Organisationer har ägnat år åt att fokusera på att säkra sig själva. Men i takt med att Cyber Resilience Act (CRA) träder fram flyttas rampljuset till de produkter de förlitar sig på och leveranskedjorna bakom dem.
Under det senaste året, genomförandet av NIS2-direktivet dominerade styrelserum över hela Europa. Organisationer kämpade för att bedöma riskexponering, skärpa sina åtkomstkontroller och säkerställa att deras interna operativa motståndskraft var i enlighet med gällande bestämmelser.
Men att säkra din organisation är bara halva arbetet när tredjepartsverktygen som används inuti den kan introducera egna sårbarheter.
Nu utvidgas det regulatoriska fokuset från köpare av teknik till dess byggherrar. Med EU:s lag om cyberresiliens (CRA) har trätt i kraft trädde i kraft i slutet av 2024, utvecklas den "säkra organisationens" era snabbt till den "säkra produktens" era.
För säkerhetsledare innebär detta att styrningen av leveranskedjan snart blir betydligt striktare. Dagarna då man förlitade sig på blint förtroende och statiska leverantörsfrågeformulär är över. Här är anledningen till att CRA ändrar reglerna för engagemang, och varför milstolpen i september 2026 är den väckarklocka som branschen behöver.
Milstolpen i september 2026 leder till en 24-timmars verklighetskontroll
Även om den fulla tyngden av CRA:s omfattande krav på ”säker design” och CE-märkning inte träder i kraft förrän den 11 december 2027, sker det första stora operativa skiftet mycket tidigare.
Senast den 11 september 2026 inför artikel 14 i CRA obligatorisk, händelseutlöst sårbarhetsrapportering. Tillverkare av produkter med digitala element, som omfattar både hårdvara och mjukvara, måste rapportera aktivt utnyttjade sårbarheter till Europeiska unionens cybersäkerhetsbyrå (ENISA) och deras nationella team för hantering av incidenter vid datorsäkerhetsincidenter (CSIRT).
Tidslinjen är snäv och kräver tidig anmälan utan onödigt dröjsmål (ofta tolkad som inom 24 timmar), följt av mer detaljerad rapportering allt eftersom utredningarna fortskrider.
Som Eclypsiums Chase Snyder anteckningar i en nyligen genomförd analys innehåller ”CRA också ett flertal klausuler som kräver 'snabb' anmälan, offentliggörande och åtgärdande av sårbarheter”, och verkställigheten ska ökas senast i september 2026.
Avgörande är att denna skyldighet gäller produkter som redan finns på EU-marknaden och som fortfarande stöds eller underhålls, inte bara nya programvaruutgåvor.
För företagsköpare skapar detta en betydande dominoeffekt på risken i leveranskedjan. Om era leverantörer förlitar sig på komponenter med öppen källkod som är uttjänta och saknar intern styrning för att spåra dem, blir deras bristande efterlevnad snabbt er operativa sårbarhet.
Överbrygga klyftan när NIS2 möter CRA
För att förstå framtiden för styrning av leveranskedjor måste man titta på hur NIS2 och CRA passar ihop. De är inte konkurrerande ramverk; de är kompletterande dimensioner av samma holistiska resiliensmodell.
NIS2 är organisationscentrerat. Det kräver att viktiga och viktiga enheter hanterar risker i hela sin verksamhet, inklusive djupgående tredjepartsberoenden. Det frågar: "Är er verksamhet motståndskraftig mot störningar, inklusive leverantörsmisslyckanden?"
CRA är produktcentrerad. Den reglerar den faktiska hårdvaran och mjukvaran som flödar genom leveranskedjan. Den kräver inbyggd säkerhet, kontinuerliga livscykeluppdateringar och rigorös hantering av sårbarheter. Den frågar: "Är de verktyg ni driftsätter fundamentalt säkra?" Som Meticulous Research framhäver i sin Marknadsanalys för OT/ICS, ”CRA:s SBOM-krav… skapar en strukturell drivkraft för verktyg för sårbarhetshantering” över NIS2- och CRA-omfattningar.
