EU’s nye lov rammer alle tilsluttede apparater

Om mindre end tre måneder skal producenter af routere, smart-TV og andre netværkstilsluttede produkter for første gang indberette sikkerhedssårbarheder direkte til EU. Det er det første konkrete skridt i den såkaldte Cyber Resilience Act (CRA), den nye forordning, der skal tvinge producenter til at tage ansvar for sikkerheden på de millioner af tilsluttede apparater, danskerne har stående i hjemmet.

Loven trådte i kraft 10. december 2024, men de tunge krav rulles ud i etaper. Det første store skridt er rapporteringspligten, der ifølge Europa-Kommissionen gælder fra 11. september 2026. Fuld håndhævelse kommer 11. december 2027.

Hvad rammer loven konkret

CRA dækker alt det, Kommissionen kalder produkter med digitale elementer — altså software og hardware med forbindelse til andre apparater eller netværk. I praksis betyder det routere, IP-kameraer, smarte stikkontakter, smart-TV, smarte køleskabe, babyalarmer, smartwatches og apps, oplyser Europa-Kommissionen.

Fra september 2026 skal producenten sende en tidlig advarsel inden for 24 timer efter at have opdaget en aktivt udnyttet sårbarhed, en fuld notifikation inden for 72 timer og en endelig rapport senest 14 dage efter, at en rettelse er klar. Notifikationen sker via en fælles EU-platform og deles automatisk med ENISA, EU’s cybersikkerhedsagentur.

Fem år med sikkerhedsopdateringer

Det er dog Artikel 13 og kravet om en garanteret supportperiode, der reelt ændrer, hvad du kan købe i butikkerne. Producenten skal levere sikkerhedsopdateringer i mindst fem år fra den dag, produktet kommer på markedet. Forventes apparatet at have en længere levetid, skal supportperioden følge med.

Det betyder, at den billige overvågningsboks eller den smarte pære fra en ukendt producent, der i dag forsvinder ud af butikkernes hylder uden så meget som en firmware-opdatering, ikke længere kan sælges lovligt i EU efter 11. december 2027. Hvert produkt skal CE-mærkes på baggrund af en overensstemmelsesvurdering, og slutdatoen for supporten skal fremgå tydeligt ved købet.

Op til 15 millioner euro i bøde

Producenter, der ikke overholder de grundlæggende cybersikkerhedskrav eller rapporteringspligten, kan ifølge advokatfirmaet White & Case straffes med bøder på op til 15 millioner euro eller 2,5 procent af den globale årsomsætning, alt efter hvad der er højest. Forkert eller vildledende information til myndighederne kan koste op til 5 millioner euro.

Ansvaret ligger hos producenten, importøren eller distributøren, ikke hos forbrugeren. Køber du som privatperson et apparat, der ikke lever op til kravene, er det den, der sælger eller markedsfører det i EU, der hænger på regningen.

Et marked under pres

Behovet for loven er ikke teoretisk. Sikkerhedsfirmaerne Bitdefender og Netgear opgjorde i en rapport fra oktober 2025, at de mellem januar og oktober samme år registrerede 13,6 milliarder angreb mod tilsluttede hjemmeapparater og blokerede 4,6 milliarder forsøg på at udnytte konkrete sårbarheder. Et gennemsnitligt smart home blev udsat for knap 30 angrebsforsøg om dagen.

Streaming-bokse, smart-TV og IP-kameraer står ifølge rapporten for over halvdelen af de kendte sårbarheder. Routere udgør en særskilt risiko, fordi de typisk har adgang til hele hjemmenetværket og samtidig kører på software, der sjældent opdateres efter de første år.

Når CRA er fuldt indfaset i december 2027, skal de billige produkter uden opdateringer være væk fra butikkernes hylder — eller leve op til de samme regler som etablerede mærker. For forbrugerne betyder det færre billige tilbud fra ukendte producenter, men også at den smartwatch eller babyalarm, der står i kurven, er forpligtet til at få sikkerhedsopdateringer i flere år frem.