Pogosta vprašanja

Klasifikacija sledi osnovni funkcionalnosti izdelka, ne pa vsaki funkciji, ki jo vključuje. Če osnovna funkcija ustreza kategoriji, navedeni v Prilogi III, je izdelek 'pomemben' (razred I ali II); če ustreza Prilogi IV, je 'kritičen'; sicer je 'privzet'. Zmožnost, kot je upravljanje identitete ali VPN, vključena le kot funkcija, izdelka ne naredi 'pomembnega', razen če je to njegov osnovni namen. Kadar bi se lahko uporabljala več kot ena kategorija, velja strožji razred. Art. 7

Nekomercialna odprtokodna programska oprema, razvita zunaj komercialne dejavnosti, je večinoma zunaj področja uporabe. Upravljavci odprtokodne programske opreme imajo blažji, prilagojen nabor obveznosti. Odprtokodne komponente, dobavljene v okviru komercialne dejavnosti, lahko spadajo na področje uporabe.

Samostojne storitve so na splošno zunaj CRA. Vendar se rešitve za oddaljeno obdelavo podatkov, ki so potrebne za izvajanje funkcij izdelka, obravnavajo kot del tega izdelka in spadajo na področje uporabe. Art. 3(2)

Da. CRA velja za izdelke, dane na trg EU, ne glede na to, kje ima proizvajalec sedež. Proizvajalci zunaj EU morajo zagotoviti, da je za ustrezne obveznosti odgovoren gospodarski subjekt s sedežem v Uniji.

Delijo se v dva dela Priloge I: varnostne lastnosti, ki jih mora imeti izdelek (privzeto varno, zaupnost, celovitost, razpoložljivost, čim manjša napadalna površina, varnostne posodobitve), in postopke obravnavanja ranljivosti, ki jih mora izvajati proizvajalec (SBOM, odprava, usklajeno razkrivanje). Priloga I

Da. Proizvajalci morajo prepoznati in dokumentirati komponente, vsebovane v izdelku, vključno s pripravo seznama sestavin programske opreme v splošno uporabljani, strojno berljivi obliki. Priloga I · II(1)

Obdobje podpore je čas, v katerem mora proizvajalec zagotavljati varnostne posodobitve. Odražati mora obdobje, v katerem se razumno pričakuje uporaba izdelka; smernice Komisije nakazujejo, da naj bi to praviloma trajalo vsaj pet let, razen če je pričakovana uporaba krajša. Art. 13(8)

O aktivno izkoriščenih ranljivostih in resnih incidentih, ki vplivajo na varnost izdelka, je treba obvestiti ENISA in zadevni CSIRT. Zgodnje opozorilo je treba podati v 24 urah po seznanitvi, sledita pa mu izčrpnejša priglasitev in končno poročilo. Art. 14

Akt je začel veljati 10. decembra 2024. Obveznosti poročanja se uporabljajo od septembra 2026 (21 mesecev pozneje), večina obveznosti pa od decembra 2027 (36 mesecev pozneje). Art. 71

Kršitve bistvenih zahtev ali obveznosti proizvajalca lahko privedejo do glob do 15 milijonov € ali 2,5 % skupnega svetovnega letnega prometa, odvisno od tega, kaj je višje. Za druge kršitve in za posredovanje napačnih informacij veljajo nižje zgornje meje.

Obveznosti poročanja iz člena 14 postanejo izvršljive 11. septembra 2026. ENISA na podlagi člena 16 vzpostavlja enotno platformo za poročanje, prek katere bodo proizvajalci o aktivno izkoriščenih ranljivostih in resnih incidentih obvestili ENISA in nacionalni CSIRT; do tega datuma naj bi začela delovati. Art. 14

Zahtevo Komisije za standardizacijo M/606 so leta 2025 sprejeli CEN, CENELEC in ETSI; zajema približno 41 standardov (horizontalnih in specifičnih za izdelek). Dva osnovna horizontalna standarda (varni razvoj in obravnavanje ranljivosti) sta pričakovana do 30. avgusta 2026, vertikalni standardi za izdelke do 30. oktobra 2026, preostali horizontalni standardi pa do 30. oktobra 2027, pred polno uporabo decembra 2027. Upoštevanje navedenega harmoniziranega standarda daje domnevo o skladnosti. Priloga I

Izvedite pot ugotavljanja skladnosti za razred svojega izdelka, pripravite tehnično dokumentacijo, sestavite in podpišite izjavo EU o skladnosti ter nato namestite oznako CE. Privzeti izdelki se lahko ocenijo sami; pomembni in kritični izdelki zahtevajo strožje poti. Art. 28 · 32

Začnite s hitrim pregledom CRA, da potrdite področje uporabe in razred, sledite vodniku, napisanemu za vašo vlogo, in z matriko skladnosti spremljajte bistvene zahteve do dokončanja.