Întrebări frecvente

Clasificarea se face în funcție de funcționalitatea de bază a produsului, nu de fiecare caracteristică pe care o include. În cazul în care funcția de bază corespunde unei categorii menționate în anexa III, produsul este „important” (clasa I sau II); dacă aceasta corespunde anexei IV, este „critic”; în caz contrar, este „implicit”. O capacitate precum gestionarea identității sau un VPN, inclusă doar ca o caracteristică, nu face ca produsul să fie „important”, cu excepția cazului în care acela este scopul său principal. În cazul în care s-ar putea aplica mai multe categorii, se aplică clasa mai strictă. Art. 7

Software-ul cu sursă deschisă necomercial, dezvoltat în afara unei activități comerciale, se află în mare parte în afara domeniului de aplicare. Administratorii de software cu sursă deschisă au un set de obligații mai puțin strict și adaptat. Componentele cu sursă deschisă furnizate în cursul unei activități comerciale pot intra în domeniul de aplicare.

Serviciile de sine stătătoare se află, în general, în afara domeniului de aplicare al CRA. Cu toate acestea, soluțiile de prelucrare a datelor la distanță care sunt necesare pentru ca un produs să își îndeplinească funcțiile sunt tratate ca parte a produsului respectiv și intră în domeniul de aplicare. Art. 3(2)

Da. CRA se aplică produselor introduse pe piața UE indiferent de locul în care este stabilit fabricantul. Fabricanții din afara UE trebuie să se asigure că un operator economic stabilit în Uniune este responsabil de obligațiile relevante.

Acestea se împart în două părți ale anexei I: proprietățile de securitate pe care trebuie să le aibă produsul (securitate în mod implicit, confidențialitate, integritate, disponibilitate, suprafață de atac redusă la minimum, actualizări de securitate) și procesele de gestionare a vulnerabilităților pe care trebuie să le opereze fabricantul (SBOM, remediere, divulgare coordonată). anexa I

Da. Fabricanții trebuie să identifice și să documenteze componentele conținute în produs, inclusiv prin întocmirea unei nomenclaturi de materiale software într-un format utilizat în mod curent, care poate fi citit automat. anexa I · II(1)

Perioada de asistență este intervalul de timp în care un fabricant trebuie să furnizeze actualizări de securitate. Aceasta trebuie să reflecte perioada în care se preconizează în mod rezonabil că produsul va fi utilizat; orientările Comisiei indică faptul că, în general, aceasta ar trebui să fie de cel puțin cinci ani, cu excepția cazului în care utilizarea preconizată este mai scurtă. Art. 13(8)

Vulnerabilitățile exploatate în mod activ și incidentele grave care afectează securitatea produsului trebuie notificate ENISA și CSIRT-ului relevant. O avertizare timpurie este necesară în termen de 24 de ore de la luarea la cunoștință, urmată de o notificare mai amplă și de un raport final. Art. 14

Regulamentul a intrat în vigoare la 10 decembrie 2024. Obligațiile de raportare se aplică începând cu septembrie 2026 (21 de luni mai târziu), iar majoritatea obligațiilor se aplică începând cu decembrie 2027 (36 de luni mai târziu). Art. 71

Încălcările cerințelor esențiale sau ale obligațiilor fabricantului pot atrage amenzi de până la 15 milioane € sau 2,5 % din cifra de afaceri anuală mondială totală, oricare dintre aceste valori este mai mare. Plafoane mai scăzute se aplică altor încălcări și furnizării de informații incorecte.

Obligațiile de raportare prevăzute la articolul 14 devin obligatorii la 11 septembrie 2026. ENISA instituie platforma unică de raportare în temeiul articolului 16, prin intermediul căreia fabricanții vor notifica ENISA și CSIRT-ului național vulnerabilitățile exploatate în mod activ și incidentele grave; aceasta este menită să fie operațională până la data respectivă. Art. 14

Cererea de standardizare M/606 a Comisiei a fost acceptată de CEN, CENELEC și ETSI în 2025, acoperind aproximativ 41 de standarde (orizontale și specifice produselor). Cele două standarde orizontale de bază (dezvoltarea securizată și gestionarea vulnerabilităților) sunt așteptate până la 30 august 2026, standardele verticale de produs până la 30 octombrie 2026, iar standardele orizontale rămase până la 30 octombrie 2027, înainte de aplicarea deplină din decembrie 2027. Respectarea unui standard armonizat citat conferă o prezumție de conformitate. anexa I

Parcurgeți procedura de evaluare a conformității pentru clasa produsului dumneavoastră, întocmiți documentația tehnică, redactați și semnați declarația de conformitate UE, apoi aplicați marcajul CE. Produsele implicite pot face obiectul autoevaluării; produsele importante și critice necesită proceduri mai stricte. Art. 28 · 32

Începeți cu verificarea rapidă CRA pentru a confirma domeniul de aplicare și clasa, urmați ghidul redactat pentru rolul dumneavoastră și utilizați matricea de conformitate pentru a monitoriza îndeplinirea cerințelor esențiale.