EU-korrektionen fra juli 2025 afklarer, at sikkerhedsopdateringer kun kræves i supportperioden. SMV'er er fritaget for bøder for visse missede deadlines.
Sårbarhedshåndtering kun i supportperioden
I artikel 13 stykke 8 rettede korrektionen en redaktionel men afgørende fejl. Oprindeligt henviste teksten til "[…] i den forventede produktlevetid og supportperioden […]". Det lyder nu korrekt:
"[…] i supportperioden […]"
Dette gør det klart: forpligtelsen til at adressere sårbarheder eksisterer kun i supportperioden defineret af producenten, ikke ud over denne periode.
Denne afklaring betyder især meget for langvarige produkter i sektorer som industri, maskinteknik eller medicinsk teknologi. Producenter må selv definere supportperiodens længde - under hensyntagen til det tilsigtede formål, brugerforventninger og sammenlignelige produkter. De er ikke forpligtet til at levere sikkerhedsopdateringer ud over produktets realistiske levetid.
Ingen sanktioner for visse rapporteringsforpligtelser for små virksomheder
Endnu mere praktisk relevant er ændringen af artikel 64 stykke 10. Indledningssætningen blev ændret som følger:
Fra: "Som undtagelse fra stykkerne 3 til 9 […]"
Til: "Som undtagelse fra stykkerne 2 til 9 […]"
Hvorfor betyder dette noget? Stykke 2 i Cyber Resilience Act indeholder de hårdeste sanktioner: bøder på op til 15 millioner EUR eller 2,5% af global omsætning for overtrædelser af centrale producentforpligtelser (for eksempel sikker udvikling, sårbarhedshåndtering, risikoanalyse).
Med denne ændring er det nu klart: disse sanktioner gælder ikke for mikro- eller små virksomheder, når de kun misser følgende deadlines:
- Artikel 14(2)(a): deadline for indgivelse af tidlig advarsel om aktivt udnyttet sårbarhed
- Artikel 14(4)(a): deadline for indgivelse af tidlig advarsel om alvorlig sikkerhedshændelse
Derudover er vedligeholdere af open source-software i princippet fritaget for alle sanktioner under artikel 64 stykkerne 2 til 9.
Praktiske konsekvenser
Cyber Resilience Act stiller høje krav til producenter af produkter med digitale elementer - fra IoT-enheder til industrielle installationer. De seneste ændringer giver vigtige afklaringer:
- Forpligtelser til at adressere sårbarheder gælder kun i varigheden af den lovede support. Dette forhindrer urealistiske krav.
- Mikro- og små virksomheder får mere tid og spillerum til at opbygge processer for rapportering af sårbarheder - uden straks at møde bøder.
- Ændringerne forhindrer ikke sanktioner for alvorlige pligtovertrædelser, men de sikrer, at simple forglemmelser i nye rapporteringsprocesser ikke straffes uforholdsmæssigt.
Konklusion
Korrektionen fra 2. juli 2025 er mere end redaktionel præcision - den skaber retssikkerhed, især for mellemstore producenter og startups. Ændringerne viser, at EU-Kommissionen tager proportionalitet i implementeringen af Cyber Resilience Act seriøst.
Afklaringerne skaber større retssikkerhed, men rejser også nye afgrænsningsspørgsmål. Hvis du ønsker at forstå, hvilke forpligtelser der gælder for din virksomhed, og hvor der er spillerum for handlefrihed, kan dette afklares i en uforpligtende samtale.