Skip to content

Digitala produktpass, AI Act, Cyber Resilience Act, det krävs allt mer innan vi ens får strömsätta en produkt eller ett system idag. Från 2024 och framåt har det hänt mycket på området, och mer är på väg.

I denna artikel har vi tagit fram en tidsaxel med fokus på de EU-regelverk som faktiskt påverkar IoT-produkter, sorterat utifrån produktperspektiven: utveckling, dokumentation, cybersäkerhet, dataåtkomst och CE-krav.

2025–2027 är den mest händelserika perioden när detta skrivs. RED:s cybersäkerhetskrav, Data Act och Cyber Resilience Act förändrar hur IoT-produkter måste byggas, dokumenteras och underhållas.

Här fokuserar vi på de EU-regelverk som är mest relevanta för IoT-produkter, med tyngdpunkt på sådant som påverkar konstruktion, CE-märkning, cybersäkerhet, dataåtkomst och dokumentation. Tänk också på att många av dessa krav inte bara omfattar tillverkare, utan även importörer, vilket innebär att ansvaret är ditt om du tar in produkter till Sverige, oavsett volym. För mer information om just denna aspekt, scrolla längst ned på sidan.

Tidsaxel 2024–2030 för EU-regelverk som påverkar IoT-produkter

1 augusti 2024 – AI Act träder i kraft

AI Act ställer krav på riskklassning, dokumentation, transparens och i vissa fall CE-märkning. AI Act är relevant för IoT-produkter som innehåller AI-funktioner, till exempel analys, beslutsstöd, övervakning eller automatiserad styrning. Själva lagen börjar gälla stegvis, så 2024 är startpunkten men inte året då de flesta produktkraven slår fullt ut. Vissa användningar av AI förbjuds från februari 2025. De flesta krav börjar gälla från augusti 2026. För AI-system i reglerade produkter kan kraven börja gälla först augusti 2027, så det är flera datum att hålla ordning på. En produkt som beskrivs som “smart” omfattas inte automatiskt.

13 december 2024 – GPSR börjar tillämpas

General Product Safety Regulation ersätter det tidigare produktsäkerhetsdirektivet. GPSR påverkar framför allt konsumentnära uppkopplade produkter som inte omfattas av mer specifik EU-lagstiftning med motsvarande säkerhetskrav. För uppkopplade produkter kan det inkludera cybersäkerhetsaspekter om det påverkar produktsäkerheten.

Tillverkare, importörer och distributörer får tydligare ansvar i leveranskedjan. Produkter ska åtföljas av tydlig säkerhetsinformation och instruktioner. Ekonomiska aktörer ska ha rutiner för att hantera risker, klagomål och återkallelser.

För IoT-konsumentprodukter innebär det ett större fokus på spårbarhet, säkerhetsinformation och ansvar i leveranskedjan.

10 december 2024 – Cyber Resilience Act träder i kraft

Cyber Resilience Act träder i kraft detta datum och omfattar produkter med digitala element. De flesta krav börjar dock tillämpas senare. Rapporteringskrav för sårbarheter och incidenter börjar gälla från september 2026. Huvuddelen av kraven börjar tillämpas från december 2027. Regelverket omfattar tillverkare, importörer och distributörer med krav på säker utveckling, riskhantering och hantering av sårbarheter över tid. Produkter ska kunna få säkerhetsuppdateringar under sin livscykel. CRA kompletterar befintliga CE-regelverk och inför krav kopplade till cybersäkerhet.

2 februari 2025 – första AI Act-regler börjar tillämpas

Förbud mot vissa användningar av AI samt krav på AI-kompetens börjar gälla. Det här träffar inte IoT i någon större omfattning, utan blir relevant när produkten innehåller AI-funktioner eller säljs som intelligent eller autonom lösning.

1 augusti 2025 – RED:s cybersäkerhetskrav börjar gälla

Detta är ett av de viktigaste datumen för IoT. För radioutrustning, till exempel 4G/5G-enheter, Wi-Fi-produkter, BLE-produkter, LoRaWAN-gateways och andra nätverksanslutna IoT-enheter, börjar de nya cybersäkerhetskraven gälla. Radio Equipment Directive kompletteras med dessa krav från detta datum.

