Den næste gang du lægger en smart dørklokke, en babyalarm med app eller et nyt mesh-wifi i kurven, køber du ikke kun design og funktioner – du køber også et ansvarligt sikkerhedsniveau, som snart afgør, om produktet overhovedet må sælges i EU.
I 2026 vil EU’s Cyber Resilience Act (CRA) være en af de vigtigste grunde til, at nogle forbundne produkter forsvinder fra hylderne, mens andre får tydelige løfter om opdateringer, sårbarhedshåndtering og sikker standardkonfiguration. I denne artikel får du en praktisk forklaring af, hvad CRA betyder for de produkter, forbrugere faktisk køber: smarte hjemmeprodukter, wearables, routere og IoT-gadgets. Du lærer, hvad “embedded software” er i praksis, hvorfor ansvaret nu går hele vejen ned i forsyningskæden, og hvilke signaler der adskiller brands, der er klar, fra dem der halter.
Kort definition: Cyber Resilience Act er en EU-forordning, der stiller bindende cybersikkerhedskrav til digitale produkter med software (inkl. hardware med embedded software) gennem hele produktets livscyklus – fra design og udvikling til sårbarhedshåndtering og sikkerhedsopdateringer. Det betyder noget, fordi kravene påvirker både lovlighed (CE-markering/markedstilgang) og den reelle sikkerhed for de produkter, du forbinder til dit hjem, din krop og dit netværk.
Hvorfor CRA pludselig er relevant for shopping og livsstil
For få år siden var “cybersikkerhed” noget, man forbandt med virksomheder, it-afdelinger og antivirus. Men i 2026 er den typiske husstand fyldt med forbundne enheder: kameraer, højttalere, låse, termostater, luftkvalitetssensorer, robotstøvsugere, ure, ringe, cykelcomputere og ikke mindst routere og mesh-systemer, der binder det hele sammen. Når et produkt er forbundet, kan fejl i softwaren blive til konkrete hverdagsproblemer: overvågning via kamera, misbrug af mikrofon, datalæk fra sundhedsdata, eller at hjemmenetværket bliver springbræt til andre angreb.
CRA flytter derfor cybersikkerhed fra “nice to have” til et markedsadgangskrav. Forhandlere og brands skal kunne dokumentere, at produktet er designet og leveret med et acceptabelt sikkerhedsniveau. For dig som forbruger betyder det, at du i højere grad kan (og bør) forvente: sikre standardindstillinger, tydelig info om opdateringer, og at kendte sårbarheder ikke bare ignoreres.
Hvad er embedded software – og hvorfor er det overalt i 2026?
Embedded software er software, der er indbygget i en fysisk enhed for at styre dens funktioner. Det kan være alt fra firmwaren i en router til styresoftwaren i en smart lås eller sensorerne i et smartwatch. Det er ofte usynligt for brugeren, men det er netop her, mange sikkerhedsproblemer opstår, fordi embedded software traditionelt er blevet opdateret sjældent, dokumenteret sparsomt og udviklet under tidspres.
Konkrete eksempler fra produkter, du faktisk køber
- Routere og mesh-wifi: firmware, webinterface, app-integration og cloud-styring.
- Smarte kameraer og dørklokker: billedbehandling, streaming, lagring og fjernadgang.
- Wearables: sensorstyring, Bluetooth-stak, synkronisering og konto-login.
- Smart belysning og hubs: Zigbee/Thread/Wi‑Fi-kommunikation og automatiseringslogik.
- Robotstøvsugere: kortlægning, fjernstyring og integration til stemmeassistenter.
Hvorfor embedded er sværere at sikre end en app
En mobilapp kan opdateres ugentligt via en app-store. Embedded software kan være bundet til specifikke chips, drivere og leverandørbiblioteker, og opdateringsmekanismen kan være sårbar i sig selv. I praksis ser jeg ofte tre gentagende problemer i produktteams: manglende overblik over tredjepartskomponenter (open source), uklare processer for sårbarhedsfix, og en opdateringspipeline, der ikke er designet til at være robust i drift. CRA presser på for at få disse områder professionaliseret.
