Åbn platformen →
Forordning (EU) 2024/2847 CFCS • Center for Cybersikkerhed

Cyber Resilience Act
for danske virksomheder

Forordning (EU) 2024/2847 stiller obligatoriske cybersikkerhedskrav til producenter, importører og distributører af produkter med digitale elementer på EU-markedet. Danske virksomheder er direkte berørte.

Automatiser din CRA-overensstemmelse →

Danske myndigheder for CRA

Center for Cybersikkerhed spiller en central rolle i implementeringen af CRA i Danmark.

🚨
CFCS — national CSIRT
Center for Cybersikkerhed (CFCS) er Danmarks nationale CSIRT-koordinator. Fra 11. september 2026 indberetter producenter aktivt udnyttede sårbarheder via ENISA's Single Reporting Platform (SRP), som automatisk videresender til CFCS.
🏗
Erhvervsstyrelsen — markedstilsyn
Erhvervsstyrelsen forventes at være ansvarlig for markedstilsynet med CRA-produkter i Danmark og for notificeringen af overensstemmelsesvurderingsorganer til EU-Kommissionen.

Kilde: cfcs.dk

Vigtige datoer for danske virksomheder

Officiel tidslinje baseret på forordning (EU) 2024/2847, artikel 71–72.

10. december 2024
CRA træder i kraft Udført
Forordning (EU) 2024/2847 trådte i kraft. Danske virksomheder bør påbegynde forberedelser til overensstemmelse.
21. december 2025
Produktklassificering afklaret Udført
Gennemførelsesforordning (EU) 2025/2392 trådte i kraft med tekniske beskrivelser for vigtige og kritiske produktkategorier.
11. juni 2026
Overensstemmelsesvurderingsorganer
Medlemsstaterne skal have notificeret overensstemmelsesvurderingsorganer til EU-Kommissionen. Kapitel IV i forordningen finder anvendelse.
11. september 2026
Indberetningspligt for sårbarheder
Artikel 14 finder anvendelse. Producenter indberetter aktivt udnyttede sårbarheder og alvorlige hændelser via ENISA (SRP). CFCS modtager automatisk indberetningerne. Frister: 24t tidlig advarsel, 72t anmeldelse, 14 dage slutrapport.
11. december 2027
Fuld anvendelse af CRA
Alle krav finder anvendelse: væsentlige cybersikkerhedskrav (bilag I), CE-mærkning, EU-overensstemmelseserklæring, teknisk dokumentation (bilag VII). Bøder op til 15.000.000 EUR eller 2,5% af global årlig omsætning (artikel 64).

Ofte stillede spørgsmål

Svar baseret på den officielle tekst i forordning (EU) 2024/2847.

Gælder CRA også for software?
Ja. CRA gælder alle produkter med digitale elementer, herunder selvstændig software, der bringes i omsætning på EU-markedet som led i en kommerciel aktivitet. Mobilapps, desktopsoftware, firmware og softwarekomponenter, der markedsføres separat, er inden for anvendelsesområdet. Undtagelse: open source-software, der ikke udgør kommerciel aktivitet, kan være undtaget.
Kilde: Forordning (EU) 2024/2847, artikel 2 — EUR-Lex
Hvad er sanktionerne for manglende overensstemmelse?
Artikel 64 i forordning (EU) 2024/2847 fastsætter maksimale sanktioner: manglende overensstemmelse med væsentlige cybersikkerhedskrav op til 15.000.000 EUR eller 2,5% af global årlig omsætning; andre øvertrædelser op til 10.000.000 EUR eller 2% af omsætningen; urigtige oplysninger til myndigheder op til 5.000.000 EUR eller 1% af omsætningen. Mikrovirksomheder og små virksomheder er fritaget for bøder for at overskride 24-timersfristen for sårbarheds indberetning.
Kilde: Forordning (EU) 2024/2847, artikel 64 — EUR-Lex

Automatiser din CRA-overensstemmelse

CRA Ready er B2B SaaS-platformen for europæiske producenter. Teknisk dokumentation, CE-mærkning, sårbarhedsstyring og SBOM — alt på ét sted.

Åbn platformen →
Juridisk ansvarsfraskrivelse: Denne side er en informationskilde. Alt indhold vedrørende CRA henviser til den officielle tekst i forordning (EU) 2024/2847 offentliggjort i EU-Tidende (EUR-Lex). Oplysninger om danske myndigheder er hentet fra cfcs.dk. Denne side udgør ikke juridisk rådgivning.
CRA Ready GmbH Investeringsmulighed