Kompletterande bestämmelser till EU:s cyberresiliensförordning (SOU 2025:115)

dnr 2026-10649

Digg stödjer utredningens förslag och bedömningar i betänkandet och instämmer anser att kompletterande bestämmelser är viktiga tillägg till cyberresiliens förordningen från EU.

Förordningen kan långsiktigt komma att bidra till att säkrare digitala produkter och element tillverkas i framtiden och därmed leder det till ökad kvalitet, trygghet, tillit och säkerhet för många aktörer i samhället.

Digg lämnar följande kommentarer gällande betänkandet av utredningen.

Kapitel 6.9 Tillgång till organ för bedömning av överensstämmelse

Digg har i andra sammanhang uppmärksammat att det kan råda brist på sådana organ, exempelvis när det gäller certifiering av digitala identitetsplånböcker. Digg är positiv till att PTS ges ett sådant uppdrag.
Det kan dock finnas skäl att överväga en bredare utformning, så att uppdraget generellt omfattar tillgången till organ för bedömning av överensstämmelse inom cybersäkerhetsregleringen, och inte begränsas till ett enskilt regelverk.

Kapitel 12.5 Stöd till företag gällande regelefterlevnad av EU:s cyberresiliensförordning

Digg vill uppmärksamma behovet av ökat stöd till statliga myndigheter gällande regelefterlevnad för den nya förordningen.

Bilaga2 EU-förordningen och flertalet artiklar men 13, 24, 25 och 26

Digg ser behov av förtydliganden och stöd i form av vägledningar och föreskrifter som beskriver mer konkret förutsättningarna kring framtida utveckling av säkra tjänster och produkter med digitala element baserade på programvaror med fri och öppen källkod.

• Betänkandet behandlar endast i begränsad utsträckning hur tillverkare i praktiken ska hantera sitt ansvar när centrala komponenter i en produkt består av fri och öppen programvara utan avtalsbunden supportrelation.
  Det innebär att tillverkaren bär ett tydligt ansvar för riskhantering och sårbarhetshantering även när produkten innehåller integrerade komponenter baserade på fri och öppen programvara.
• Svenska tillverkare, offentliga aktörer och andra berörda behöver mer praktiskt inriktat stöd om hur beroenden till fri och öppen programvara bör hanteras, exempelvis i frågor om ansvarsfördelning, patchhantering, samverkan med projekt, avtal, upphandling och stödformer för samhällsviktiga komponenter.
• I praktiken kan detta vara svårt när komponenten bärs av enskilda utvecklare eller små projekt utan kommersiella åtaganden. Det finns ett praktiskt glapp mellan tillverkarens rättsliga ansvar och de faktiska möjligheterna att få genomfört åtgärder i öppna projekt utan kommersiella åtaganden. Mot denna bakgrund anser Digg att det fortsatta svenska genomförandearbetet bör kompletteras med mer konkret nationell vägledning.

Engelska sammanfattningen av utredningen och Bilaga 3

Digg ser positivt på att det införs en särskild, mer begränsad reglering för den aktörskategori som i CRA benämns open-source software steward men vi vill särskilt uppmärksamma översättningen av rollen open-source software steward till förvaltare av programvara med fri och öppen källkod.

• I svensk praxis används begrepp som förvaltare och maintainer ofta bredare för personer eller organisationer som underhåller eller ansvarar för ett öppet programvaruprojekt. CRA avser däremot en snävare juridisk kategori: en juridisk person, annan än en tillverkare, som systematiskt och varaktigt stöder utvecklingen av vissa produkter avsedda för kommersiell verksamhet och säkerställer deras bärkraft.
• Den svenska termen riskerar att sammanblandas med den vidare och etablerade användningen av förvaltare inom området fri och öppen programvara. Man bör därför i vägledning tydligt klargöra att CRA:s särskilda roll inte motsvarar alla som i praktiken förvaltar eller underhåller fri och öppen programvara.
• Det bör övervägas att i vägledande och förklarande material använda en mer ändamålsenlig svensk benämning, exempelvis stödorganisation för fri och öppen programvara, för att tydligare markera att det rör sig om en särskild juridisk kategori enligt CRA, och inte om förvaltare i allmän mening.

Detta yttrande har beslutats av generaldirektör Anna Eriksson. I den slutliga handläggningen har säkerhetschef/säkerhetsskyddschef Daniel Silvborn deltagit.

Föredragande har varit informationssäkerhetsspecialist Anders Nordlander.

Anna Eriksson