Často kladené otázky

Zařazení se řídí hlavní funkcí produktu, nikoli každou funkcí, kterou obsahuje. Pokud hlavní funkce odpovídá kategorii uvedené v příloze III, je produkt "významný" (třída I nebo II); odpovídá-li příloze IV, je "kritický"; jinak je "výchozí". Schopnost, jako je správa identit nebo VPN, zahrnutá pouze jako funkce, nečiní produkt "významným", ledaže je to jeho hlavní účel. Pokud by mohla platit více než jedna kategorie, uplatní se přísnější třída. Art. 7

Nekomerční open-source software vyvíjený mimo obchodní činnost je z velké části mimo oblast působnosti. Správci open-source softwaru mají mírnější, uzpůsobený soubor povinností. Open-source komponenty dodávané v rámci obchodní činnosti mohou spadat do oblasti působnosti.

Samostatné služby obecně stojí mimo CRA. Řešení pro dálkové zpracování dat, která jsou nezbytná k tomu, aby produkt plnil své funkce, se však považují za součást tohoto produktu a spadají do oblasti působnosti. Art. 3(2)

Ano. CRA se vztahuje na produkty uváděné na trh EU bez ohledu na to, kde je výrobce usazen. Výrobci mimo EU musí zajistit, aby za příslušné povinnosti odpovídal hospodářský subjekt usazený v Unii.

Dělí se do dvou částí přílohy I: bezpečnostní vlastnosti, které produkt musí mít (bezpečný ve výchozím nastavení, důvěrnost, integrita, dostupnost, minimalizovaný prostor pro útok, bezpečnostní aktualizace), a procesy řešení zranitelností, které výrobce musí provozovat (SBOM, náprava, koordinované zveřejňování). Příloha I

Ano. Výrobci musí identifikovat a dokumentovat komponenty obsažené v produktu, mimo jiné vypracováním soupisu materiálů softwaru v běžně používaném, strojově čitelném formátu. Příloha I · II(1)

Období podpory je doba, po kterou musí výrobce poskytovat bezpečnostní aktualizace. Musí odrážet dobu, po kterou se důvodně očekává používání produktu; pokyny Komise naznačují, že by tato doba měla obvykle činit alespoň pět let, ledaže je očekávané používání kratší. Art. 13(8)

Aktivně zneužívané zranitelnosti a závažné incidenty ovlivňující bezpečnost produktu musí být oznámeny agentuře ENISA a příslušnému CSIRT. Včasné varování je nutné podat do 24 hodin od okamžiku zjištění, následuje podrobnější oznámení a závěrečná zpráva. Art. 14

Akt vstoupil v platnost dne 10. prosince 2024. Oznamovací povinnosti se uplatní od září 2026 (o 21 měsíců později) a převážná část povinností se uplatní od prosince 2027 (o 36 měsíců později). Art. 71

Porušení základních požadavků nebo povinností výrobce může vést k pokutám až do výše 15 milionů € nebo 2,5 % celkového celosvětového ročního obratu, podle toho, která hodnota je vyšší. Na jiná porušení a na poskytnutí nesprávných informací se vztahují nižší stropy.

Oznamovací povinnosti podle článku 14 se stávají vymahatelnými dne 11. září 2026. Agentura ENISA zřizuje jednotnou oznamovací platformu podle článku 16, jejímž prostřednictvím budou výrobci oznamovat aktivně zneužívané zranitelnosti a závažné incidenty agentuře ENISA a národnímu CSIRT; má být do tohoto data v provozu. Art. 14

Žádost Komise o normalizaci M/606 přijaly v roce 2025 organizace CEN, CENELEC a ETSI a zahrnuje přibližně 41 norem (horizontálních a specifických pro produkty). Dvě základní horizontální normy (bezpečný vývoj a řešení zranitelností) se očekávají do 30. srpna 2026, vertikální normy pro produkty do 30. října 2026 a zbývající horizontální normy do 30. října 2027, před plnou použitelností v prosinci 2027. Dodržení citované harmonizované normy zakládá předpoklad shody. Příloha I

Proveďte postup posuzování shody pro třídu svého produktu, sestavte technickou dokumentaci, vypracujte a podepište EU prohlášení o shodě a poté připojte označení CE. Výchozí produkty mohou provést samoposouzení; významné a kritické produkty vyžadují přísnější postupy. Art. 28 · 32

Začněte nástrojem CRA Fast Check k potvrzení oblasti působnosti a třídy, postupujte podle průvodce pro vaši roli a pomocí matice souladu sledujte základní požadavky až do jejich splnění.