Regeringen föreslår nationella bestämmelser som kompletterar cyberresiliensförordningen

kommunikationsministeriet

27.11.2025 13.36 | Publicerad på svenska 27.11.2025 kl. 15.36

Pressmeddelande

Nainen katsoo älykelloa, taustalla koira istuu lattialla. — En kvinna ska gå ut på promenad med sin hund och tittar på sin smartklocka. (Bild: Mika Pakarinen, Keksi/LVM)

Regeringen överlämnade den 27 november 2025 ett lagförslag om det nationella genomförandet av Europeiska unionens nya cyberresiliensförordning (Cyber Resilience Act, CRA) till riksdagen.

I propositionen föreslås det att det stiftas en ny lag om vissa produkters cyberresiliens och cybersäkerhetscertifiering. Det föreslås också ändringar i lagen om tjänster inom elektronisk kommunikation och cybersäkerhetslagen.

De myndighetsuppgifter som gäller marknadskontrollen av cyberresiliensförordningen samt utseendet av och tillsynen över anmälda organ kommer enligt förslaget att koncentreras till Transport- och kommunikationsverket Traficom. De myndigheter som övervakar kraven i AI-förordningen ansvarar emellertid också för marknadskontrollen av AI-system med hög risk (Säkerhets- och kemikalieverket, Tullen, Transport- och kommunikationsverket, Tillstånds- och tillsynsverket, Säkerhets- och utvecklingscentret för läkemedelsområdet, Energimyndigheten, dataombudsmannen eller Finansinspektionen).

De organ som bedömer produkters kravenlighet kan ansöka hos Traficom om att få bedömningsuppgifter enligt cyberresiliensförordningen. Transport- och kommunikationsverket ska dessutom övervaka cyberresiliensförordningens kravenlighet.

I propositionen föreslås det också att EU:s cyberresiliensförordning ska kompletteras genom närmare bestämmelser än hittills om befogenheterna för den nationella myndigheten för cybersäkerhetscertifiering. Traficom ska även i fortsättningen vara nationell myndighet för cybersäkerhetscertifiering.

I lagen om tjänster inom elektronisk kommunikation föreslås dessutom nya bestämmelser om insamling och utlämnande av registreringsuppgifter om domännamn också i fråga om andra domännamn än .fi och .ax, som för närvarande omfattas av motsvarande bestämmelser. Genom regleringen kompletteras den nationella tillämpningen av de skyldigheter enligt cybersäkerhetsdirektivet (NIS 2-direktivet) som gäller insamling och utlämnande av uppgifter om domännamn. Regleringen kommer samtidigt att främja tillgången till uppgifter om registrering av domännamn, vilket förbättrar möjligheterna att ingripa i olaglig verksamhet på nätet.

Cyberresiliensförordningen gäller apparater och programvara som kan kopplas upp till internet eller en annan enhet

EU:s cyberresiliensförordning är en ny genomförandeförordning som fastställer minimikrav på cybersäkerheten för produkter och programvara som kan kopplas upp till internet eller en annan enhet. Sådana är till exempel övervakningskameror, kylskåp, smartklockor, tv-apparater, datorer, telefoner och leksaker.

Förordningen gäller också programvara, såsom applikationer och spel. Förordningen gäller också produkter som är avsedda för något annat än konsumentbruk, såsom operativsystem och programvara som ingår i apparater och maskiner, fjärravläsbara sensorer och fjärrstyrningssystem. De skyldigheter som ingår i förordningen gäller produkter som har tillhandahållits på marknaden i EU.

De viktigaste skyldigheterna enligt förordningen gäller skyldigheten för tillverkare av utrustning och programvara att planera och säkerställa att produkterna uppfyller de väsentliga cybersäkerhetskraven. I fortsättningen ska tillverkarna dessutom rapportera om allvarliga avvikelser som påverkar produktsäkerheten samt om sårbarheter som utnyttjats aktivt. Förordningen innehåller dessutom krav på produkternas importörer, återförsäljare och förvaltare av programvara med fri och öppen källkod.

Cyberresiliensförordningen bedöms förbättra samhällets övergripande säkerhet när det finns mer informationssäkra apparater och programvara i bruk och på marknaden än tidigare.

Vad händer nu?

Riksdagsbehandlingen av lagförslaget inleds med en remissdebatt i plenum. Därefter börjar utskottsbehandlingen av lagförslaget. När utskottets betänkande är färdigt fortsätter behandlingen i plenum.

Cyberresiliensförordningen börjar tillämpas den 11 december 2027 efter en övergångsperiod. Anmälan om sårbarheter som utnyttjats aktivt tillämpas dock redan från och med den 11 september 2026 och bestämmelserna om anmälda organ från och med den 11 juni 2026.