krever derfor dokumentert implementering av sikkerhetstiltak som dekker tekniske kontroller (verktøy, systemer) og organisatoriske kontroller (retningslinjer, prosesser, roller). Et sikkert utviklingsmiljø er fundamentet for CRA-samsvarende produkter. Bare når både tekniske og organisatoriske kontroller implementeres konsekvent, kan integriteten i utviklingsprosessen garanteres.
Virksomheter får:
Beskyttelse mot supply chain-angrep
Verifiserbart CRA-samsvar
Tillit fra markedstilsyn og kunder
Økt effektivitet gjennom standardiserte prosesser.
Tydelig, strukturert kommunikasjon med kunder og regulatorer
Kommunikasjonsprosesser med kunder og markedstilsyn
En sikker utviklingsprosess stopper ikke når kildekode er skrevet eller tester er gjennomført. For at et produkt skal anses som samsvarende under Cyber Resilience Act (CRA), må produsenter etablere klare kommunikasjonsprosesser med alle relevante interessenter.
Dette inkluderer:
Kunder og sluttbrukere som er avhengige av transparent informasjon om sikkerhet, oppdateringer og support.
Markedsovervåkingsmyndigheter som forventer bevis, dokumentasjon og sikkerhetsrapporter som del av sin tilsynsrolle.
Partnere og leverandører som inngår i leverandørkjeden og må fylle sin rolle i sårbarhetshåndtering.
Uten en strukturert informasjonsflyt er det risiko for forsinkelser, juridisk usikkerhet eller til og med bøter. Kommunikasjonsprosesser er en sentral del av CRA-samsvar. De sikrer transparens, styrker tilliten hos kunder og markedstilsyn og skaper et solid grunnlag for juridisk korrekt handling.
En virksomhet som etablerer tydelige kommunikasjonsprosesser oppnår:
Raskere responstid ved en sikkerhetshendelse
Unngåelse av regulatoriske sanksjoner
Større tillit i markedet gjennom dokumenterbar åpenhet
Økt effektivitet gjennom standardiserte prosedyrer
Aktiviteter på dette området dekkes av status som autorisert representant innen CRA.
FAQs
Ofte stilte spørsmål
Svar på de viktigste spørsmålene om CRA-beredskap, sikker utvikling og vår tilnærming til samsvar.
Hva gjør vi for de andre rollene i CRA?
Kunder: Opplæring og dokumenter samt instrukser til produsenter på vegne av forbrukerbeskyttelsesorganisasjoner.
Importører: Sikring av innkjøpte produkter
Distributører (kundehåndtering): Handler på vegne av distributører der produsenter ikke kan eller vil gjøre det
White-label-produsenter: Due diligence hos produsenter.
Kan dere hjelpe oss retrofit’e eksisterende produkter for å møte CRA-kravene?
Ja. Vår Refit/Retrofit-tilnærming kapsler inn legacy-programvare i kontrollerte miljøer — som containere eller VM-er — for å isolere sårbarheter og sikre trygg drift uten full nyutvikling.
Hvor lang tid tar CRA-beredskap vanligvis?
Tidslinjer avhenger av produktkompleksitet og organisasjonens modenhet. Etter en innledende GAP-analyse leverer vi en tydelig roadmap med milepæler — fra raske forbedringer til full samsvarsintegrasjon.
Kan vi integrere CRA- og CE-samsvar i eksisterende prosesser?
Ja. Vi spesialiserer oss på å bygge inn samsvarsworkflows direkte i utviklings- og kvalitetsstyringssystemene deres, med sporbarhet, automatisering og minimal forstyrrelse av eksisterende pipelines.
Klar til å gjøre produktene dine CRA-klare?
Enten du trenger en første GAP-analyse, hands-on implementeringsstøtte eller uavhengig revisjon – hjelper vi deg å finne riktig CRA-pakke for produktene dine og organisasjonen din. Ta kontakt, så diskuterer vi situasjonen din i en kort og fokusert samtale.