01Kas tas ir
Regula nosaka pienākumus; Komisijas vadlīnijas izskaidro, kā tos piemērot praksē. Vadlīnijas nav saistošas un nemaina likumu, taču tirgus uzraudzības iestādes un paziņotās struktūras tās izmanto konsekventai interpretācijai, tāpēc tās ir dabisks papildinājums Art. 1 teksts.
Lasiet vadlīnijas līdztekus pantam, ko tās interpretē. Ja vadlīnijas un jūsu pašu izpratne atšķiras, saistošā atsauce vienmēr ir regulas teksts un, galu galā, tiesas.
02Komisijas BUJ
Komisija uztur biežāk uzdoto jautājumu dokumentu, kurā apkopoti visbiežākie interpretācijas jautājumi: darbības jomas robežgadījumi, rezerves daļu un komponentu apstrāde un tas, kā termiņi attiecas uz produktiem, kas jau ir tirgū. Pirmoreiz publicēts 2025. gada decembrī, tas ir “dzīvs dokuments”, kas tiek atjaunināts, rodoties jauniem jautājumiem.
Iepazīstieties ar Komisijas bieži uzdoto jautājumu sadaļu par CRA īstenošanu: Kibernoturības akta īstenošana: biežāk uzdotie jautājumi ↗
03Darbības jomas precizējumi
Liela daļa norādījumu attiecas uz darbības joma, joma, par kuru tiek uzdots visvairāk jautājumu. Tajā precizēts, kas uzskatāms par "produktu ar digitāliem elementiem", kā tiek traktēti attālinātās datu apstrādes risinājumi un kur atrodas robeža ar nozarei specifiskiem tiesību aktiem. Art. 2
- Datu savienojums; tiešs vai netiešs loģisks vai fizisks savienojums ir pietiekams, lai produkts ietilptu darbības jomā.
- Izslēgtās nozares; medicīniskās ierīces, mehāniskie transportlīdzekļi un civilā aviācija paliek savos regulējumos.
- SaaS; atsevišķi pakalpojumi parasti neietilpst CRA darbības jomā, taču apstrāde, kas nepieciešama produkta darbībai, tiek uzskatīta par produkta daļu. Art. 3
04Atvērtā pirmkoda programmatūra
Norādījumos skaidrots pielāgotais, vieglākais režīms atvērtajam pirmkodam. Nekomerciāla atvērtā pirmkoda programmatūra, kas izstrādāta ārpus komerciālas darbības, lielākoties neietilpst darbības jomā; "atvērtā pirmkoda programmatūras pārvaldītājiem" ir noteikts, samērīgs pienākumu kopums.
Izšķirošais faktors ir komercdarbība. Komponents, kas piegādāts bez maksas, taču komercdarbības ietvaros, joprojām var ietilpt darbības jomā.
05Atbalsta periods un atjauninājumi
Norādījumi norāda, kā noteikt pamatojamu atbalsta periods: tam jāatspoguļo, cik ilgi produktu pamatoti paredzēts lietot, un parasti tam vajadzētu būt vismaz pieciem gadiem, ja vien paredzamais lietošanas laiks nav īsāks. Drošības atjauninājumiem jābūt bezmaksas un jānodrošina atsevišķi no funkciju atjauninājumiem. Art. 13
06Ziņošana un ENISA
Ziņošana notiek caur vienoto ziņošanas platformu, ko ENISA izveido saskaņā ar Art. 16. Uzzinot par aktīvi izmantotu ievainojamību vai smagu incidentu, kas ietekmē produkta drošību, ražotājs paziņo ENISA un valsts CSIRT, izmantojot šo platformu, ievērojot 24 stundu / 72 stundu / 14 dienu grafiku. Norādījumos noteikts, kas jāietver agrīnajā brīdinājumā, paziņojumā un galīgajā ziņojumā. Art. 14
Ziņošanas pienākumi kļūst izpildāmi 2026. gada 11. septembrī, un paredzēts, ka līdz šim datumam darbosies ENISA vienotā ziņošanas platforma.
07Saskaņotie standarti
Pamatprasības, kas noteiktas I pielikums ir izteiktas rezultātu izteiksmē. Saskaņotie standarti, tiklīdz tie ir citēti Oficiālajā Vēstnesī, rada atbilstības prezumpciju produktiem, kas tiem atbilst.
Komisijas standartizācijas pieprasījums M/606 CEN, CENELEC un ETSI pieņēma 2025. gadā, un tas aptver aptuveni 41 standartu: aptuveni 15 horizontālos (produktneatkarīgos) un pārējos vertikālos (produktiem specifiskos). Divi pamata horizontālie standarti par drošu izstrādi un par ievainojamību apstrādi gaidāmi līdz 2026. gada 30. augustam; vertikālie standarti līdz 2026. gada 30. oktobrim; un atlikušie horizontālie standarti līdz 2027. gada 30. oktobrim, aptuveni gadu pirms pilnīgas piemērošanas.
Kamēr standarti nav citēti, atbilstība jāpierāda tieši attiecībā pret I pielikuma prasībām. Tiklīdz attiecīgais standarts ir citēts, tā ievērošana ir vienkāršākais ceļš uz atbilstības prezumpciju.