Kraven omfattar skydd av nätverk, personuppgifter och mot bedrägeri. Produkter ska inte kunna orsaka skadlig påverkan på nät eller tjänster. Tillverkare ska visa efterlevnad genom teknisk dokumentation och i vissa fall harmoniserade standarder. Regelverket omfattar tillverkare, importörer och distributörer, vilket innebär att den som importerar en produkt till Sverige också ansvarar för efterlevnaden.

12 september 2025 – Data Act börjar tillämpas

Detta är mycket relevant för uppkopplade produkter. Regelverket omfattar data som genereras av uppkopplade produkter och tillhörande tjänster och ställer krav på hur denna data hanteras, delas och används.

En central del är att användaren ska få tillgång till den data som produkten genererar. I praktiken innebär det att definiera vem som har rätt till datan, hur den görs tillgänglig och hur delning sker på ett tekniskt och kommersiellt hållbart sätt.

Data ska också, på användarens begäran, kunna delas med tredje part i ett strukturerat och användbart format. Regelverket riktar sig till flera aktörer i värdekedjan, inklusive tillverkare, tjänsteleverantörer och i vissa fall även importörer.

Det inför tydliga ramar för hur data får användas och delas kommersiellt, vilket påverkar affärsmodeller kopplade till IoT och datadrivna tjänster.

18 augusti 2025 – batterimärkning skärps

För batteridrivna IoT-produkter blir batteriförordningen mer konkret. Från detta datum gäller krav på märkning med symbol för separat insamling för alla batterier.

Märkningen ska vara synlig, läsbar och beständig. Det är särskilt relevant för sensorer, trackers och andra batteridrivna IoT-enheter. Ytterligare krav införs stegvis under kommande år.

2 augusti 2026 – merparten av AI Act börjar tillämpas

De flesta reglerna i AI Act börjar gälla detta datum. För AI-system klassade som high-risk i reglerade produkter finns längre övergångstid, dessa krav har då startdatum augusti 2027.

För IoT är detta främst relevant när AI är en faktisk del av produkten, inte bara marknadsföringen. För den som levererar en plattform med AI-stöd som en del av sin lösning gäller detta från detta datum.

11 september 2026 – CRA:s rapporteringskrav börjar gälla

Cyber Resilience Act börjar delvis tillämpas från detta datum. Vissa skyldigheter införs tidigare än övriga krav.

Det gäller framför allt rapportering av aktivt utnyttjade sårbarheter och allvarliga incidenter. Krav ställs på att sådana händelser rapporteras inom fastställda tidsramar. För tillverkare av IoT-produkter påverkar detta interna processer.

Det omfattar hantering av sårbarheter, incidentrapportering och arbete efter leverans.

12 september 2026 – Data Act börjar träffa nya produkter mer direkt

Data Act börjar från detta datum tillämpas fullt ut på nya produkter. Artikel 3.1 omfattar uppkopplade produkter och relaterade tjänster som släpps ut på marknaden efter detta datum.

Krav ställs på att data ska vara tillgänglig för användaren. Data ska kunna delas med tredje part på begäran. Detta påverkar hur produkter utformas och hur data hanteras tekniskt.

Kravet gäller från det att produkten sätts på marknaden, medan befintliga produkter omfattas av övergångsregler.

20 januari 2027 – Machinery Regulation börjar tillämpas

Om din IoT-produkt är en maskin, en säkerhetskomponent eller en del av en uppkopplad maskinmiljö är detta datum centralt. Den nya maskinförordningen ersätter maskindirektivet och tar tydligare höjd för digitalisering, programvara och cybersäkerhet i maskinsammanhang.

För IoT är detta relevant när produkten ingår i en maskin eller maskinmiljö. Krav ställs på säkerhet genom hela livscykeln, inklusive riskbedömning, dokumentation och i vissa fall cybersäkerhet.

18 februari 2027 – digitalt batteripass börjar gälla för vissa batterier

Det här gäller inte all IoT, men är viktigt för vissa industriella och mer avancerade batteriapplikationer. Förordningen anger att batteripass ska gälla från detta datum för bland annat vissa industribatterier.

Batteripasset ska innehålla strukturerad information om batteriets egenskaper och livscykel. Kravet gäller inte alla IoT-produkter.

