CRA-tjänster
Från regelverk till pålitliga produkter
Vi hjälper dig att översätta EU:s Cyber Resilience Act till praktiska, säkra utvecklingsmetoder. Från GAP-analys och processdesign till retrofit, implementering och revisionsstöd säkerställer våra CRA-tjänster att dina uppkopplade produkter förblir efterlevande, säkra och redo för den europeiska marknaden.
CRA-efterlevnadspaket och cybersäkerhet
Med våra paket gör vi dina produkter med digitala element CRA-redo för att hålla kassaflödet igång. Välj efter dina behov.
GAP-analys
Dina utvecklingsprocesser för produkter med digitala element
- Inventering: Delta för en säker utvecklingsprocess enligt standarder
- Lyfta fram standarder för god praxis
- Rapport med åtgärdspunkter
Implementering
Uppnå CRA-efterlevnad för dina produkter med digitala element
- Retrofit av befintliga produkter
- Fullständig reimplementering
- Säkring av utvecklingsprocessen (leverantörskedja, SBOM, sårbarheter, uppdaterings- och incidenthantering)
Revision
Validering av etablerade utvecklingsprocesser av ett revisionsorgan
- Genom etablerade institutioner
- t.ex. enligt IEC 62443-4-1, BSI-TR-03183, ISO 27001 med ISO 27005 eller ISO 33001 för riskhantering
- Visa CRA-efterlevnad
Säkerhet inbyggd i din kod
Säker kodning
Retrofit – inkapsling och säkring av befintliga produkter och komponenter.
När det inte längre är möjligt eller ekonomiskt att uppdatera befintlig mjukvara erbjuder vi ett riktat retrofit-koncept. Äldre system flyttas till en kontrollerad och skyddad miljö (t.ex. virtuella maskiner eller containrar). Där säkerställs trygg drift genom styrd åtkomst och avskärmning av kända sårbarheter. Produkterna förblir användbara och CRA-efterlevande samtidigt.
Reimplementering av produkten – den mest hållbara lösningen för CRA-beredskap är en fullständig reimplementering.
Vi bygger på framtidssäker mjukvaruarkitektur, security by design, testautomation och omfattande dokumentation av säkerhetsrelaterade krav. Beroendekontroller och integrerade verktygslandskap möjliggör automatiserad efterlevnadsdokumentation. Befintliga kundsystem och verktyg integreras.
Komplettering av intern utvecklingskapacitet – våra experter stöttar kundteam direkt.
Med etablerade metoder säkerställer vi implementeringen av CRA-krav i befintliga projekt och stärker interna kompetenser.
Gör SSDLC från teori till praktik
Processhantering för Secure Software Development Lifecycle (SSDLC)
Secure Software Development Lifecycle (SSDLC) implementeras som en kontinuerlig process som kompletterar de klassiska faserna i mjukvaruutveckling (planering, design, implementering, test, driftsättning och underhåll) med systematiska säkerhetsaspekter. Målet är att varje fas ska leverera tydliga säkerhetsleverabler som dokumenteras och är verifierbara för efterlevnadshantering enligt CRA. En SSDLC enligt IEC 62443-4-1 och ISO/IEC 27002 bygger på ett cykliskt angreppssätt som kan delas in i fyra nivåer:
Kravanalys och hotmodellering
Säker design och arkitektur
Säker implementering och integration
Verifiering, validering och överlämning till drift
Varje nivå genomsyras i sin tur av processer för riskhantering, dokumentation och kommunikation.
Gör komplexitet lätt att förklara
Stöd för teknisk dokumentation och kunddokumentation
Dokumentation är en nyckelkomponent i CRA-efterlevnad. Den skapar transparens och spårbarhet och utgör grunden för revisioner av marknadskontrollmyndigheter eller anmälda organ. Bilaga II och andra delar av Cyber Resilience Act (CRA) kräver uttryckligen att följande tas fram och tillhandahålls:
Teknisk dokumentation för myndigheter och testorgan
Kunddokumentation för slutanvändare
CE-försäkran och tillverkarens försäkran om överensstämmelse.
