Föreställ dig en tillverkare som har gjort allt rätt på exportsidan. Produkten är korrekt klassificerad mot kontrollistan, tillstånden ligger på plats, den interna processen för slutanvändning och slutanvändare fungerar som den ska. Ingenting i den hanteringen säger emellertid någonting om huruvida produkten i sig är säker, och från och med i höst räcker det inte längre. Cyber Resilience Act, förordning (EU) 2024/2847, gäller parallellt på exakt samma produkt, och kommissionens utkast till vägledning från mars i år, Ares(2026)2319816, slår uttryckligen fast att en produkts status som dual-use inte befriar den från CRA.
Det är värt att stanna vid den meningen, eftersom den vänder på en intuition som sitter djupt hos många som arbetat länge med exportkontroll. Klassificeringen har alltid varit den port man passerar. CRA är inte en port, det är ett tillstånd som produkten ska befinna sig i under hela sin livslängd.
Två regelverk, två frågor
De två regelverken ställer olika frågor, och det är där problemet börjar.
Exportkontrollen, med förordning (EU) 2021/821 som rättslig ram och kontrollistor som i stor utsträckning bygger på Wassenaararrangemanget, frågar vart en produkt får röra sig och till vem. Logiken är destinationens och transaktionens. Den bryr sig om klassificeringen mot kontrollistan, om slutanvändning, om slutanvändare, om vart i världen leveransen är på väg. Den reglerar en händelse.
CRA frågar något helt annat, nämligen om produkten är säker i sig själv. Logiken är artefaktens och livscykelns. Den bryr sig om security by design, om sårbarhetshantering, om hur länge tillverkaren förbinder sig att leverera säkerhetsuppdateringar. Den reglerar ett ting.
Den ena regimen handlar alltså om förflyttning, den andra om beskaffenhet. Att båda gäller samtidigt är inte i sig en motsägelse. Det blir intressant först när man inser att de delar underlag, och att samma tekniska val kan utlösa skyldigheter i båda systemen på en gång.
Där de möts
Tre beröringspunkter förtjänar uppmärksamhet.
Den skarpaste är kryptografin. I många produkter kommer stark kryptering i praktiken att vara en central del av CRA-efterlevnaden, du förväntas skydda data i vila och under överföring, och den är samtidigt en av de mest klassiska utlösarna i exportkontrollen, Category 5 Part 2 på kontrollistan. Här finns en genuin spänning. Det val som gör produkten säker, och därmed för den närmare CRA-efterlevnad, kan vara precis det val som drar in den under en kontrollskyldighet vid export. De två kraven pekar inte åt motsatt håll, men de bedöms i regel av olika personer, i olika processer, vid olika tidpunkter, och resultatet blir lätt att den ena handen inte vet vad den andra gör.
Den andra punkten är dokumentationen. CRA tvingar fram en detaljnivå i den tekniska dokumentationen, och i synnerhet i mjukvaruförteckningen, som långt överstiger vad många tillverkare hittills producerat. Den dokumentationen är också exportkontrollrelevant. Samma komponentförteckning tjänar plötsligt två tillsynsregimer med olika mottagare och olika syften. Det är en möjlighet lika mycket som en börda, men bara för den som ser sambandet och bygger underlaget en gång, inte två.
Den tredje punkten är den mest paradoxala. CRA kräver att aktivt utnyttjade sårbarheter rapporteras till ENISA och till berörd CSIRT. Förordningen knyter skyldigheten till att tillverkaren har blivit medveten om sårbarheten, och marsvägledningen utvecklar vad det innebär, nämligen att tillverkaren ska ha en rimlig grad av säkerhet om att sårbarheten utnyttjas, eller om att en allvarlig incident har inträffat, något som ofta först kan nås efter en initial bedömning. Samtidigt finns en motkraft, eftersom exakt den tekniska detalj som CRA vill se spridd till rätt myndighet är en detalj som vidare säkerhetslogik hellre vill hålla begränsad. Transparens mot tillsyn ställs mot kontroll av information. Vem som får veta vad, och när, är inte längre någon självklarhet.
Komponenterna bär bördan
För den som arbetar med leveranskedjor ligger tyngdpunkten i komponenterna, och här är marsvägledningen ovanligt tydlig. Tredjepartskomponenter och öppen källkod får inte behandlas som svarta lådor. Uppströmsleverantören ansvarar visserligen för sin egen produkt, men tillverkaren av den färdiga produkten behåller det övergripande ansvaret för att bedöma och hantera de cybersäkerhetsrisker som komponenterna för med sig.
Lägg den principen bredvid exportkontrollens egen logik om härkomst och om de minimis, reglerna om när kontrollerat innehåll i en komponent kan påverka den färdiga produktens status, så klarnar bilden. På samma komponentförteckning vilar nu två separata granskningsplikter. Den ena frågar var komponenten kommer ifrån och vart den får ta vägen. Den andra frågar hur säker den är och vem som bär ansvaret för den. Det är samma lista, läst genom två par glasögon.
Här finns också en koppling till undantagen som är lätt att missa. Vägledningen behandlar uttryckligen hur man ska bedöma komponenter som är konstruerade uteslutande för integration i undantagna produkter. För den som levererar in i försvarssektorn, där båda regimerna har egna undantag, blir den bedömningen avgörande, och den görs inte korrekt genom att man antar att ett undantag i den ena regimen automatiskt motsvaras av ett undantag i den andra.
Vad praktikern faktiskt gör
Tre rörelser, snarare än en avprickningslista.
Kartlägg först vilka produkter som bär båda regimerna samtidigt. Det är där en felklassificering kostar dubbelt, och det är där den samlade exponeringen är som störst men minst synlig, eftersom den sällan framträder i något enskilt dokument.
Samordna därefter dokumentationen. Om mjukvaruförteckning och teknisk fil ändå ska produceras för CRA, låt dem samtidigt bära den information som exportgranskningen behöver. Att bygga underlaget två gånger, i två stuprör, är inte bara ineffektivt, det skapar avvikelser mellan versionerna som i sig blir en risk.
Bygg slutligen en gemensam beslutspunkt för de val som träffar båda regimerna, kryptografin främst bland dem. Beslutet om en algoritm bör fattas med både säkerhets- och exportkonsekvensen på bordet samtidigt, inte i två möten som aldrig talas vid.
Ingen har ritat kartan
Det är inte så att CRA och exportkontrollen säger emot varandra. Problemet är subtilare än så. De är osamordnade. De antogs var för sig, de tillsynas av skilda myndigheter, och ingen av lagstiftarna har tagit på sig uppgiften att rita kartan över hur de samverkar på en och samma produkt. Den uppgiften har, som så ofta, fallit på tillverkaren.
Och kanske är det just därför den är värd att skriva om. Var och en av regimerna är väl beskriven på sina egna villkor. Skarven mellan dem är det få som bevakar, och det är i skarvar som efterlevnad brukar brista. Marsvägledningen är inte bindande, bara EU-domstolen kan ge en auktoritativ tolkning av CRA, men den är den tydligaste signal vi har om hur kommissionen tänker. Den som läser den med exportkontrollen i andra handen ser en fråga som ännu saknar sitt svar, och det är en bra plats att börja arbeta från.
