CRA gælder for produkter med digitale elementer, der gøres tilgængelige på EU-markedet, og hvis tilsigtede eller med rimelighed forudsigelige anvendelse omfatter en direkte eller indirekte dataforbindelse. Hvis dit produkt indeholder software eller firmware og når EU-markedet, er det meget sandsynligt omfattet af anvendelsesområdet. Art. 2 Den hurtigste måde at kontrollere det på er selvvurderingen.
Hjælp · FAQ
Ofte stillede spørgsmål
Kortfattede svar på de spørgsmål, interessenter oftest stiller om Cyber Resilience Act, med henvisninger tilbage til teksten.
Spørgsmål og svar
Klassifikationen følger produktets kernefunktionalitet, ikke enhver funktion, det indeholder. Hvis kernefunktionen svarer til en kategori nævnt i bilag III, er produktet "vigtigt" (klasse I eller II); hvis den svarer til bilag IV, er det "kritisk"; ellers er det "standard". En funktion som identitetshåndtering eller en VPN, der kun er inkluderet som en funktion, gør ikke produktet "vigtigt", medmindre det er dets kerneformål. Hvor mere end én kategori kunne finde anvendelse, gælder den strengeste klasse. Art. 7
Ikkekommerciel open source-software, der udvikles uden for en kommerciel aktivitet, falder i vid udstrækning uden for anvendelsesområdet. Open source-softwareforvaltere har et lempeligere og tilpasset sæt forpligtelser. Open source-komponenter, der leveres som led i en kommerciel aktivitet, kan falde inden for anvendelsesområdet.
Selvstændige tjenester falder generelt uden for CRA. Fjerndatabehandlingsløsninger, der er nødvendige for, at et produkt kan udføre sine funktioner, behandles dog som en del af dette produkt og er omfattet af anvendelsesområdet. Art. 3(2)
Ja. CRA gælder for produkter, der bringes i omsætning på EU-markedet, uanset hvor fabrikanten er etableret. Fabrikanter uden for EU skal sikre, at en erhvervsdrivende, der er etableret i Unionen, er ansvarlig for de relevante forpligtelser.
De falder i to dele af bilag I: sikkerhedsegenskaber, produktet skal have (sikker som standard, fortrolighed, integritet, tilgængelighed, minimeret angrebsflade, sikkerhedsopdateringer) og processer for sårbarhedshåndtering, som fabrikanten skal drive (SBOM, afhjælpning, koordineret oplysning). Bilag I
Ja. Fabrikanter skal identificere og dokumentere de komponenter, produktet indeholder, herunder ved at udarbejde en softwarestykliste i et almindeligt anvendt, maskinlæsbart format. Bilag I · II(1)
Supportperioden er det tidsrum, hvor en fabrikant skal levere sikkerhedsopdateringer. Den skal afspejle det tidsrum, produktet med rimelighed forventes at være i brug; Kommissionens vejledning angiver, at dette som udgangspunkt bør være mindst fem år, medmindre den forventede anvendelse er kortere. Art. 13(8)
Aktivt udnyttede sårbarheder og alvorlige hændelser, der påvirker produktets sikkerhed, skal indberettes til ENISA og det relevante CSIRT. En tidlig varsling skal afgives inden for 24 timer, efter at man er blevet bekendt hermed, efterfulgt af en mere fyldestgørende underretning og en endelig rapport. Art. 14
Forordningen trådte i kraft den 10. december 2024. Rapporteringsforpligtelserne finder anvendelse fra september 2026 (21 måneder senere), og hovedparten af forpligtelserne finder anvendelse fra december 2027 (36 måneder senere). Art. 71
Overtrædelser af de væsentlige krav eller fabrikantforpligtelserne kan medføre bøder på op til 15 mio. € eller 2,5 % af den samlede årlige omsætning på verdensplan, alt efter hvad der er højest. Lavere lofter gælder for andre overtrædelser og for afgivelse af ukorrekte oplysninger.
Rapporteringsforpligtelserne i artikel 14 bliver håndhævelige den 11. september 2026. ENISA etablerer den fælles rapporteringsplatform i henhold til artikel 16, hvorigennem fabrikanter vil indberette aktivt udnyttede sårbarheder og alvorlige hændelser til ENISA og det nationale CSIRT; den forventes at være operationel senest på denne dato. Art. 14
Kommissionens standardiseringsanmodning M/606 blev accepteret af CEN, CENELEC og ETSI i 2025 og omfatter omkring 41 standarder (horisontale og produktspecifikke). De to centrale horisontale standarder (sikker udvikling og sårbarhedshåndtering) forventes senest den 30. august 2026, de vertikale produktstandarder senest den 30. oktober 2026 og de resterende horisontale standarder senest den 30. oktober 2027, forud for fuld anvendelse i december 2027. At følge en citeret harmoniseret standard giver en formodning om overensstemmelse. Bilag I
Gennemfør overensstemmelsesvurderingsruten for din produktklasse, udarbejd den tekniske dokumentation, udfærdig og underskriv EU-overensstemmelseserklæringen, og anbring derefter CE-mærkningen. Standardprodukter kan selvvurderes; vigtige og kritiske produkter kræver strengere ruter. Art. 28 · 32
Begynd med CRA Fast Check for at bekræfte anvendelsesområde og klasse, følg vejledningen, der er skrevet til din rolle, og brug overensstemmelsesmatrixen til at spore de væsentlige krav til mål.
Fandt du ikke svaret?
Bekræft dit produkts placering med den gratis selvvurdering, eller læs den letforståelige forklaring.