2 augusti 2027 – AI Act för high-risk AI i reglerade produkter

För high-risk AI-system som är inbyggda i reglerade produkter gäller en övergångsperiod till detta datum. Det kan bli relevant för avancerade industriella IoT-produkter, maskiner, övervakningssystem eller säkerhetskritiska tillämpningar.Dessa omfattas av ytterligare krav på riskhantering, dokumentation och överensstämmelsebedömning.

11 december 2027 – Cyber Resilience Act blir fullt tillämplig

Detta är det stora slutdatumet i perioden. Från detta datum gäller huvudkraven fullt ut för produkter med digitala element.

För IoT-tillverkare innebär det krav på säker utveckling, hantering av sårbarheter, säkerhetsuppdateringar, dokumentation och ansvar genom hela produktens livscykel. Regelverket omfattar tillverkare, importörer och distributörer.

2028 – batterikrav skärps vidare

För batterier fortsätter batteriförordningen att trappas upp efter 2027, med hårdare krav på bland annat hållbarhet och klimatprestanda för vissa batterikategorier.

Det omfattar även krav på teknisk dokumentation. Kraven gäller främst industribatterier och andra större batterier och är mest relevanta för vissa batteridrivna och mobila IoT-enheter.

Digitala produktpass (DPP)

Digitala produktpass är en del av EU:s arbete med att öka transparens och hållbarhet i produktkedjan. Kraven införs stegvis inom ramen för ekodesignförordningen och kommer att omfatta utvalda produktkategorier.

Ett digitalt produktpass innebär att produkten får en digital identitet med strukturerad information om till exempel innehåll, prestanda, ursprung och livscykel. Informationen ska kunna göras tillgänglig för olika aktörer, beroende på roll.

För IoT-produkter innebär detta att kopplingen mellan fysisk produkt och data blir ännu viktigare. Det ställer krav på hur information samlas in, lagras och görs tillgänglig över tid.

Kraven på digitala produktpass införs stegvis inom olika regelverk och produktkategorier. Ett konkret exempel är batteriförordningen, där digitalt batteripass blir obligatoriskt från 18 februari 2027 för vissa industribatterier och batterier för lätta transportmedel.

För andra produktgrupper kommer kraven via ekodesignförordningen (ESPR), där detaljer fastställs i delegerade akter per produktkategori. Det innebär att kraven införs vid olika tidpunkter beroende på produkt, snarare än ett gemensamt datum.

Roller och ansvar i leveranskedjan

EU:s regelverk skiljer tydligt på tillverkare, importörer och distributörer, och ansvaret ser olika ut beroende på vilken roll du har. Importerar du produkter från länder utanför EU räknas du som importör. Köper du produkter inom EU och säljer vidare är du i stället distributör.

Som importör har du ett omfattande ansvar. Du ska säkerställa att produkten uppfyller gällande krav, att korrekt dokumentation finns och att produkten är rätt märkt. Du ska också kunna visa detta för myndigheter vid behov.

Som distributör har du också ett ansvar, även om det är mer begränsat. Du ska kontrollera att produkten är CE-märkt, att dokumentation finns och att produkten inte uppenbart bryter mot regelverken. Om du misstänker att något är fel ska du agera och inte sälja produkten vidare.

Det är också viktigt att förstå att rollen kan förändras. Om du säljer produkter under eget varumärke, gör ändringar eller påverkar hur produkten används kan du i stället räknas som tillverkare, med fullt ansvar.

Ansvar stannar inte vid försäljning. Nya regelverk som Cyber Resilience Act och GPSR ställer tydligare krav på hantering av säkerhetsproblem, spårbarhet och åtgärder efter att produkten har satts på marknaden.

Induos logo
Induo AB
08-659 43 00

www.induo.com
info@induo.com

Mer information:

Fyll i formuläret nedan med namn, e-post och kanske ett meddelande så hör vi av oss så snart vi kan, tack!

* Genom att skicka in formuläret samtycker du att vi lagrar dina uppgifter för att hjälpa dig med din förfrågan.

Läs mer om:

Leverantörer
Produkter

Socialt:

Följ oss i sociala medier:

linkedinfacebooktwitteryoutube

Vi förser mänskligheten med innovativa kommunikationslösningar oavsett avstånd.

Back To Top
Sök