Utmaningen för företag är att se dokumentation inte som ett måste, utan som en integrerad del av utvecklingsprocessen. En systematisk metod säkerställer att dokumentation skapas effektivt, standardiserat och revisionssäkert. Stöd för teknisk dokumentation och kunddokumentation i CRA-sammanhang innebär:
Standardisering av processer
Integration i SSDLC
Automatisering för ökad effektivitet
Verifierbarhet för revisioner och myndigheter
Med ett konsekvent arbetssätt kring dokumentation säkerställer företag att de alltid är granskningsbara, transparenta och CRA-efterlevande. Kombinationen av tekniskt djup för myndigheter, begripligt språk för användare och juridiskt korrekta CE-försäkringar skapar förtroende och minskar kostnader på lång sikt.
Klarhet i era processgap
GAP-analyser och bedömningar på processnivå
GAP-analys är ett centralt verktyg för att bedöma en organisations mognadsgrad i förhållande till kraven i Cyber Resilience Act (CRA). Den ger en strukturerad översikt över vilka delar av Secure Software Development Lifecycle (SSDLC) som redan är implementerade, var brister finns och vilka åtgärder som behövs för att uppnå efterlevnad. Vi analyserar befintliga mjukvaruutvecklingsprocesser från kravanalys vidare genom design, implementering och test. Särskild uppmärksamhet läggs på verifiering/validering, beroenden och bibliotek. Vi utvärderar etablerade processer, mallar och säkerhetsincidenter. Slutresultatet är en rapport som belyser styrkor, svagheter, åtgärdsrekommendationer och en implementeringsplan.
Vår GAP-analys lägger grunden för att förbereda organisationer specifikt för CRA. Efter en grundlig bedömning vet företag och myndigheter i slutet av denna fas exakt vilka utmaningar som fortfarande står i vägen för CRA-efterlevnad och hur de kan hanteras systematiskt.
Från antaganden till verifierad säkerhet
Tekniska utredningar – säkerhetsverifiering och validering
Säkerhetsverifiering och validering (SVV) är avgörande faser i livscykeln för en produkt med digitala element. Målet är att säkerställa att de säkerhetskrav som definierats i Secure Software Development Lifecycle (SSDLC) inte bara implementeras, utan även påvisbart fungerar. Vi stödjer införandet av säkerhetskrav genom en strukturerad metod från design till test. Leverabler:
Testplaner
Testrapporter
Säkerhetsrapporter
Den nära integrationen med hantering av sårbarheter, incidenter och uppdateringar lyfts fram och presenteras på ett begripligt sätt för intressenter. Detta gör säkerhet verifierbar, reproducerbar och regulatoriskt efterlevande. Hela SSDLC blir också begriplig i sitt sammanhang för alla involverade i säkerhetsprocessen. Säkerhetsverifiering och validering är inte bara tekniska testuppgifter, utan en strategisk komponent i CRA-beredskap.
Från medvetenhet till verklig kompetens
Academy – coaching och utbildning
Att implementera kraven i Cyber Resilience Act (CRA) kräver inte bara processer och tekniska åtgärder, utan framför allt kompetens och medvetenhet i de berörda teamen. Med vår Academy erbjuder vi ett strukturerat program som hjälper företag att systematiskt förbereda medarbetare och chefer för CRA-efterlevnad. Programmet kombinerar praktisk coaching med strukturerad utbildning. På så sätt säkerställer vi att organisationer inte bara etablerar processer och dokumentation, utan även utvecklar den kunskap som krävs för att upprätthålla dem över tid.
Coaching
Våra experter ger individuellt stöd till företag, bidrar med praktiska insikter och säkerställer hållbar förankring (hjälp till självhjälp och train the trainer, blended learning).
