CRA-stöd — bygg säkert utan att bromsa

Vi hjälper utvecklingsteam möta Cyber Resilience Act som en biprodukt av god ingenjörskonst. Kickstart med ASVS-baseline och löpande stöd som följer er hela vägen till 2027.

Om tjänsten

Cyber Resilience Act har redan trätt i kraft. De stora skyldigheterna fasas in stegvis fram till 2027. Det betyder att rätt tidpunkt att förbättra arbetssättet är nu, medan ni fortfarande kan göra det i lugn takt.

Vi börjar inte i regelverket. Vi börjar i produkten. Med OWASP som arbetsverktyg bygger vi säkerheten in i hur teamet jobbar varje vecka. När säkerheten finns inbyggd blir efterlevnaden en biprodukt av god ingenjörskonst — inte ett separat projekt vid sidan av utvecklingen.

CRA-stödet kommer i två delar. En kickstart där vi sätter ASVS-baseline, kartlägger nuläget och tar fram en konkret backlog. Och ett löpande stöd där vi följer teamet månad för månad — med ASVS-genomgångar, regulatorisk bevakning och sparring i konkreta beslut.

Det här är inte ett dokumentationsprojekt som ska bockas av. Program och pärmar löser inte problemet — det krävs en process som ser till att säkerhet faktiskt byggs in i produkten över tid. Det är där löpande stöd skiljer sig från ett engångsprojekt.

Grundprincip

Bygg säkert. Dokumentationen kommer som biprodukt.

Arbetssätt först. Dokumentation som biprodukt. Säkerhet hela vägen.

Utmaningen

Varför CRA-projekt går snett

01

Förordningen som checklista

Team stressas att börja i lagtexten istället för i produkten. Säkerhet blir ett dokumentationsprojekt vid sidan av utvecklingen, inte en egenskap hos produkten.

02

OWASP utan styrning

ASVS, Cheat Sheets och SAMM finns gratis på internet. Men utan löpande styrning används de osystematiskt, av enstaka utvecklare, och försvinner när någon byter team.

03

Granskning utan spårbarhet

När granskaren frågar hur säkerhet byggdes in finns svaret muntligt eller i någons huvud. Underlaget för faktiska beslut saknas, även om dokumenten ser snygga ut.

Resultatet blir compliance på papper — inte i produkten.

CRA-stöd

Två vägar in i CRA-arbetet

Tidsram 4–6 veckor

CRA Kickstart

Engångsinsats för att etablera en ASVS-baseline och konkret backlog. Ni får en bild av var ni står mot CRA och vilka kontroller som ska prioriteras först. Bra startpunkt även om ni inte planerar löpande stöd direkt.

  1. 1

    Snabbintervjuer

    Tech lead, säkerhetsansvarig och produktägare. Vi lär känna produkten, arkitekturen och hur teamet faktiskt fattar beslut idag.

  2. 2

    ASVS-baseline

    Välj ASVS-nivå utifrån produkt och risk. Kartlägg vad ni redan gör. Identifiera och prioritera gap.

  3. 3

    SAMM-mognadsbedömning

    Lätt SAMM-bedömning som ger en bild av var ni står över tid — inte bara en ögonblicksbild.

  4. 4

    Backlog och ledningsrapport

    Konkret backlog med prioriterade kontroller och arbetssätt. Ledningsrapport med nuläge mot CRA, riskbild och plan framåt.

Boka CRA Kickstart
Tidsram Löpande, 3/6/12 mån

CRA Sustain

Löpande stöd som följer ert team månad för månad. ASVS-genomgångar, regulatorisk bevakning och sparring i konkreta beslut. Bygger upp efterlevnaden över tid istället för i en panikinsats inför granskning.

  1. 1

    Månadsvis touch point

    Tech lead och security champion möts med oss varje månad. Vi går igenom vad som händt, vad som väntar och vilka beslut som behöver tas.

  2. 2

    Kvartalsvis ASVS-genomgång

    Större genomgång där vi uppdaterar gap-status, justerar prioritering och bjuder in fler från teamet. SAMM-mognaden mäts på nytt.

  3. 3

    Regulatorisk bevakning

    Ändringar i CRA-tekniska standarder (ETSI/CEN-CENELEC), ENISA-vägledning och relevanta CSIRT-publikationer sammanfattas och översätts till handlingsbara förslag.

  4. 4

    Beslut i vardagen

    När teamet står inför ett konkret val — hur ska vi hantera detta? — finns vi som sparringpartner via Cheat Sheets och ASVS.

  5. 5

    Beredskap inför granskning

    När det blir aktuellt finns dokumentationsstödet redan på plats. Vi svarar granskaren tillsammans med er, inte istället för er.

