Nya cybersäkerhetskrav i RED-direktivet: så påverkas CE-märkningen från 1 augusti 2025

Från och med den 1 augusti 2025 träder nya krav i kraft inom RED-direktivet (2014/53/EU), som gör cybersäkerhet till en integrerad del av CE-märkningen för många radioutrustningar. Detta blogginlägg beskriver vad kraven är och vad tillverkare behöver göra för att uppfylla de nya tekniska och organisatoriska kraven som krävs för att få sälja sina produkter inom EU. 

Det är viktigt att förstå att kraven gäller för produkter som sätts ut på marknaden från och med detta datum – även om produkten har funnits på marknaden tidigare.

Varför införs nya krav i RED-direktivet?

Syftet med ändringen är att öka säkerheten i vår allt mer uppkopplade vardag. Idag kopplas radioprodukter som routrar, smarta leksaker, telefoner och bilar upp mot internet. Det skapar nya risker – inte bara för användarnas data, utan även för samhällets infrastruktur.

De nya kraven fokuserar på:

• Skydd mot cybersäkerhetshot som intrång eller sabotage (artikel 3(3)(d))
• Skydd av personuppgifter som annars kan läcka eller stjälas (artikel 3(3)(e))
• Skydd mot bedrägerier, särskilt vid produkter som hanterar betalningar (artikel 3(3)(f))

Notera att dessa krav gäller för radioutrustning som sätts på marknaden efter 1 augusti 2025, inte produkter som redan finns på marknaden. Det är datumet då produkten släpps ut på marknaden – inte datum för CE-märkning eller tillverkning – som är avgörande.

Vad innebär artikel 3(3)(d), (e) och (f) i praktiken?

De tre artiklarna i RED-direktivet specificerar olika skydd som radioutrustning måste erbjuda:

• Artikel 3(3)(d) handlar om att skydda användare och nätverk mot obehörig åtkomst. Det innebär att produkten ska vara konstruerad för att stå emot kända cybersäkerhetshot, till exempel genom lösenordsskydd, uppdateringsrutiner och säkra kommunikationsprotokoll. Kravet gäller internetuppkopplade radioprodukter som kan skada nätverk eller störa dess funktion.
• Artikel 3(3)(e) fokuserar på skyddet av personuppgifter. Om produkten samlar in, behandlar eller lagrar personuppgifter måste detta ske på ett säkert och transparent sätt – i linje med GDPR. Det kan innebära funktioner som dataminimering, användarkontroll och kryptering. Kravet gäller t.ex. uppkopplade produkter, babyvakter, leksaker och kroppsburna enheter.
• Artikel 3(3)(f) syftar till att förhindra bedrägerier, särskilt när det gäller produkter som möjliggör betalningar eller andra ekonomiska transaktioner. Här krävs åtgärder som autentisering, dataintegritet och säkra betalningskanaler. Exempelvis uppkopplade betalterminaler eller produkter som hanterar virtuella valutor omfattas.

Tillsammans innebär dessa krav att cybersäkerhet inte längre är ett tillval – det är en nödvändighet för CE-märkning av all radioutrustning som är uppkopplad mot internet, oavsett om uppkopplingen är ständig eller tillfällig, till exempel via en USB-koppling till en dator som i sin tur är ansluten till internet. Det är själva internetanslutningen som avgör, inte hur direkt den är.

Vad händer om kraven inte uppfylls efter 1 augusti 2025?

Om produkten inte uppfyller de nya cybersäkerhetskraven får den inte släppas ut på EU-marknaden efter 1 augusti 2025. Detta gäller även produkter som tidigare varit CE-märkta – varje enhet som sätts ut på marknaden efter detta datum måste vara uppdaterad och uppfylla de nya kraven.

Konsekvenserna kan bli:

• Försäljningsförbud, vilket innebär att produkten måste tas bort från marknaden.
• Återkallelse av produkter, även från kunder, om de anses utgöra en risk.
• Sanktionsavgifter eller andra åtgärder från marknadskontrollmyndigheter.

Det är därför avgörande att inte underskatta omfattningen av förändringen – och att agera i tid.

Självdeklaration möjlig tack vare nya harmoniserade standarder

Det var nära, men arbetet med att ta fram standarder (EN 18031-x) och få dessa harmoniserade av EU-kommissionen hanns med i tid. Den viktigaste konsekvensen av detta är att tillverkare nu kan använda sig av självdeklaration (alltså den enklaste CE-märkningsproceduren) istället för att behöva anlita ett anmält organ.

