Sluta jaga CRA. Börja bygga säkert.

Cyber Resilience Act har redan trätt i kraft. De stora skyldigheterna fasas in stegvis fram till 2027, vilket kan låta som att det finns gott om tid. Det gör det inte riktigt. Det betyder snarare att rätt tidpunkt att förbättra arbetssättet är nu, medan ni fortfarande kan göra det i lugn takt och inte under press.

Det vanligaste misstaget är att börja i regelverket. Man läser CRA, blir orolig och frågar sig hur man ska bli compliant. Det är en begriplig reaktion, men det är ofta fel utgångspunkt. När en förordning blir startpunkten förvandlas säkerhet till ett dokumentationsprojekt som ska bockas av, i stället för en egenskap hos produkten.

En liten sak innan vi går vidare. Du behöver inte vara utvecklare för att hänga med i den här texten. Varje begrepp förklaras på vägen.

Vänd på ordningen

Börja med security by design i stället. Bygg säkert för att ni vill ha en bra och pålitlig produkt, inte för att en myndighet kräver det. När säkerheten finns inbyggd i hur ni arbetar, blir efterlevnaden betydligt enklare att visa senare. Ni gör inte två jobb. Ni gör ett jobb ordentligt, och dokumentationen blir en biprodukt av det.

Det här är ingen teoretisk hållning. Det är så de team som lyckas bäst med regelefterlevnad faktiskt arbetar. De jagar inte kraven i efterhand. De har redan byggt det mesta som kraven beskriver, eftersom det helt enkelt är god ingenjörskonst.

Här kommer OWASP in

OWASP är en ideell gemenskap som tagit fram fria och praktiknära standarder för säker utveckling. Materialet är skapat av personer som faktiskt bygger, granskar och säkrar system i verkligheten. Det är inte juridik som ska tolkas, utan kunskap som går att använda direkt i vardagen.

Tre delar är särskilt användbara för den som vill komma igång.

ASVS ger konkreta säkerhetskrav att bygga och verifiera mot, nivå för nivå. I stället för en vag ambition att vara säker får teamet en lista med kontroller som går att kryssa av och testa. Det blir tydligt vad som är gjort och vad som återstår.

Cheat Sheets översätter säkerhetsprinciper till praktiska beslut i vardagen. När en utvecklare står inför ett konkret val, till exempel hur lösenord ska hanteras eller hur indata ska valideras, finns ett kortfattat och pålitligt svar att luta sig mot.

SAMM hjälper er mäta och mogna säkerhetsarbetet över tid. Det ger en bild av var ni står i dag och en realistisk väg framåt, så att förbättringarna sker stegvis i stället för i ett enda stort lyft.

Det fina är att dessa tre verktyg hänger ihop. ASVS säger vad som ska uppnås, Cheat Sheets hjälper teamet fatta rätt beslut längs vägen, och SAMM håller koll på att helheten mognar i rätt riktning.

Vad som händer när teamet arbetar så här

Något förändras i hur CRA känns. Förordningen slutar vara ett kommande efterlevnadsprojekt att panikhantera och blir i stället en bekräftelse på arbete ni redan gör.

Kraven känns igen, eftersom ni redan arbetar med många av de principer och processer som förordningen bygger på. Efterlevnaden blir enklare att visa och dokumentera, snarare än ett separat spår vid sidan av utvecklingen. När en granskare frågar hur ni hanterar sårbarheter eller verifierar säkerhetskrav, finns svaret redan i hur ni arbetar. Ni behöver inte uppfinna det i efterhand.

Det är värt att vara ärlig om en sak. OWASP ersätter inte juridisk tolkning. Det finns delar av CRA som handlar om formella skyldigheter, rapportering och ansvar, och där behövs annan kompetens. Men för den tekniska kärnan, alltså hur ni faktiskt bygger och säkrar produkten, ger OWASP teamet något mer användbart än en lagtext. Konkreta arbetssätt, kontroller och beslut som går att omsätta direkt.

Så tar ni första steget

Att börja behöver inte vara stort. Ett rimligt första steg är att titta på ASVS och välja en nivå som passar er produkt och er risk. Gå igenom listan tillsammans med teamet och markera vad ni redan gör. Många blir förvånade över hur mycket som redan är på plats. Det som inte är klart blir en konkret backlog i stället för en vag oro.

Parallellt kan ni göra Cheat Sheets till en naturlig referens i utvecklingsarbetet, så att säkra beslut blir det enkla valet i vardagen. SAMM kan vänta tills ni vill ta ett mer strukturerat grepp om mognaden över tid.

Poängen är att vända på frågan. Sikta inte enbart på att klara CRA. Sikta på att bygga säkert med OWASP som stöd. Då har ni redan lagt grunden för en stor del av efterlevnaden, och resten blir betydligt mindre skrämmande.

Vill ni komma igång men inte vet var ni ska börja, hör av er så hjälper jag er hitta rätt första steg.