CRA taikomas ES rinkai tiekiamiems skaitmeninių elementų turintiems produktams, kurių numatytas ar pagrįstai numatomas naudojimas apima tiesioginį ar netiesioginį duomenų ryšį. Jei jūsų produkte yra programinės ar programinės aparatinės įrangos ir jis pasiekia ES rinką, jis labai tikėtinai patenka į taikymo sritį. Art. 2 Greičiausias būdas patikrinti yra savarankiškas vertinimas.
Pagalba · DUK
Dažnai užduodami klausimai
Glausti atsakymai į klausimus, kuriuos suinteresuotieji subjektai dažniausiai užduoda apie Kibernetinio atsparumo aktą, su nuorodomis į tekstą.
Klausimai ir atsakymai
Klasifikacija nustatoma pagal pagrindinę produkto funkciją, o ne pagal kiekvieną jo turimą savybę. Jei pagrindinė funkcija atitinka III priede įvardytą kategoriją, produktas yra „svarbus“ (I arba II klasės); jei atitinka IV priedą – „ypatingos svarbos“; kitu atveju – „numatytasis“. Tokia funkcija kaip tapatybės valdymas ar VPN, įtraukta tik kaip savybė, nepadaro produkto „svarbiu“, nebent tai yra jo pagrindinė paskirtis. Kai gali būti taikoma daugiau nei viena kategorija, taikoma griežtesnė klasė. Art. 7
Nekomercinė atvirojo kodo programinė įranga, kuriama ne vykdant komercinę veiklą, daugiausia nepatenka į taikymo sritį. Atvirojo kodo programinės įrangos prižiūrėtojai turi lengvesnį, pritaikytą prievolių rinkinį. Atvirojo kodo komponentai, tiekiami vykdant komercinę veiklą, gali patekti į taikymo sritį.
Savarankiškos paslaugos paprastai nepatenka į CRA taikymo sritį. Tačiau nuotolinio duomenų tvarkymo sprendimai, būtini produkto funkcijoms atlikti, laikomi to produkto dalimi ir patenka į taikymo sritį. Art. 3(2)
Taip. CRA taikomas ES rinkai pateiktiems produktams, nepriklausomai nuo to, kur įsisteigęs gamintojas. Ne ES gamintojai privalo užtikrinti, kad už atitinkamas prievoles būtų atsakingas Sąjungoje įsisteigęs ekonominės veiklos vykdytojas.
Jie skirstomi į dvi I priedo dalis: saugumo savybes, kurias turi turėti produktas (saugumas pagal numatytąsias nuostatas, konfidencialumas, vientisumas, prieinamumas, minimizuotas atakų paviršius, saugumo atnaujinimai), ir pažeidžiamumų valdymo procesus, kuriuos turi vykdyti gamintojas (SBOM, taisymas, koordinuotas atskleidimas). I priedas
Taip. Gamintojai privalo nustatyti ir dokumentuoti produkte esančius komponentus, be kita ko, parengdami programinės įrangos medžiagų sąrašą plačiai naudojamu, mašininiu būdu nuskaitomu formatu. I priedas · II(1)
Paramos laikotarpis yra laikas, per kurį gamintojas privalo teikti saugumo atnaujinimus. Jis turi atspindėti laikotarpį, kurį produktas pagrįstai numatomas naudoti; Komisijos gairėse nurodoma, kad jis paprastai turėtų būti bent penkeri metai, nebent numatoma naudojimo trukmė trumpesnė. Art. 13(8)
Apie aktyviai išnaudojamus pažeidžiamumus ir didelius incidentus, paveikiančius produkto saugumą, turi būti pranešta ENISA ir atitinkamam CSIRT. Išankstinis įspėjimas pateikiamas per 24 valandas nuo sužinojimo, po jo – išsamesnis pranešimas ir galutinė ataskaita. Art. 14
Aktas įsigaliojo 2024 m. gruodžio 10 d. Pranešimo prievolės taikomos nuo 2026 m. rugsėjo (po 21 mėnesio), o dauguma prievolių taikomos nuo 2027 m. gruodžio (po 36 mėnesių). Art. 71
Už esminių reikalavimų ar gamintojo prievolių pažeidimus gali būti skiriamos baudos iki 15 mln. € arba 2,5 % visos pasaulinės metinės apyvartos, atsižvelgiant į tai, kuri suma didesnė. Kitiems pažeidimams ir neteisingos informacijos pateikimui taikomos mažesnės ribos.
14 straipsnyje nustatytos pranešimo prievolės tampa privalomos nuo 2026 m. rugsėjo 11 d. ENISA pagal 16 straipsnį kuria bendrą pranešimų teikimo platformą, per kurią gamintojai praneš ENISA ir nacionaliniam CSIRT apie aktyviai išnaudojamus pažeidžiamumus ir didelius incidentus; numatoma, kad ji pradės veikti iki tos datos. Art. 14
Komisijos standartizacijos prašymą M/606 CEN, CENELEC ir ETSI priėmė 2025 m.; jis apima apie 41 standartą (horizontaliuosius ir susijusius su konkrečiais produktais). Du pagrindiniai horizontalieji standartai (saugus kūrimas ir pažeidžiamumų valdymas) tikimasi iki 2026 m. rugpjūčio 30 d., vertikalūs produktų standartai – iki 2026 m. spalio 30 d., o likę horizontalieji standartai – iki 2027 m. spalio 30 d., prieš visapusišką taikymą 2027 m. gruodžio mėn. Cituojamo darniojo standarto laikymasis suteikia atitikties prezumpciją. I priedas
Atlikite savo produkto klasei taikytiną atitikties vertinimo procedūrą, parenkite techninę dokumentaciją, surašykite ir pasirašykite ES atitikties deklaraciją, o tada pažymėkite CE ženklu. Numatytuosius produktus galima vertinti savarankiškai; svarbiems ir ypatingos svarbos produktams taikomos griežtesnės procedūros. Art. 28 · 32
Pradėkite nuo CRA greitosios patikros, kad patvirtintumėte taikymo sritį ir klasę, vadovaukitės jūsų vaidmeniui parengtu vadovu ir naudokite atitikties matricą esminiams reikalavimams iki galo įgyvendinti.
Neradote atsakymo?
Patvirtinkite savo produkto padėtį atlikdami nemokamą savarankišką vertinimą arba perskaitykite aiškia kalba parašytą paaiškinimą.