Obligatorisk utbildning
Workshops och utbildningar om CRA-krav och hur de implementeras. Rollbaserad utbildning för utvecklare, ledning och drift. Dokumenterade underlag stödjer revisioner.
Visa efterlevnad, bygg förtroende
Certifiering och bedömning av överensstämmelse
Cyber Resilience Act (CRA) kräver att tillverkare av produkter med digitala element kan visa sin efterlevnad. Beroende på produktkategori krävs interna bedömningar, revisioner av anmälda organ eller formell CE-märkning. Våra tjänster för certifiering och bedömning av överensstämmelse hjälper företag att uppfylla kraven säkert, effektivt och transparent. Våra tjänster säkerställer att företag agerar revisionssäkert och juridiskt korrekt. Från revision och uppbyggnad av en CE-process till testning ger vi omfattande stöd och lägger grunden för långsiktig CRA-beredskap.
Revision
Genomförande av revisioner enligt IEC 62443 och ISO/IEC 27001. Fokus på SSDLC, riskhantering och hantering av sårbarheter. Resulterar i standardiserade revisionsrapporter.
CE-process
Etablering av arbetsflöden för CE och tillverkarförsäkringar. Insamling och strukturering av evidens, genomförande av pilotprojekt för testning, integrering i befintliga ledningssystem.
Koordinera er väg till efterlevnad
Projektledning för CRA-beredskap
Att implementera kraven i Cyber Resilience Act (CRA) är inte ett engångsprojekt, utan en företagsomfattande förändringsuppgift som påverkar utvecklingsprocesser, produktstrategier och organisatoriska strukturer. Många företag står inför utmaningen att införa regulatoriska krav parallellt med pågående utveckling och marknadsaktiviteter. Här kommer vår projektledning för CRA-beredskap in – vi tar ansvar för planering, styrning och genomförande så att organisationer når efterlevnad i tid, effektivt och verifierbart.
Hjälper dig välja CRA-redo produkter
Stöd till organisationen vid upphandling av efterlevande produkter
Cyber Resilience Act (CRA) förpliktar inte bara tillverkare, utan påverkar även organisationers upphandlingsprocesser. Företag måste säkerställa att de produkter med digitala element som de använder uppfyller regulatoriska krav. Vi stödjer organisationer i att systematiskt välja, utvärdera och upphandla efterlevande produkter.
Gör användare kapabla att arbeta säkert
Användarutbildning och enablement
De fulla fördelarna med en CRA-efterlevande produkt kan bara realiseras om användarorganisationer också kan använda produkterna säkert och effektivt. Vi säkerställer att kunderna har rätt processer, kompetenser och strukturer på plats för att framgångsrikt drifta CRA-redo produkter. Detta inkluderar:
Lista produkter i kundens egna system för dependency tracking
Verifiera användarnas förståelse av kunddokumentation
Beakta produktegenskaper i egen risk- och möjlighetsstyrning
Kopplar ihop dig med rätt CRA-specialister
Distribution och förmedling av tredje parter (specialistteam) för enskilda discipliner och ämnesområden inom CRA
Alla företag har inte intern kapacitet eller specialiserad expertis för att täcka alla discipliner i Cyber Resilience Act (CRA) på det djup som krävs. CRA är en tvärgående fråga som kombinerar tekniska, organisatoriska, juridiska och regulatoriska aspekter. Med tjänsten 'Försäljning och förmedling av tredje part' utökar vi vår portfölj till ett modulärt ekosystem för CRA-efterlevnad. Kunder får tillgång till ett nätverk av specialister som kan kopplas in målmedvetet i alla ämnesområden inom CRA – effektivt, juridiskt korrekt och från en och samma aktör.
