Független útmutató az (EU) 2024/2847 rendelethez · Állapot: hatályban
Ez az oldal automatikus (mesterséges intelligenciával készült) fordítás, amelyet ember nem ellenőrzött.
Iránymutatás · Hivatalos források

Az Európai Bizottság CRA-ra vonatkozó iránymutatása

Közérthető áttekintés az Európai Bizottság által az (EU) 2024/2847 rendelet értelmezésének elősegítésére kiadott iránymutatásról; mire terjed ki, és hol pontosítja a jogszabályi szövegben foglalt kötelezettségeket.

01Mi ez

A rendelet állapítja meg a kötelezettségeket; a bizottsági iránymutatás magyarázza el, hogyan kell azokat a gyakorlatban alkalmazni. Az iránymutatás nem kötelező erejű, és nem módosítja a jogszabályt, de a piacfelügyeleti hatóságok és a bejelentett szervezetek a következetes értelmezés érdekében rá támaszkodnak, így természetes kiegészítője a következőnek: Art. 1 szöveg.

Hogyan használható

Az iránymutatást az általa értelmezett cikkel együtt olvassa. Ahol az iránymutatás és az Ön saját értelmezése eltér, a kötelező hivatkozás mindig a rendelet szövege, végső soron pedig a bíróságok.

02A Bizottság GYIK-je

A Bizottság fenntart egy gyakran ismételt kérdéseket tartalmazó dokumentumot, amely összegyűjti a leggyakoribb értelmezési kérdéseket: a hatály határeseteit, a pótalkatrészek és összetevők kezelését, valamint azt, hogyan alkalmazandó az ütemterv a már forgalomban lévő termékekre. Először 2025 decemberében jelent meg, és „élő dokumentum”, amelyet új kérdések felmerülésekor frissítenek.

Hivatalos forrás

Olvassa el a Bizottság GYIK-jét a CRA végrehajtásáról: A kiberellenálló-képességi rendelet végrehajtása: gyakran ismételt kérdések ↗

03Hatálypontosítások

Az iránymutatás nagy része a következővel foglalkozik: hatály, a leggyakrabban felmerülő kérdéskör. Tisztázza, hogy mi számít „digitális elemeket tartalmazó terméknek”, hogyan kezelik a távoli adatfeldolgozási megoldásokat, és hol húzódik a határ az ágazatspecifikus jogszabályokkal. Art. 2

  • Adatkapcsolat; egy közvetlen vagy közvetett logikai vagy fizikai kapcsolat elegendő ahhoz, hogy egy termék a hatály alá kerüljön.
  • Kizárt ágazatok; az orvostechnikai eszközök, a gépjárművek és a polgári légi közlekedés saját keretrendszereik alá tartoznak.
  • SaaS; az önálló szolgáltatások általában a CRA hatályán kívül esnek, de a termék működéséhez szükséges feldolgozás a termék részeként kezelendő. Art. 3

04Nyílt forráskódú szoftver

Az iránymutatás kifejti a nyílt forráskódra vonatkozó testreszabott, könnyített rendszert. A kereskedelmi tevékenységen kívül fejlesztett, nem kereskedelmi nyílt forráskódú szoftverek nagyrészt kívül esnek a hatályon; a „nyílt forráskódú szoftvergondnokokat” meghatározott, arányos kötelezettségek terhelik.

Kulcsfontosságú megkülönböztetés

A kiváltó tényező a kereskedelmi tevékenység. Egy díjmentesen, de kereskedelmi tevékenység keretében szállított összetevő továbbra is a hatály alá tartozhat.

05Támogatási időszak és frissítések

Az iránymutatás jelzi, hogyan lehet megalapozottan meghatározni a következőt: támogatási időszak: tükröznie kell, hogy a termék észszerűen mennyi ideig várható használatban, és általában legalább öt évnek kell lennie, kivéve, ha a várható használat rövidebb. A biztonsági frissítéseknek díjmentesnek kell lenniük, és a funkciófrissítésektől elkülönítve kell biztosítani őket. Art. 13

06Jelentéstétel és ENISA

A jelentéstétel azon egyetlen jelentéstételi platformon keresztül zajlik, amelyet az ENISA hoz létre a következő alapján: Art. 16. Egy aktívan kihasznált sebezhetőség vagy a termék biztonságát érintő súlyos incidens tudomására jutásakor a gyártó az adott platformon keresztül 24 órás / 72 órás / 14 napos határidőkkel értesíti az ENISA-t és a nemzeti CSIRT-et. Az iránymutatás meghatározza, hogy a korai előrejelzésnek, az értesítésnek és a végleges jelentésnek mit kell tartalmaznia. Art. 14

2026. szeptember 11-től alkalmazandó

A jelentéstételi kötelezettségek 2026. szeptember 11-én válnak kikényszeríthetővé, és az ENISA egyetlen jelentéstételi platformjának eddig az időpontig kell működőképesnek lennie.

07Harmonizált szabványok

Az alapvető követelmények a következőben: I. melléklet eredmény szerinti megfogalmazásban szerepelnek. A harmonizált szabványok, amint a Hivatalos Lapban hivatkoznak rájuk, megfelelőségi vélelmet keletkeztetnek az azokat követő termékek számára.

A Bizottság szabványosítási kérelme M/606 elfogadta a CEN, a CENELEC és az ETSI 2025-ben, és mintegy 41 szabványra terjed ki: nagyjából 15 horizontális (terméktől független) és a többi vertikális (termékspecifikus). A két alapvető horizontális szabvány, a biztonságos fejlesztésről és a sebezhetőségkezelésről, 2026. augusztus 30-ig várható; a vertikális szabványok 2026. október 30-ig; a fennmaradó horizontális szabványok pedig 2027. október 30-ig, körülbelül egy évvel a teljes körű alkalmazás előtt.

Miért fontos

Amíg a szabványokat nem hivatkozzák, a megfelelőséget közvetlenül az I. melléklet követelményeivel szemben kell igazolni. Amint egy vonatkozó szabványra hivatkoznak, annak követése a legegyszerűbb út a megfelelőségi vélelemhez.