Detta är särskilt betydelsefullt för mindre företag, eftersom tredjepartsbedömning ofta är både tidskrävande och kostsam. Genom att följa de harmoniserade standarderna kan tillverkaren visa att deras produkt uppfyller kraven, utan att behöva certifieras externt.

Observera dock att självdeklaration endast är möjlig om standarderna tillämpas i sin helhet. Om delar av standarderna inte uppfylls, exempelvis krav på lösenordsskydd eller uppdateringsrutiner, krävs istället att ett anmält organ involveras. Det gäller även om standarden tillåter undantag – om dessa avsteg påverkar säkerhetsmålen, bortfaller presumtionen om överensstämmelse.

Att självdeklarera innebär fortfarande ansvar: tillverkaren måste kunna visa att produkten överensstämmer med kraven, bland annat genom teknisk dokumentation, riskanalys och spårbar utvecklingsprocess.

Vad innehåller standardserien EN 18031?

Standarderna är uppdelade i tre delar – varje del motsvarar en av artiklarna i direktivet:

• EN 18031-1 täcker kraven i artikel 3(3)(d) – alltså nätverksskydd och skydd mot att utrustningen påverkar nätverk negativt.
• EN 18031-2 behandlar artikel 3(3)(e) – skydd av personuppgifter i olika typer av radioutrustning.
• EN 18031-3 riktar sig till utrustning som omfattas av artikel 3(3)(f) – skydd mot bedrägerier vid hantering av pengar eller värde.

Standarderna innehåller detaljerade krav på exempelvis autentisering, hantering av lösenord, skydd av data i vila och under överföring, samt rutiner för sårbarhetshantering och uppdateringar.

Standarderna kan köpas via nationella standardiseringsorgan, t.ex. EVS.ee eller www.sis.se.

Så förbereder du din produkt för de nya kraven

Att uppfylla kraven innebär mer än en sista minuten-insats. Följ dessa steg:

1. Bedöm om kraven enligt RED gäller för din produkt – Läs in dig på kravbilden från förordningen och granska denna FAQ från kommissionen
2. Utför en cybersäkerhetsriskanalys – identifiera vilka hot som är relevanta för produkten.
3. Använd standarderna – implementera tekniska och organisatoriska åtgärder enligt EN 18031-serien.
4. Uppdatera dokumentationen – se till att teknisk fil, riskbedömning, användarinstruktioner och EU-försäkran om överensstämmelse är aktuella.
5. Testa produkten – verifiera att den uppfyller kraven i praktiken.
6. Planera för uppdateringar – etablera rutiner för säkerhetsuppdateringar efter lansering.

Har du redan en produkt som påverkas? Då behöver du uppdatera den – till exempel med en ny mjukvara och uppdaterad dokumentation – för att kunna fortsätta sälja den efter 1 augusti 2025.

Undvik vanliga misstag – börja i tid

Vanliga missförstånd:

• Att man tror att kraven bara gäller nya produkter.
• Att man underskattar vad självdeklaration kräver.
• Att man inte hinner implementera de tekniska kraven i tid.

Tips:

• Påbörja riskanalys och dokumentationsarbete tidigt.
• Tolka standarderna strikt – avsteg kräver anmält organ.
• Dokumentera alla cybersäkerhetsåtgärder

Vad händer i framtiden?

För internetuppkopplade radioenheter kommer fler krav på cybersäkerhet i framtiden, nämligen Cyberresiliensakten (CRA). De delegerade akter som används för att implementera kraven under 3(3) kommer ersättas av kraven i CRA när den ska börja tillämpas 11 December 2027. Det är alltså viktigt att fortsätta sitt cybersäkerhetsarbete efter att kraven i RED uppfyllts. 

Sammanfattning

Cybersäkerhet är nu en obligatorisk del av CE-märkningen för många radioprodukter. Det gäller produkter som är uppkopplade mot internet, behandlar personuppgifter eller hanterar digitala transaktioner. Genom att följa EN 18031-serien kan tillverkare använda självdeklaration men bara om standarderna uppfylls till fullo.

Har du frågor om hur kraven påverkar just din produkt? Kontakta oss så hjälper vi dig att ta reda på det.