Affärsmöjligheter för anmälda organ enligt CRA

För anmälda organ finns avsevärda affärsmöjligheter tillgängliga eftersom det eventuellt finns en hel del produkter i Europa som kräver bedömning. Otillräckliga resurser för bedömningsorgan är en risk för att produkterna ska komma in på marknaden. 

Bestämmelser om anmälda organ börjar tillämpas 18 månader från det att förordningen trätt i kraft, dvs. den 11 juni 2026. 

På denna sida beskrivs hur ett bedömningsorgan för överensstämmelse med krav kan ansöka om godkännande till ett anmält organ som avses i Europeiska unionens cyberresiliensförordning (EU) 2024/2847 (nedan CRA). Vi kompletterar närmare anvisningar på sidorna när kraven preciseras.

Så här ansöker du om att bli anmält organ enligt CRA

Godkännandet som anmält organ förutsätter att organet uppfyller alla tillämpliga krav i EU-lagstiftningen och standarderna. Att kraven uppfylls visas genom ett förfarande i två steg, dvs. 

1. genom ackreditering, dvs. genom att bevisa kompetens och 
2. genom en förklaring av den anmälande myndigheten.

Ackreditering betyder ett certifikat beviljat av ett nationellt ackrediteringsorgan om att organet för bedömning av överensstämmelse uppfyller de tillämpliga kraven som angetts genom harmoniserade standarder. Om ackrediteringen föreskrivs i Europaparlamentets och rådets förordning (EU) nr 765/2008 (nedan NLF-förordningen). Ackreditering är enligt NLF-förordningen det bästa sättet att styrka dessa organs kompetens. Det nationella ackrediteringsorganet i Finland är FINAS.

Med en förklaring av den anmälande myndigheten avses den information och de handlingar på basis av vilka myndigheten kan fatta beslut. Anmälan som anmält organ ska alltså lämnas till den anmälande myndigheten. När den anmälande myndigheten fattar sitt beslut använder den FINAS-ackrediteringstjänstens ackreditering till organet. 

Den anmälande myndigheten svarar för att uppgifterna om anmälda organ förs i Europeiska kommissionens databas NANDO. Anmälningsförfarandet preciseras i artikel 43 i CRA. Den anmälande myndigheten ser över de anmälda organens verksamhet.

Det nationella genomförandet av CRA pågår. I det nationella genomförandet föreskrivs bland annat om CRA:s myndighetsuppgifter, t.ex. om den anmälande myndighetens uppgift. Det är möjligt att följa upp genomförandet i projektfönstret.

Kraven för det anmälda organet

Det anmälda organet har, 

1. utöver kompetenskraven, dvs. krav som gäller ackreditering, andra krav
2. som uppställts i CRA. Om dessa skyldigheter föreskrivs i artikel 39, 49 och 51 i CRA samt i bilaga VIII.
3. De anmälda organens uppgift anses i Finland vara ett offentligt förvaltningsuppdrag, vilket betyder att det anmälda organet ska iaktta de allmänna lagarna inom förvaltning. 

Det anmälda organets personal ska ha tillräcklig kunskap om och förståelse för de väsentliga cybersäkerhetskrav som fastställs i bilaga I till CRA, tillämpliga harmoniserade standarder och gemensamma specifikationer samt bestämmelserna i den relevanta unionslagstiftningen om harmonisering och i genomförandeakter.

CEN-CENELEC och ETSI har börjat bereda harmoniserade standarder för CRA. Företagen kan delta i standardiseringsarbetet, vilket är ett gott sätt att påverka kraven och förbereda sig för verksamheten som anmält organ. 

SFS Finska Standarder rf (SFS), Sesko och Traficom samordnar standardiseringen i Finland. Det är bra att beakta att standardiseringsarbetet eventuellt kan vara avgiftsbelagt.