Kontakta oss

Jämförelse

CRA Sustain jämfört med ett typiskt engångsprojekt

Tempo

Typiskt engångsprojekt

Stort projekt, sedan tyst

Verit CRA Sustain

Löpande, lågt tempo, hög närvaro

Fokus

Typiskt engångsprojekt

Producera dokument

Verit CRA Sustain

Arbetssätt som producerar dokument som biprodukt

Standard

Typiskt engångsprojekt

Bygger eget ramverk

Verit CRA Sustain

OWASP (ASVS, Cheat Sheets, SAMM)

Regulatorik

Typiskt engångsprojekt

Färsk vid leverans, åldras sedan

Verit CRA Sustain

Bevakad löpande, ni får uppdateringar

Granskningsberedskap

Typiskt engångsprojekt

Snabbinsats inför audit

Verit CRA Sustain

Spårbar dokumentation byggd över tid

Värdet över tid

Typiskt engångsprojekt

Sjunker när rapporten åldras

Verit CRA Sustain

Stiger när teamets mognad växer

Så ser det ut i praktiken

Från CRA-oro till spårbar mognad

Anonymiserat produktteamscase. Så här ser löpande CRA-stöd ut i vardagen.

01

Utgångsläge

Vet att CRA kommer, vet inte var de står

Ett produktteam med en SaaS-produkt på EU-marknaden visste att Cyber Resilience Act fasas in fram till 2027. De hade läst förordningen, blivit oroliga, och försökt börja i dokumentationsänden — utan att veta vilka kontroller produkten faktiskt uppfyllde.

02

Insats

ASVS-baseline plus löpande sparring

Vi satte en ASVS-baseline anpassad till produktens risk och kartlade vad teamet redan gjorde. Cheat Sheets blev en naturlig referens i kodgranskningar. Månadsvis touch point med tech lead och security champion höll mognaden synlig — istället för att ligga och samla damm i ett dokument.

03

Resultat

Efterlevnad byggd över tid, ingen panik

Efter sex månader hade teamet en konkret backlog där tre fjärdedelar av ASVS-kontrollerna var avbockade. Dokumentationen producerades automatiskt som biprodukt av kodgranskningarna. När granskningsfrågan kom ett halvår senare fanns underlaget redan — inte i en pärm, utan i hur teamet faktiskt arbetade.

Leverans

Vad teamet och ledningen får ut av CRA-stödet

  • En ASVS-nivå anpassad till er produkt och risk — inte en generisk checklista.

  • En konkret backlog av prioriterade kontroller, inte en lista med ord.

  • Cheat Sheets integrerade i teamets vardagliga beslut, så säkra val blir det enkla valet.

  • SAMM-mognad uppmätt och spårad över tid — så att förbättringen är synlig, inte påstådd.

  • Regulatorisk bevakning utan att teamet behöver läsa förordningstexten.

  • Spårbar dokumentation byggd som biprodukt av utvecklingen, inte som ett separat spår.

  • En extern part som kan svara granskaren tillsammans med er — inte en konsult som försvunnit.

  • Förutsägbar månadskostnad istället för stort projekt vart annat år.

Behöver ni även stöd på organisations- och driftnivå kompletterar vi med NIS2-arbete eller CISO-as-a-Service. CRA-stödet är fokuserat på produkten.

Relaterade tjänster

Vanliga frågor

Frågor vi får från produktteam och ledning

Måste vi vara certifierade enligt något för CRA?

Nej. Men ASVS- och SAMM-arbetet ger evidens som granskaren kan utgå från — konkreta kontroller och spårbar mognad istället för en pärm med ord.

Vi har redan en konsult som gör vår NIS2. Krockar det?

Nej. NIS2/cybersäkerhetslagen handlar om organisation och drift. CRA handlar om produkten ni säljer. De kompletterar varandra och vi koordinerar gärna med er befintliga NIS2-rådgivare.

Behöver hela utvecklingsteamet vara involverat löpande?

Nej. Ofta räcker tech lead plus en security champion på månadsmötet. Större genomgångar görs kvartalsvis med fler i teamet inbjudna.

Vad händer 2027 om vi inte är redo?

Sanktioner kan utdömas och produkter kan dras tillbaka från EU-marknaden. Hela poängen med löpande stöd är att ni inte ska hamna där — ni bygger mognaden över tid istället för i en panikinsats sista året.

Senast uppdaterad: juni 2026.

Redo att börja?

Boka 30 min CRA-check. Ett kort kvalificeringssamtal där vi tillsammans ser var ni står idag och om CRA-stödet är rätt för er produkt.

Boka 30 min CRA-check