Tillgångsägare under NIS2 är inte passiva deltagare i denna förändring. De förblir ansvariga för att bedöma och hantera leverantörsrisker men kommer i allt högre grad att förlita sig på att deras leverantörer följer kreditvärderingsreglerna som en del av den säkerhetsmodellen.
Slutet på "statisk" förtroende
Historiskt sett förlitade sig styrningen av leveranskedjan på statisk dokumentation. En leverantör fyllde i ett årligt säkerhetsformulär, lämnade in en SOC 2-rapport och förtroende upprättades, åtminstone på papper.
Enligt CRA räcker statiskt förtroende inte längre.
Förordningen inför kontinuerlig livscykelhantering. När en leverantör tvingas upprätthålla en dynamisk programvaruförteckning (SBOM) och aktivt rapportera fel inom en viss tidsram, måste köparen ha mekanismer på plats för att ta emot, bearbeta och agera utifrån den informationen i realtid.
”CRA utvidgar ansvaret djupt in i leveranskedjorna” förklarar Joe Hughes, vice vd för riskhantering inom leveranskedjan, Fortress Information Security. ”Avtal måste nu tydligt beskriva leverantörernas skyldigheter, inklusive SBOMs.”
Dessutom har de kommersiella insatserna aldrig varit högre. Om en kritisk programvaruleverantör inte uppfyller kreditvärderingsmyndighetens produktsäkerhetskrav senast i december 2027 kommer deras produkt att befrias från sin CE-märkning. Utan CE-märkning kan den inte lagligt säljas eller användas på EU-marknaden.
För upphandlingsteam höjer detta efterlevnaden av CRA-regler från en teknisk detalj till ett grundläggande kommersiellt krav. Om din leverantör inte följer reglerna kan du bli juridiskt tvungen att rippa och ersätta deras programvara, vilket leder till operativa utmaningar.
Att bygga en aktiv strategi för leveranskedjan
Denna regeländring innebär en stor möjlighet för framåttänkande ITSO:er att gå från defensiv, kryssrutebaserad efterlevnad till aktiv, intäktsskyddande styrning. För att förbereda sig för CRA-fristerna 2026 och 2027, tillsammans med de pågående NIS2-skyldigheterna, måste ledarna agera nu:
Kräv transparens tidigtVänta inte till september 2026 med att fråga era leverantörer hur de planerar att hantera ENISA:s rapporteringskrav. Integrera CRA-beredskap i era upphandlingsavtal och leverantörsutvärderingar idag.
Kartlägg de "osynliga" beroendenaAnvänd den lagstiftningsmässiga satsningen på SBOM för att få verklig insyn i fjärde- och femtepartsrisker. Förstå vilka ramverk med öppen källkod som finns begravda i de kommersiella standardprodukter (COTS) du förlitar dig på.
Förena din risksynAtt hantera leverantörsrisker inom NIS2, DORA och CRA med hjälp av fragmenterade kalkylblad är ett recept för missade deadlines och blinda fläckar. Övergång till dynamiska, enhetliga styrningsplattformar som länkar leverantörsprofiler, incidentloggar och efterlevnadsstatus direkt till ert centrala riskregister.
”Ledare kan se CRA som en katalysator för att bygga starkare, mer transparenta och mer motståndskraftiga leveranskedjor”, enligt OPSWAT:s färdplan om mjukvaruefterlevnad.
Motståndskraft är inte längre en isolerad övning
Regelverken sänder ett tydligt budskap: motståndskraft är inte längre en isolerad intern övning. I takt med att fokus flyttas från säkra organisationer till säkra produkter blir styrning av leveranskedjan det ultimata verifieringslagret för affärsstabilitet.
Genom att anamma detta skifte nu förbereder ni er inte bara för en regulatorisk deadline. Ni bygger en verifierad, härdad leveranskedja som skyddar er operativa drifttid och accelererar er tillväxt i en alltmer volatil digital värld.
Utöka din kunskap
Blogg: Leveranskedjor är komplexa, ogenomskinliga och osäkra: Tillsynsmyndigheter kräver bättre
Guide: Säkra försörjningskedjan
