Независимо ръководство за Регламент (ЕС) 2024/2847 · Състояние: в сила
Тази страница е автоматичен превод (с ИИ) и не е прегледана от човек.
Насоки · Официални източници

Насоки на Европейската комисия относно CRA

Достъпен преглед на насоките, които Европейската комисия е издала в помощ на тълкуването на Регламент (ЕС) 2024/2847; какво обхващат и къде изясняват задълженията в правния текст.

01Какво представлява това

Регламентът определя задълженията; насоките на Комисията обясняват как да се прилагат те на практика. Насоките са необвързващи и не променят закона, но органите за надзор на пазара и нотифицираните органи се позовават на тях за последователно тълкуване, така че те са естественото допълнение към Art. 1 текст.

Как да го използвате

Четете насоките заедно с члена, който те тълкуват. Когато насоките и Вашето собствено тълкуване се различават, обвързващата отправна точка винаги е текстът на Регламента и в крайна сметка съдилищата.

02ЧЗВ на Комисията

Комисията поддържа документ с често задавани въпроси, който консолидира най-често срещаните въпроси относно тълкуването: гранични случаи на обхвата, третирането на резервни части и компоненти и как графикът се прилага за продукти, които вече са на пазара. Публикуван за първи път през декември 2025 г., той е „жив документ“, който се актуализира с възникването на нови въпроси.

Официален източник

Прочетете ЧЗВ на Комисията относно прилагането на CRA: Прилагане на Акта за киберустойчивост: често задавани въпроси ↗

03Изяснения относно обхвата

Голяма част от насоките разглеждат обхват — областта, по която се задават най-много въпроси. Той изяснява какво се счита за „продукт с цифрови елементи“, как се третират решенията за дистанционна обработка на данни и къде е границата със секторно специфичното законодателство. Art. 2

  • Връзка за данни; пряка или непряка логическа или физическа връзка е достатъчна, за да попадне даден продукт в обхвата.
  • Изключени сектори; медицинските изделия, моторните превозни средства и гражданското въздухоплаване остават уредени от собствените си рамки.
  • SaaS; самостоятелните услуги по принцип са извън обхвата на CRA, но обработката, необходима за функционирането на даден продукт, се третира като част от продукта. Art. 3

04Софтуер с отворен код

Насоките обясняват пригодения, по-лек режим за софтуера с отворен код. Нетърговският софтуер с отворен код, разработен извън търговска дейност, до голяма степен е извън обхвата; „стопаните на софтуер с отворен код“ имат определен, пропорционален набор от задължения.

Ключово разграничение

Задействащият фактор е търговската дейност. Компонент, доставен безплатно, но в хода на търговска дейност, все пак може да попадне в обхвата.

05Период на поддръжка и актуализации

Насоките показват как да се определи защитим период на поддръжка: той трябва да отразява колко дълго основателно се очаква продуктът да бъде в употреба и по принцип следва да бъде поне пет години, освен ако очакваната употреба е по-кратка. Актуализациите на сигурността трябва да са безплатни и да се предоставят отделно от функционалните актуализации. Art. 13

06Докладване и ENISA

Докладването се извършва чрез единната платформа за докладване, която ENISA създава съгласно Art. 16. При узнаване за активно експлоатирана уязвимост или за тежък инцидент, засягащ сигурността на продукта, производителят уведомява ENISA и националния CSIRT чрез тази платформа в срок от 24 часа / 72 часа / 14 дни. Насоките определят какво следва да съдържат ранното предупреждение, уведомлението и окончателният доклад. Art. 14

Прилага се от 11 септември 2026 г.

Задълженията за докладване стават приложими на 11 септември 2026 г., а единната платформа за докладване на ENISA се предвижда да бъде в действие до тази дата.

07Хармонизирани стандарти

Съществените изисквания в Приложение I са изразени като резултати. Хармонизираните стандарти, след като бъдат цитирани в Официален вестник, дават презумпция за съответствие за продуктите, които ги следват.

Искането за стандартизация на Комисията M/606 беше прието от CEN, CENELEC и ETSI през 2025 г. и обхваща около 41 стандарта: приблизително 15 хоризонтални (независими от продукта) и останалите вертикални (специфични за продукта). Двата основни хоризонтални стандарта, за сигурна разработка и за обработване на уязвимости, се очакват до 30 август 2026 г.; вертикалните стандарти — до 30 октомври 2026 г.; а останалите хоризонтални стандарти — до 30 октомври 2027 г., около година преди пълното прилагане.

Защо е важно

Докато стандартите не бъдат цитирани, съответствието трябва да се доказва пряко спрямо изискванията по приложение I. След като бъде цитиран съответен стандарт, спазването му е най-простият път към презумпция за съответствие.