CRA koskee EU:n markkinoilla saataville asetettuja digitaalisia elementtejä sisältäviä tuotteita, joiden tarkoitettu tai kohtuudella ennakoitavissa oleva käyttö sisältää suoran tai epäsuoran datayhteyden. Jos tuotteesi sisältää ohjelmistoa tai laiteohjelmistoa ja päätyy EU:n markkinoille, se kuuluu hyvin todennäköisesti soveltamisalaan. Art. 2 Nopein tapa tarkistaa on itsearviointi.
Ohje · UKK
Usein kysytyt kysymykset
Ytimekkäät vastaukset kysymyksiin, joita sidosryhmät esittävät useimmin kyberkestävyyssäädöksestä, viittauksin tekstiin.
Kysymyksiä ja vastauksia
Luokitus määräytyy tuotteen ydintoiminnallisuuden mukaan, ei jokaisen siihen sisältyvän ominaisuuden perusteella. Jos ydintoiminto vastaa liitteessä III nimettyä luokkaa, tuote on 'tärkeä' (luokka I tai II); jos se vastaa liitettä IV, se on 'kriittinen'; muutoin se on 'oletus'. Ominaisuus, kuten identiteetinhallinta tai VPN, joka sisältyy vain ominaisuutena, ei tee tuotteesta 'tärkeää', ellei se ole sen ydintarkoitus. Jos useampi kuin yksi luokka voisi soveltua, sovelletaan tiukempaa luokkaa. Art. 7
Ei-kaupallinen, kaupallisen toiminnan ulkopuolella kehitetty avoimen lähdekoodin ohjelmisto jää suurelta osin soveltamisalan ulkopuolelle. Avoimen lähdekoodin ohjelmiston hoitajilla on kevyempi, räätälöity velvoitteiden joukko. Kaupallisen toiminnan yhteydessä toimitetut avoimen lähdekoodin komponentit voivat kuulua soveltamisalaan.
Itsenäiset palvelut jäävät yleensä CRA:n ulkopuolelle. Etädatankäsittelyratkaisut, jotka ovat välttämättömiä tuotteen toimintojen suorittamiselle, katsotaan kuitenkin osaksi kyseistä tuotetta ja kuuluvat soveltamisalaan. Art. 3(2)
Kyllä. CRA koskee EU:n markkinoille saatettuja tuotteita riippumatta siitä, mihin valmistaja on sijoittautunut. EU:n ulkopuolisten valmistajien on varmistettava, että unioniin sijoittautunut talouden toimija vastaa asiaankuuluvista velvoitteista.
Ne jakautuvat liitteen I kahteen osaan: turvallisuusominaisuuksiin, jotka tuotteella on oltava (oletusarvoisesti turvallinen, luottamuksellisuus, eheys, saatavuus, minimoitu hyökkäyspinta, tietoturvapäivitykset), ja haavoittuvuuksien käsittelyprosesseihin, joita valmistajan on ylläpidettävä (SBOM, korjaaminen, koordinoitu julkistaminen). liite I
Kyllä. Valmistajien on yksilöitävä ja dokumentoitava tuotteeseen sisältyvät komponentit, muun muassa laatimalla ohjelmistoluettelo (SBOM) yleisesti käytetyssä, koneluettavassa muodossa. liite I · II(1)
Tukikausi on aika, jonka aikana valmistajan on tarjottava tietoturvapäivityksiä. Sen on vastattava ajanjaksoa, jonka tuotteen kohtuudella odotetaan olevan käytössä; komission ohjeistuksen mukaan tämän tulisi yleensä olla vähintään viisi vuotta, ellei odotettu käyttöaika ole lyhyempi. Art. 13(8)
Aktiivisesti hyväksikäytetyistä haavoittuvuuksista ja tuotteen turvallisuuteen vaikuttavista vakavista poikkeamista on ilmoitettava ENISAlle ja asianomaiselle CSIRT-yksikölle. Ennakkovaroitus on annettava 24 tunnin kuluessa tiedon saamisesta, minkä jälkeen seuraa kattavampi ilmoitus ja loppuraportti. Art. 14
Säädös tuli voimaan 10. joulukuuta 2024. Raportointivelvoitteita sovelletaan syyskuusta 2026 alkaen (21 kuukautta myöhemmin) ja suurinta osaa velvoitteista joulukuusta 2027 alkaen (36 kuukautta myöhemmin). Art. 71
Olennaisten vaatimusten tai valmistajan velvoitteiden rikkomisesta voidaan määrätä sakkoja, joiden enimmäismäärä on 15 miljoonaa euroa tai 2,5 % maailmanlaajuisesta vuotuisesta kokonaisliikevaihdosta sen mukaan, kumpi on suurempi. Muihin rikkomuksiin ja virheellisten tietojen toimittamiseen sovelletaan alempia enimmäismääriä.
14 artiklan raportointivelvoitteet tulevat täytäntöönpanokelpoisiksi 11. syyskuuta 2026. ENISA perustaa 16 artiklan mukaista yhteistä raportointialustaa, jonka kautta valmistajat ilmoittavat aktiivisesti hyväksikäytetyistä haavoittuvuuksista ja vakavista poikkeamista ENISAlle ja kansalliselle CSIRT-yksikölle; sen on määrä olla toiminnassa tähän päivämäärään mennessä. Art. 14
CEN, CENELEC ja ETSI hyväksyivät komission standardointipyynnön M/606 vuonna 2025, ja se kattaa noin 41 standardia (horisontaalisia ja tuotekohtaisia). Kaksi keskeistä horisontaalista standardia (turvallinen kehitys ja haavoittuvuuksien käsittely) odotetaan 30. elokuuta 2026 mennessä, vertikaaliset tuotestandardit 30. lokakuuta 2026 mennessä ja loput horisontaaliset standardit 30. lokakuuta 2027 mennessä, ennen täysimääräistä soveltamista joulukuussa 2027. Viitatun yhdenmukaistetun standardin noudattaminen antaa vaatimustenmukaisuusolettaman. liite I
Suorita tuoteluokkasi mukainen vaatimustenmukaisuuden arviointireitti, kokoa tekniset asiakirjat, laadi ja allekirjoita EU-vaatimustenmukaisuusvakuutus ja kiinnitä sitten CE-merkintä. Oletustuotteet voivat tehdä itsearvioinnin; tärkeät ja kriittiset tuotteet edellyttävät tiukempia reittejä. Art. 28 · 32
Aloita CRA-pikatarkistuksella vahvistaaksesi soveltamisalan ja luokan, noudata roolillesi kirjoitettua opasta ja käytä vaatimustenmukaisuusmatriisia seurataksesi olennaisten vaatimusten täyttymistä loppuun asti.
Etkö löytänyt vastausta?
Vahvista tuotteesi asema maksuttomalla itsearvioinnilla tai lue selkokielinen selitys.