Fra “funktion først” til “security by design” i produktudvikling
CRA tvinger producenter til at tænke sikkerhed ind tidligere. Det er ikke længere nok at “patch’e senere”, når en journalist eller en sikkerhedsforsker finder et hul. I udviklingsforløb betyder det, at krav til autentifikation, kryptering, adgangsstyring, logging og sikker opdatering skal være en del af produktets definition – ikke et eftertænkt add-on.
For forbrugeren bliver konsekvensen mærkbar i den måde, produkter lanceres på. Du vil se færre “billige” connected produkter, der kommer på markedet uden moden softwareproces, og flere produkter hvor opdateringsløfter, sårbarhedsprogrammer og dokumentation bliver en del af salgsargumentet – fordi det i praksis er en forudsætning for at kunne distribuere lovligt og skalere i EU.
Forsyningskæden: ansvaret stopper ikke ved brandet på æsken
Et moderne IoT-produkt består sjældent af én leverandør. Der er chipset-producent, firmwareleverandør, cloud-platform, mobilapp, open source-komponenter, og ofte en ODM/OEM der bygger hardwaren. CRA lægger pres på den virksomhed, der bringer produktet på EU-markedet, men i praksis betyder det, at hele kæden må kunne levere dokumentation og reagere hurtigt på sårbarheder.
Det er her, sammenhængen mellem produktsikkerhed og cybersikkerhed bliver konkret: Et produkt kan være fysisk sikkert og flot designet, men hvis softwarekomponenterne ikke kan vedligeholdes sikkert, eller hvis leverandørerne ikke kan dokumentere deres sikkerhedsarbejde, bliver produktet et compliance-problem – og i sidste ende et forbrugerproblem.
Hvad betyder “leverandøransvar” i praksis?
For brands og producenter handler det om at kunne svare på spørgsmål som: Hvilke komponenter indgår? Hvilke kendte sårbarheder findes der? Hvordan opdaterer vi sikkert? Hvem modtager og triagerer sårbarhedsrapporter? Hvad gør vi, hvis en underleverandør ikke kan levere en patch? Det er ikke teori; det er de spørgsmål, der afgør, om en sårbarhed bliver lukket på dage eller på måneder.
Dokumentation, som seriøse aktører allerede bygger ind
- Komponentoverblik (ofte i form af en SBOM: Software Bill of Materials).
- Proces for sårbarhedshåndtering og offentlig rapportering.
- Sikker opdateringsmekanisme (signering, integritetskontrol, rollback-beskyttelse).
- Politik for support- og opdateringsperiode, så kunder ved, hvor længe produktet vedligeholdes.
- Test- og kvalitetssikring, der inkluderer sikkerhed (f.eks. scanning og review af afhængigheder).
Hvilke produktkategorier bliver mest påvirket i 2026?
CRA rammer bredt, men nogle kategorier vil du især mærke i webshops og elektronikbutikker, fordi de både er populære og teknisk komplekse. Routere og netværksudstyr er oplagte, fordi de er “nøglen” til hjemmenetværket. Smarte låse og adgangssystemer er kritiske, fordi et kompromis kan have fysisk konsekvens. Wearables og sundhedsorienterede gadgets håndterer ofte følsomme data, og kameraer/mikrofonenheder har et åbenlyst privatlivsaspekt.
- Routere, mesh og smart gateways (inkl. forældrekontrol og cloud-administration).
- Smarte låse, alarmer og adgangskontrol (apps, nøgledeling, gæsteadgange).
- IP-kameraer, babyalarmer og dørklokker (streaming, lagring, fjernadgang).
- Wearables (Bluetooth, konto-login, synkronisering, sundhedsdata).
- Smart home-hubs og automationsplatforme (integrationer, tredjepartsplugins).
- Connected appliances (hvidevarer med Wi‑Fi, energistyring, fjernservice).
Du vil også se påvirkning i “billig IoT”: små sensorer, trackere og gadgets, som tidligere kunne sælges med minimal opfølgning. Når kravene til sårbarhedshåndtering og opdatering skærpes, bliver det sværere at drive en forretning på engangsprodukter med kort levetid og ingen support.
Hvad skal du som forbruger kigge efter, når du køber connected produkter?
