Från och med 1 augusti 2025 gäller skärpta krav på cybersäkerhet för vissa typer av radioutrustning. Kraven syftar till att skydda:
- nätverk
- personuppgifter och personlig integritet
- användare mot bedrägerier.
Vilka produkter som omfattas beror på vilket krav det gäller.
Produkter som omfattas av kraven
Skydd av nätverk – artikel 3.3(d)
Gäller all radioutrustning som själv kan ansluta till internet, direkt eller via annan utrustning. Det gäller till exempel: smarta hem-produkter, uppkopplade sensorer, eller kroppsburen utrustning med nätverksanslutning.
Kommissionen har publicerat ett vägledningsdokument som förklarar konceptet ”internetansluten radioutrustning” och ger exempel för direkt eller indirekt internetansluten radioutrustning.
Kommissionens vägledningsdokument (EU:s webbsida)
Skydd av personuppgifter och integritet – artikel 3.3(e)
Gäller för:
- internetansluten radioutrustning, samt
- icke-internetansluten radioutrustning som är avsedd för barnomsorg, är en leksak för barn under 14 år, eller är kroppsburen.
För att omfattas måste utrustningen kunna behandla personuppgifter, trafikuppgifter eller lokaliseringsuppgifter.
Skydd mot bedrägeri – artikel 3.3(f)
Gäller radioutrustning som gör det möjligt för användaren att:
- överföra pengar,
- överföra penningvärde, eller
- hantera virtuell valuta.
Kan flera krav gälla samtidigt?
Ja. En och samma produkt kan omfattas av ett, två eller alla tre cybersäkerhetskraven.
Standarder ett stöd för att uppfylla kraven
Enligt 6 § radioutrustningslagen (2016:392) förutsätts radioutrustning uppfylla de väsentliga kraven om den följer relevant harmoniserad standard, så kallad presumtion om överensstämmelse.
Följande standarder ger helt eller delvis presumtion om överensstämmelse:
- Nätverksskydd: EN 18031‑1:2024
- Skydd av personuppgifter och integritet: EN 18031‑2:2024
- Skydd mot bedrägeri: EN 18031‑3:2024
Om du följer dessa standarder är det enklare att visa att utrustningen uppfyller kraven i radioutrustningsdirektivet.
Publicering av hänvisning till standarder i EUT (EU:s webbplats)
Standarderna ger inte presumtion om överensstämmelse fullt ut. Här hittar du en vägledning som förklarar vilka klausuler i dessa standarder som inte ger presumtion om överensstämmelse och i vilka fall du behöver anlita ett anmält organ.
Kommissionens vägledningsdokument (EU:s webbplats)
Hitta anmälda organ för bedömning av överensstämmelse med kraven
Ett anmält organ är en organisation som utsetts av ett EU-land för att bedöma vissa produkters överensstämmelse med kraven innan de släpps ut på marknaden. För att hitta anmälda organ för cybersäkerhetskraven på EU-kommissionens webbplats, sök via ”search options” - ”products” och välj artikel 3.3(e), artikel 3.3(d) eller artikel 3.3(f).
Anmälda organ (EU:s webbplats)
Mer information om cybersäkerhetskraven för viss radioutrustning
Mer information om cybersäkerhetskraven från EU-kommissionen:
Information om cybersäkerhetskraven från kommissionen (EU:s webbplats)
Kommissionens delegerade förordning 2022/30 – konsoliderad version (EU:s webbplats)
Krav enligt cyberresiliensförordningen ersätter på sikt cybersäkerhetskraven enligt radioutrustningsdirektivet
EU:s cyberresiliensförordning (CRA) bidrar till ökad cybersäkerhet i produkter med digitala element som säljs inom EU. Förordningen syftar till att skydda konsumenter och företag och att försäkra att produkter som släpps ut på den inre marknaden har färre sårbarheter.
Förordningen gäller i sina huvuddelar från den 11 december 2027. Kraven på produkter enligt CRA kommer att ersätta de cybersäkerhetskrav enligt radioutrustningsdirektivet som vi beskriver här.
Information om cyberresiliensförordningen från kommissionen (EU:s webbplats)
Kommissionens delegerade förordning om upphävande av delegerad förordning 2022/30 (EU:s webbplats)