Säkerhet inbyggd i verktyg, arbetsflöden och åtkomst
Tekniska och organisatoriska kontroller i utvecklingsmiljön
En säker utvecklingsprocess kräver inte bara definierade metoder och processer, utan även en säker utvecklingsmiljö. Utvecklings- och testmiljöer är attraktiva mål för angripare eftersom de ger tidig åtkomst till källkod, byggartefakter och konfidentiell information. CRA kräver därför dokumenterad implementering av säkerhetsåtgärder som omfattar tekniska kontroller (verktyg, system) och organisatoriska kontroller (riktlinjer, processer, roller). En säker utvecklingsmiljö utgör grunden för CRA-efterlevande produkter. Endast när både tekniska och organisatoriska kontroller är konsekvent implementerade kan utvecklingsprocessens integritet garanteras.
Företag får:
Skydd mot supply chain-attacker
Verifierbar CRA-efterlevnad
Förtroende från marknadsmyndigheter och kunder
Ökad effektivitet genom standardiserade processer.
Tydlig, strukturerad kommunikation med kunder och regulatorer
Kommunikationsprocesser med kunder och marknadsmyndigheter
En säker utvecklingsprocess slutar inte med att källkod skapas eller tester genomförs. För att en produkt ska anses efterlevande enligt Cyber Resilience Act (CRA) måste tillverkare etablera tydliga kommunikationsprocesser med alla relevanta intressenter.
Dessa inkluderar:
Kunder och slutanvändare som är beroende av transparent information om säkerhet, uppdateringar och support.
Marknadskontrollmyndigheter som förväntar sig evidens, dokumentation och säkerhetsrapporter i sin tillsynsroll.
Partners och leverantörer som ingår i leverantörskedjan och måste ta sin roll i sårbarhetshanteringen.
Utan ett strukturerat informationsflöde finns risk för förseningar, juridisk osäkerhet eller till och med böter. Kommunikationsprocesser är en central del av CRA-efterlevnad. De säkerställer transparens, stärker kunders och marknadsmyndigheters förtroende och skapar en stabil grund för juridiskt korrekt agerande.
Ett företag som etablerar tydliga kommunikationsprocesser uppnår:
Snabbare responstider vid en säkerhetsincident
Undvikande av regulatoriska sanktioner
Större förtroende på marknaden genom påvisbar öppenhet
Ökad effektivitet genom standardiserade rutiner
Aktiviteter inom detta område täcks av rollen som auktoriserad representant inom CRA.
FAQs
Vanliga frågor
Svar på de viktigaste frågorna om CRA-beredskap, säker utveckling och vår metod för efterlevnad.
Vad gör vi för de andra rollerna i CRA?
Kunder: Utbildningar och dokument samt instruktioner för tillverkare på uppdrag av konsumentskyddsorganisationer.
Importörer: Säkring av inköpta produkter
Distributörer (kundhantering): Agerar för distributörers räkning när tillverkare inte kan eller vill göra det
White-label-tillverkare: Due diligence hos tillverkare.
Kan ni hjälpa oss retrofit:a befintliga produkter för att möta CRA-kraven?
Ja. Vår Refit/Retrofit-ansats kapslar in äldre mjukvara i kontrollerade miljöer — som containrar eller VM:ar — för att isolera sårbarheter och säkerställa trygg drift utan full omutveckling.
Hur lång tid tar CRA-beredskap normalt?
Tidslinjer beror på produktens komplexitet och organisationens mognad. Efter en inledande GAP-analys tar vi fram en tydlig roadmap med milstolpar — från snabba förbättringar till full integrationsnivå.
Kan vi integrera CRA- och CE-efterlevnad i våra befintliga processer?
Ja. Vi är specialiserade på att bädda in efterlevnadsflöden direkt i era utvecklings- och kvalitetsledningssystem, med spårbarhet, automation och minimal påverkan på befintliga pipelines.
Redo att göra dina produkter CRA-redo?
Oavsett om du behöver en första GAP-analys, hands-on stöd för implementering eller oberoende revision – hjälper vi dig att hitta rätt CRA-paket för dina produkter och din organisation. Hör av dig så tar vi ett kort, fokuserat samtal om din situation.