Najczęściej zadawane pytania

Klasyfikacja zależy od podstawowej funkcjonalności produktu, a nie od każdej funkcji, którą produkt zawiera. Jeżeli funkcja podstawowa odpowiada kategorii wymienionej w załączniku III, produkt jest „ważny” (klasa I lub II); jeżeli odpowiada załącznikowi IV, jest „krytyczny”; w przeciwnym razie jest „domyślny”. Funkcja taka jak zarządzanie tożsamością czy VPN, uwzględniona wyłącznie jako jedna z cech, nie czyni produktu „ważnym”, o ile nie jest jego podstawowym przeznaczeniem. Jeżeli zastosowanie mogłaby mieć więcej niż jedna kategoria, obowiązuje klasa bardziej rygorystyczna. Art. 7

Niekomercyjne otwarte oprogramowanie opracowywane poza działalnością handlową pozostaje w znacznej mierze poza zakresem stosowania. Opiekunowie otwartego oprogramowania mają lżejszy, dostosowany zestaw obowiązków. Komponenty otwartego oprogramowania dostarczane w ramach działalności handlowej mogą być objęte zakresem stosowania.

Usługi samodzielne są co do zasady poza zakresem CRA. Rozwiązania do zdalnego przetwarzania danych, które są niezbędne do pełnienia przez produkt jego funkcji, są jednak traktowane jako część tego produktu i są objęte zakresem stosowania. Art. 3(2)

Tak. CRA ma zastosowanie do produktów wprowadzanych do obrotu na rynku UE niezależnie od miejsca siedziby producenta. Producenci spoza UE muszą zapewnić, aby za odpowiednie obowiązki odpowiadał podmiot gospodarczy mający siedzibę w Unii.

Dzielą się one na dwie części załącznika I: właściwości w zakresie bezpieczeństwa, które produkt musi posiadać (bezpieczny domyślnie, poufność, integralność, dostępność, zminimalizowana powierzchnia ataku, aktualizacje zabezpieczeń) oraz procesy postępowania w przypadku podatności, które producent musi prowadzić (SBOM, usuwanie podatności, skoordynowane ujawnianie). Załącznik I

Tak. Producenci muszą identyfikować i dokumentować składniki zawarte w produkcie, w tym poprzez sporządzenie zestawienia składników oprogramowania (SBOM) w powszechnie stosowanym formacie nadającym się do odczytu maszynowego. Załącznik I · II(1)

Okres wsparcia to czas, w którym producent musi zapewniać aktualizacje zabezpieczeń. Musi on odzwierciedlać okres, przez jaki racjonalnie oczekuje się, że produkt będzie używany; wytyczne Komisji wskazują, że co do zasady powinien on wynosić co najmniej pięć lat, chyba że spodziewany okres użytkowania jest krótszy. Art. 13(8)

Aktywnie wykorzystywane podatności oraz poważne incydenty wpływające na bezpieczeństwo produktu należy zgłaszać do ENISA i właściwego CSIRT. Wczesne ostrzeżenie należy przekazać w ciągu 24 godzin od powzięcia wiedzy, a następnie pełniejsze zgłoszenie i raport końcowy. Art. 14

Akt wszedł w życie 10 grudnia 2024 r. Obowiązki w zakresie zgłaszania obowiązują od września 2026 r. (21 miesięcy później), a większość obowiązków obowiązuje od grudnia 2027 r. (36 miesięcy później). Art. 71

Naruszenia zasadniczych wymagań lub obowiązków producenta mogą skutkować nałożeniem kar finansowych w wysokości do €15 mln lub 2,5% całkowitego rocznego światowego obrotu, w zależności od tego, która z tych kwot jest wyższa. Niższe pułapy mają zastosowanie do innych naruszeń oraz do przekazywania nieprawidłowych informacji.

Obowiązki w zakresie zgłaszania określone w artykule 14 stają się egzekwowalne 11 września 2026 r. ENISA tworzy jedną platformę zgłoszeniową na podstawie artykułu 16, za pośrednictwem której producenci będą zgłaszać aktywnie wykorzystywane podatności i poważne incydenty do ENISA i krajowego CSIRT; platforma ma być operacyjna do tej daty. Art. 14

Wniosek normalizacyjny Komisji M/606 został przyjęty przez CEN, CENELEC i ETSI w 2025 r. i obejmuje około 41 norm (horyzontalnych i specyficznych dla produktów). Dwie podstawowe normy horyzontalne (bezpieczne tworzenie oprogramowania i postępowanie w przypadku podatności) są oczekiwane do 30 sierpnia 2026 r., wertykalne normy produktowe do 30 października 2026 r., a pozostałe normy horyzontalne do 30 października 2027 r., przed pełnym stosowaniem w grudniu 2027 r. Stosowanie się do przywołanej normy zharmonizowanej daje domniemanie zgodności. Załącznik I

Przeprowadź właściwą dla klasy swojego produktu procedurę oceny zgodności, zgromadź dokumentację techniczną, sporządź i podpisz deklarację zgodności UE, a następnie umieść oznakowanie CE. Produkty domyślne mogą podlegać samoocenie; ważne produkty i krytyczne produkty wymagają bardziej rygorystycznych procedur. Art. 28 · 32

Zacznij od narzędzia CRA Fast Check, aby potwierdzić zakres stosowania i klasę, postępuj zgodnie z przewodnikiem przygotowanym dla Twojej roli i użyj macierzy zgodności, aby śledzić realizację zasadniczych wymagań aż do ich ukończenia.