Често задавани въпроси

Класификацията следва основната функционалност на продукта, а не всяка функция, която той включва. Ако основната функция съответства на категория, посочена в приложение III, продуктът е „важен“ (клас I или II); ако съответства на приложение IV, той е „критичен“; в противен случай е „по подразбиране“. Функционалност като управление на самоличността или VPN, включена само като функция, не прави продукта „важен“, освен ако това е основната му цел. Когато може да се приложи повече от една категория, се прилага по-строгият клас. Art. 7

Нетърговският софтуер с отворен код, разработен извън търговска дейност, до голяма степен е извън обхвата. Стопаните на софтуер с отворен код имат по-лек, пригоден набор от задължения. Компонентите с отворен код, доставяни в хода на търговска дейност, могат да попаднат в обхвата.

Самостоятелните услуги по принцип са извън обхвата на CRA. Решенията за дистанционна обработка на данни обаче, които са необходими за изпълнението на функциите на даден продукт, се третират като част от този продукт и попадат в обхвата. Art. 3(2)

Да. CRA се прилага за продукти, пуснати на пазара на ЕС, независимо от това къде е установен производителят. Производителите извън ЕС трябва да гарантират, че икономически оператор, установен в Съюза, отговаря за съответните задължения.

Те попадат в две части на приложение I: свойства на сигурността, които продуктът трябва да притежава (сигурен по подразбиране, поверителност, интегритет, наличност, сведена до минимум повърхност за атаки, актуализации на сигурността), и процеси за обработване на уязвимости, които производителят трябва да прилага (SBOM, отстраняване, координирано оповестяване). Приложение I

Да. Производителите трябва да идентифицират и документират компонентите, съдържащи се в продукта, включително чрез изготвяне на софтуерна спецификация на материалите в широко използван, машинночетим формат. Приложение I · II(1)

Периодът на поддръжка е времето, през което производителят трябва да предоставя актуализации на сигурността. Той трябва да отразява периода, през който основателно се очаква продуктът да бъде в употреба; насоките на Комисията показват, че по принцип той следва да бъде поне пет години, освен ако очакваната употреба е по-кратка. Art. 13(8)

Активно експлоатираните уязвимости и тежките инциденти, засягащи сигурността на продукта, трябва да се съобщават на ENISA и на съответния CSIRT. Ранно предупреждение се дължи в срок от 24 часа от узнаването, последвано от по-пълно уведомление и окончателен доклад. Art. 14

Актът влезе в сила на 10 декември 2024 г. Задълженията за докладване се прилагат от септември 2026 г. (21 месеца по-късно), а основната част от задълженията се прилагат от декември 2027 г. (36 месеца по-късно). Art. 71

Нарушенията на съществените изисквания или на задълженията на производителя могат да доведат до глоби до 15 милиона евро или 2,5% от общия годишен световен оборот, в зависимост от това коя сума е по-висока. По-ниски тавани се прилагат за други нарушения и за предоставяне на невярна информация.

Задълженията за докладване по член 14 стават приложими на 11 септември 2026 г. ENISA създава единната платформа за докладване съгласно член 16, чрез която производителите ще уведомяват ENISA и националния CSIRT за активно експлоатирани уязвимости и тежки инциденти; предвижда се тя да бъде в действие до тази дата. Art. 14

Искането за стандартизация M/606 на Комисията беше прието от CEN, CENELEC и ETSI през 2025 г. и обхваща около 41 стандарта (хоризонтални и специфични за продуктите). Двата основни хоризонтални стандарта (сигурна разработка и обработване на уязвимости) се очакват до 30 август 2026 г., вертикалните продуктови стандарти — до 30 октомври 2026 г., а останалите хоризонтални стандарти — до 30 октомври 2027 г., преди пълното прилагане през декември 2027 г. Спазването на цитиран хармонизиран стандарт дава презумпция за съответствие. Приложение I

Извършете пътя за оценяване на съответствието за класа на Вашия продукт, съставете техническата документация, изгответе и подпишете ЕС декларацията за съответствие и след това поставете маркировката „СЕ“. Продуктите по подразбиране могат да преминат самооценка; важните и критичните продукти изискват по-строги пътища. Art. 28 · 32

Започнете с CRA Fast Check, за да потвърдите обхвата и класа, следвайте ръководството, написано за Вашата роля, и използвайте матрицата на съответствието, за да проследите съществените изисквания до изпълнение.