Κατευθυντήριες γραμμές της Ευρωπαϊκής Επιτροπής για τον CRA

01Τι είναι αυτό

Ο κανονισμός καθορίζει τις υποχρεώσεις· οι κατευθυντήριες γραμμές της Επιτροπής επεξηγούν τον τρόπο εφαρμογής τους στην πράξη. Οι κατευθυντήριες γραμμές δεν είναι δεσμευτικές και δεν τροποποιούν τον νόμο, αλλά οι αρχές εποπτείας της αγοράς και οι κοινοποιημένοι οργανισμοί τις λαμβάνουν υπόψη για συνεκτική ερμηνεία, οπότε αποτελούν τον φυσικό συνοδό του Art. 1 κείμενο.

02Οι συχνές ερωτήσεις της Επιτροπής

Η Επιτροπή τηρεί ένα έγγραφο συχνών ερωτήσεων που συγκεντρώνει τα συνηθέστερα ερμηνευτικά ερωτήματα: οριακές περιπτώσεις του πεδίου εφαρμογής, την αντιμετώπιση ανταλλακτικών και συστατικών, και τον τρόπο με τον οποίο εφαρμόζεται το χρονοδιάγραμμα στα προϊόντα που βρίσκονται ήδη στην αγορά. Δημοσιεύθηκε για πρώτη φορά τον Δεκέμβριο του 2025 και αποτελεί «ζωντανό έγγραφο» που επικαιροποιείται καθώς προκύπτουν νέα ερωτήματα.

03Διευκρινίσεις πεδίου εφαρμογής

Μεγάλο μέρος των κατευθυντήριων γραμμών αφορά πεδίο εφαρμογής, το πλέον συχνά συζητούμενο πεδίο. Διευκρινίζει τι θεωρείται «προϊόν με ψηφιακά στοιχεία», πώς αντιμετωπίζονται οι λύσεις απομακρυσμένης επεξεργασίας δεδομένων και πού βρίσκεται το όριο με την τομεακή νομοθεσία. Art. 2

• Σύνδεση δεδομένων· μια άμεση ή έμμεση λογική ή φυσική σύνδεση αρκεί για να υπαχθεί ένα προϊόν στο πεδίο εφαρμογής.
• Εξαιρούμενοι τομείς· τα ιατροτεχνολογικά προϊόντα, τα μηχανοκίνητα οχήματα και η πολιτική αεροπορία παραμένουν υπό τα δικά τους πλαίσια.
• SaaS· οι αυτόνομες υπηρεσίες βρίσκονται γενικά εκτός του CRA, αλλά η επεξεργασία που είναι αναγκαία για τη λειτουργία ενός προϊόντος αντιμετωπίζεται ως μέρος του προϊόντος. Art. 3

04Λογισμικό ανοιχτού κώδικα

Οι κατευθυντήριες γραμμές επεξηγούν το προσαρμοσμένο, ελαφρύτερο καθεστώς για τον ανοιχτό κώδικα. Το μη εμπορικό λογισμικό ανοιχτού κώδικα που αναπτύσσεται εκτός εμπορικής δραστηριότητας βρίσκεται σε μεγάλο βαθμό εκτός πεδίου εφαρμογής· οι «διαχειριστές λογισμικού ανοιχτού κώδικα» έχουν ένα καθορισμένο, αναλογικό σύνολο καθηκόντων.

05Περίοδος υποστήριξης & ενημερώσεις

Οι κατευθυντήριες γραμμές υποδεικνύουν τον τρόπο καθορισμού μιας υπερασπίσιμης περίοδος υποστήριξης: πρέπει να αντικατοπτρίζει το διάστημα κατά το οποίο ευλόγως αναμένεται να χρησιμοποιηθεί το προϊόν, και θα πρέπει γενικά να είναι τουλάχιστον πέντε έτη, εκτός εάν η αναμενόμενη χρήση είναι συντομότερη. Οι ενημερώσεις ασφάλειας πρέπει να είναι δωρεάν και να παρέχονται χωριστά από τις ενημερώσεις λειτουργιών. Art. 13

06Αναφορά & ENISA

Η αναφορά διενεργείται μέσω της ενιαίας πλατφόρμας αναφοράς που δημιουργεί ο ENISA βάσει του Art. 16. Μόλις λάβει γνώση ενεργά αξιοποιούμενης ευπάθειας ή σοβαρού συμβάντος που επηρεάζει την ασφάλεια του προϊόντος, ο κατασκευαστής ειδοποιεί τον ENISA και την εθνική CSIRT μέσω της πλατφόρμας αυτής σύμφωνα με χρονοδιάγραμμα 24 ωρών / 72 ωρών / 14 ημερών. Οι κατευθυντήριες γραμμές καθορίζουν τι πρέπει να περιέχει καθεμία από την έγκαιρη προειδοποίηση, την κοινοποίηση και την τελική έκθεση. Art. 14

07Εναρμονισμένα πρότυπα

Οι βασικές απαιτήσεις στο Παράρτημα I διατυπώνονται με όρους αποτελέσματος. Τα εναρμονισμένα πρότυπα, μόλις μνημονευθούν στην Επίσημη Εφημερίδα, παρέχουν τεκμήριο συμμόρφωσης για τα προϊόντα που τα τηρούν.

Το αίτημα τυποποίησης της Επιτροπής M/606 έγινε δεκτό από τους CEN, CENELEC και ETSI το 2025 και καλύπτει περίπου 41 πρότυπα: περίπου 15 οριζόντια (ανεξάρτητα προϊόντος) και τα υπόλοιπα κάθετα (ειδικά ανά προϊόν). Τα δύο βασικά οριζόντια πρότυπα, για την ασφαλή ανάπτυξη και για τον χειρισμό ευπαθειών, αναμένονται έως τις 30 Αυγούστου 2026· τα κάθετα πρότυπα έως τις 30 Οκτωβρίου 2026· και τα υπόλοιπα οριζόντια πρότυπα έως τις 30 Οκτωβρίου 2027, περίπου ένα έτος πριν από την πλήρη εφαρμογή.