01Čo to je
Nariadenie stanovuje povinnosti; usmernenie Komisie vysvetľuje, ako ich uplatňovať v praxi. Usmernenie je nezáväzné a nemení zákon, ale orgány dohľadu nad trhom a notifikované orgány sa naň obracajú pre jednotný výklad, takže je prirodzeným spoločníkom Art. 1 text.
Čítajte usmernenie spolu s článkom, ktorý vykladá. Ak sa usmernenie a vaše vlastné čítanie líšia, záväzným referenčným zdrojom je vždy text nariadenia a v konečnom dôsledku súdy.
02Často kladené otázky Komisie
Komisia vedie dokument s často kladenými otázkami, ktorý zhromažďuje najbežnejšie výkladové otázky: hraničné prípady rozsahu pôsobnosti, zaobchádzanie s náhradnými dielmi a komponentmi a spôsob, akým sa harmonogram uplatňuje na produkty, ktoré sú už na trhu. Prvýkrát zverejnený v decembri 2025 je „živým dokumentom“, ktorý sa aktualizuje, keď vznikajú nové otázky.
Prečítajte si často kladené otázky Komisie o vykonávaní CRA: Vykonávanie aktu o kybernetickej odolnosti: často kladené otázky ↗
03Objasnenia rozsahu pôsobnosti
Veľká časť usmernenia sa venuje rozsah pôsobnosti, oblasti, na ktorú sa pýta úplne najčastejšie. Objasňuje, čo sa považuje za „produkt s digitálnymi prvkami“, ako sa zaobchádza s riešeniami diaľkového spracovania údajov a kde leží hranica voči odvetvovým právnym predpisom. Art. 2
- Dátové pripojenie; na zahrnutie produktu do rozsahu pôsobnosti stačí priame alebo nepriame logické alebo fyzické pripojenie.
- Vylúčené odvetvia; zdravotnícke pomôcky, motorové vozidlá a civilné letectvo zostávajú pod vlastnými rámcami.
- SaaS; samostatné služby sú vo všeobecnosti mimo CRA, ale spracúvanie nevyhnutné na fungovanie produktu sa považuje za súčasť produktu. Art. 3
04Open-source softvér
Usmernenie vysvetľuje prispôsobený, ľahší režim pre open source. Nekomerčný open-source softvér vyvíjaný mimo komerčnej činnosti je z veľkej časti mimo rozsahu pôsobnosti; „správcovia open-source softvéru“ majú vymedzený, primeraný súbor povinností.
Spúšťačom je komerčná činnosť. Komponent dodávaný bezplatne, ale v rámci komerčnej činnosti, môže napriek tomu patriť do rozsahu pôsobnosti.
05Obdobie podpory a aktualizácie
Usmernenie naznačuje, ako stanoviť obhájiteľné obdobie podpory: musí odrážať, ako dlho sa odôvodnene očakáva používanie produktu, a vo všeobecnosti by malo byť aspoň päť rokov, pokiaľ nie je očakávané používanie kratšie. Bezpečnostné aktualizácie musia byť bezplatné a poskytované oddelene od aktualizácií funkcií. Art. 13
06Oznamovanie a ENISA
Oznamovanie prebieha prostredníctvom jednotnej platformy na oznamovanie, ktorú ENISA zriaďuje podľa Art. 16. Po zistení aktívne zneužívanej zraniteľnosti alebo závažného incidentu s vplyvom na bezpečnosť produktu výrobca prostredníctvom tejto platformy informuje ENISA a národnú CSIRT v harmonograme 24 hodín / 72 hodín / 14 dní. Usmernenie stanovuje, čo by malo obsahovať včasné varovanie, oznámenie a záverečná správa. Art. 14
Oznamovacie povinnosti sa stávajú vymáhateľnými 11. septembra 2026 a jednotná platforma na oznamovanie agentúry ENISA má byť do tohto dátumu funkčná.
07Harmonizované normy
Základné požiadavky v Príloha I sú vyjadrené z hľadiska výsledkov. Harmonizované normy po citovaní v Úradnom vestníku zakladajú predpoklad zhody pre produkty, ktoré ich dodržiavajú.
Žiadosť Komisie o normalizáciu M/606 prijali CEN, CENELEC a ETSI v roku 2025 a pokrýva približne 41 noriem: zhruba 15 horizontálnych (nezávislých od produktu) a zvyšok vertikálnych (špecifických pre produkty). Dve základné horizontálne normy, o bezpečnom vývoji a o riešení zraniteľností, sa očakávajú do 30. augusta 2026; vertikálne normy do 30. októbra 2026; a zostávajúce horizontálne normy do 30. októbra 2027, približne rok pred úplným uplatňovaním.
Kým nie sú normy citované, zhoda sa musí preukazovať priamo voči požiadavkám prílohy I. Po citovaní príslušnej normy je jej dodržiavanie najjednoduchšou cestou k predpokladu zhody.