A CRA az uniós piacon forgalmazott, digitális elemeket tartalmazó termékekre vonatkozik, amelyek tervezett vagy észszerűen előrelátható használata magában foglal egy közvetlen vagy közvetett adatkapcsolatot. Ha a terméke szoftvert vagy firmware-t tartalmaz, és eljut az uniós piacra, akkor nagyon valószínűleg a hatály alá tartozik. Art. 2 A leggyorsabb ellenőrzési mód az önértékelés.
Súgó · GYIK
Gyakran ismételt kérdések
Tömör válaszok azokra a kérdésekre, amelyeket az érdekeltek a leggyakrabban tesznek fel a kiberellenálló-képességi rendelettel kapcsolatban, a szövegre való visszahivatkozásokkal.
Kérdések és válaszok
Az osztályozás a termék alapvető funkcióját követi, nem pedig minden olyan jellemzőt, amelyet tartalmaz. Ha az alapvető funkció megfelel a III. mellékletben megnevezett kategóriának, a termék „fontos” (I. vagy II. osztály); ha a IV. mellékletnek felel meg, akkor „kritikus”; egyébként „alapértelmezett”. Egy olyan képesség, mint az identitáskezelés vagy egy VPN, amely csak egy jellemzőként szerepel, nem teszi a terméket „fontossá”, kivéve, ha ez az alapvető célja. Ha több kategória is alkalmazható lenne, a szigorúbb osztály érvényesül. Art. 7
A kereskedelmi tevékenységen kívül fejlesztett, nem kereskedelmi nyílt forráskódú szoftver nagyrészt kívül esik a hatályon. A nyílt forráskódú szoftvergondnokokat könnyített, testreszabott kötelezettségek terhelik. A kereskedelmi tevékenység keretében szállított nyílt forráskódú összetevők a hatály alá tartozhatnak.
Az önálló szolgáltatások általában a CRA hatályán kívül esnek. Azonban a termék funkcióinak ellátásához szükséges távoli adatfeldolgozási megoldások az adott termék részeként kezelendők, és a hatály alá tartoznak. Art. 3(2)
Igen. A CRA az uniós piacon forgalomba hozott termékekre vonatkozik, függetlenül attól, hol telepedett le a gyártó. Az EU-n kívüli gyártóknak biztosítaniuk kell, hogy egy az Unióban letelepedett gazdasági szereplő legyen felelős a vonatkozó kötelezettségekért.
Az I. melléklet két részébe sorolhatók: biztonsági tulajdonságok, amelyekkel a terméknek rendelkeznie kell (alapértelmezetten biztonságos, bizalmasság, sértetlenség, rendelkezésre állás, minimalizált támadási felület, biztonsági frissítések), és sebezhetőségkezelési folyamatok, amelyeket a gyártónak működtetnie kell (SBOM, orvoslás, összehangolt közzététel). I. melléklet
Igen. A gyártóknak azonosítaniuk és dokumentálniuk kell a termékben található összetevőket, többek között egy általánosan használt, géppel olvasható formátumú szoftvertermék-jegyzék elkészítésével. I. melléklet · II(1)
A támogatási időszak az az idő, amely alatt a gyártónak biztonsági frissítéseket kell biztosítania. Tükröznie kell azt az időtartamot, ameddig a termék használata észszerűen várható; a bizottsági iránymutatás szerint ennek általában legalább öt évnek kell lennie, kivéve, ha a várható használat rövidebb. Art. 13(8)
Az aktívan kihasznált sebezhetőségeket és a termék biztonságát érintő súlyos incidenseket be kell jelenteni az ENISA-nak és az illetékes CSIRT-nek. A korai előrejelzést a tudomásszerzéstől számított 24 órán belül kell megtenni, amelyet egy részletesebb értesítés és egy végleges jelentés követ. Art. 14
A rendelet 2024. december 10-én lépett hatályba. A jelentéstételi kötelezettségek 2026 szeptemberétől (21 hónappal később) alkalmazandók, a kötelezettségek nagy része pedig 2027 decemberétől (36 hónappal később). Art. 71
Az alapvető követelmények vagy a gyártói kötelezettségek megsértése legfeljebb 15 millió € összegű vagy a teljes éves világméretű árbevétel 2,5%-ának megfelelő bírságot vonhat maga után, a kettő közül a magasabb értéket figyelembe véve. Egyéb jogsértésekre és a helytelen információk szolgáltatására alacsonyabb felső határok vonatkoznak.
A 14. cikk szerinti jelentéstételi kötelezettségek 2026. szeptember 11-én válnak kikényszeríthetővé. Az ENISA a 16. cikk alapján hozza létre az egyetlen jelentéstételi platformot, amelyen keresztül a gyártók bejelentik az aktívan kihasznált sebezhetőségeket és a súlyos incidenseket az ENISA-nak és a nemzeti CSIRT-nek; ennek eddig az időpontig kell működőképesnek lennie. Art. 14
A Bizottság M/606 szabványosítási kérelmét a CEN, a CENELEC és az ETSI 2025-ben fogadta el, amely mintegy 41 szabványra terjed ki (horizontális és termékspecifikus). A két alapvető horizontális szabvány (biztonságos fejlesztés és sebezhetőségkezelés) 2026. augusztus 30-ig, a vertikális termékszabványok 2026. október 30-ig, a fennmaradó horizontális szabványok pedig 2027. október 30-ig várhatók, a 2027. decemberi teljes körű alkalmazás előtt. Egy hivatkozott harmonizált szabvány követése megfelelőségi vélelmet keletkeztet. I. melléklet
Hajtsa végre a termékosztályához tartozó megfelelőségértékelési útvonalat, állítsa össze a műszaki dokumentációt, készítse el és írja alá az EU-megfelelőségi nyilatkozatot, majd helyezze el a CE-jelölést. Az alapértelmezett termékek önértékelést végezhetnek; a fontos és kritikus termékek szigorúbb útvonalakat igényelnek. Art. 28 · 32
Kezdje a CRA gyorsellenőrzéssel a hatály és az osztály megerősítéséhez, kövesse a szerepköréhez írt útmutatót, és használja a megfelelőségi mátrixot az alapvető követelmények teljesítésének nyomon követésére.
Nem találta meg a választ?
Erősítse meg a terméke helyzetét az ingyenes önértékeléssel, vagy olvassa el a közérthető magyarázót.