CRA gør det lettere at stille krav, men du får stadig mest værdi ved at vælge brands, der allerede arbejder modent. I praksis kan du bruge enkle signaler til at vurdere, om et produkt sandsynligvis bliver vedligeholdt sikkert.
En tjekliste, der fungerer i butikken og online
- Opdateringsløfte: Står der tydeligt, hvor længe produktet får sikkerhedsopdateringer?
- Sikker standardopsætning: Tvinges du til at ændre standardkode eller oprette unik adgang ved første brug?
- To-faktor-login: Understøtter app/konto 2FA, især for kameraer og låse?
- Gennemsigtighed: Har brandet en side om security, advisories eller vulnerability disclosure?
- Lokalt vs. cloud: Kan kernefunktioner virke lokalt, hvis cloud lukker ned, og hvad sker der med data?
- Historik: Kan du finde tidligere firmwareopdateringer og changelogs, eller er alt “stille”?
Hvad “koster” CRA for dig?
Den direkte pris kan blive lidt højere på nogle kategorier, fordi sikre opdateringssystemer, test, dokumentation og support ikke er gratis. Men i praksis betaler du ofte allerede – bare på en dårlig måde – når billige produkter bliver forladt uden opdateringer, eller når du må udskifte udstyr tidligt. CRA skubber markedet mod færre “engangsenheder” og mere forudsigelig levetid. For virksomheder betyder det også, at budgetter flytter fra ren feature-udvikling til vedligeholdelse og sikker drift, hvilket typisk giver mere stabile produkter.
Typiske faldgruber for brands og forhandlere – og hvordan de undgås
Selv seriøse virksomheder kan snuble, især hvis de har mange varianter, flere underleverandører eller hurtige produktcyklusser. De mest almindelige fejl jeg ser, når organisationer skal gøre connected produkter klar til skærpede krav, handler sjældent om “manglende vilje” – men om manglende processer og ejerskab.
- Uklare opdateringsperioder: Hvis ingen “ejer” supportpolitikken, ender den som en vag formulering. Løsning: fastlæg minimumsperiode pr. produktkategori og publicér den.
- Ingen SBOM eller komponentstyring: Uden overblik kan man ikke reagere på nye sårbarheder. Løsning: indfør SBOM som leverancekrav til leverandører.
- Patch-flaskehalse hos underleverandører: Når en chip- eller firmwareleverandør er langsom, rammer det hele produktet. Løsning: kontraktkrav til responstid og eskalationsveje.
- Usikker OTA-opdatering: Opdateringer uden signering eller integritetskontrol kan misbruges. Løsning: sikker bootkæde, signering og beskyttelse mod rollback.
- “Shadow cloud”: Funktioner afhænger af tredjepartscloud uden plan B. Løsning: kortlæg afhængigheder og design fail-safe adfærd.
Forhandlere har en særlig rolle, fordi de kan blive fanget mellem producentens løfter og kundens forventninger. I 2026 vil det være en konkurrencefordel at kunne beskrive sikkerheds- og supportforhold tydeligt i produkttekster, på samme måde som man i dag beskriver energimærker, materialer og garanti.
Sådan ændrer CRA udvalget i webshops og på hylderne i 2026
Du vil sandsynligvis opleve tre markante ændringer i shoppingoplevelsen. For det første bliver produktinformation mere standardiseret omkring opdateringer og sikkerhed, fordi brands får behov for at kommunikere det klart. For det andet vil nogle “white label”-produkter og ultrabillige importsager blive sværere at finde, fordi compliance-arbejdet ikke kan betale sig uden volumen og supportapparat. For det tredje vil kategorier som routere, kameraer og adgangskontrol få et kvalitetsløft, fordi det er de mest risikofyldte produkter at lade sejle.
Hvis du handler til hjemmet, betyder det også, at du kan prioritere anderledes: Måske vælger du en lidt dyrere router, fordi den har dokumenteret opdateringshistorik og et klart supportløfte, og så kan du tillade dig at købe billigere sensorer, der kun har begrænset adgang og ingen følsomme data. CRA ændrer ikke, at du skal lave en risikovurdering som forbruger – men den hæver gulvet for, hvad der er acceptabelt at sælge.
