EU-rettelsen fra juli 2025 afklarer, at sikkerhedsopdateringer kun er påkrævet i support-perioden. Mikro- og små virksomheder er fritaget for bøder ved visse manglede deadlines.
Sårbarhedshåndtering kun i support-perioden
I artikel 13(8) rettede errataen en drafting men afgørende fejl. Den oprindelige tekst henviste til "[...] i løbet af forventet produktlevetid og support-perioden [...]". Den læser nu korrekt:
"[...] i løbet af support-perioden [...]"
Dette gør det klart: forpligtelsen til at adressere sårbarheder eksisterer kun i support-perioden defineret af producenten, ikke udover den.
Denne afklaring er især vigtig for langvarige produkter, for eksempel i industri, maskinteknik eller medicinsk teknologi. Producenter kan selv definere længden af support-perioden - under hensyntagen til produktets tilsigtede formål, brugerforventninger og sammenlignelige produkter. De er ikke forpligtet til at levere sikkerhedsopdateringer udover produktets realistiske levetid.
Ingen sanktioner for visse rapporteringsforpligtelser for små virksomheder
Endnu mere praktisk relevant er ændringen i artikel 64(10). Den indledende sætning blev ændret som følger:
Fra: "I modsætning til stk. 3 til 9 [...]"
Til: "I modsætning til stk. 2 til 9 [...]"
Hvorfor betyder det noget? Paragraf 2 i Cyber Resilience Act fastlægger de hårdeste sanktioner: bøder på op til EUR 15 millioner eller 2,5% af global omsætning for overtrædelser af centrale producentforpligtelser (f.eks. sikker udvikling, sårbarhedshåndtering, risikoanalyse).
Med ændringen er det nu klart: disse sanktioner gælder ikke for mikro- eller små virksomheder, når de kun undlader at overholde følgende deadlines:
- Artikel 14(2)(a): deadline for indsendelse af tidlig advarsel om en aktivt udnyttet sårbarhed
- Artikel 14(4)(a): deadline for indsendelse af tidlig advarsel om en alvorlig sikkerhedsincident
Derudover: maintainers af open-source software er i princippet fritaget for alle sanktioner i artikel 64(2) til (9).
Praktiske konsekvenser
Cyber Resilience Act stiller høje krav til producenter af produkter med digitale elementer - fra IoT-enheder til industrielle installationer. De seneste ændringer giver vigtige afklaringer:
- Forpligtelser til at adressere sårbarheder gælder kun i varigheden af den lovede support. Det undgår urealistiske krav.
- Mikro- og små virksomheder får mere tid og frirum til at etablere processer for rapportering af sårbarheder - uden øjeblikkelig eksponering for bøder.
- Ændringerne forhindrer ikke sanktioner for grove forpligtelsesovertrædelser, men de sikrer, at mindre fejl i nye rapporteringsprocesser ikke straffes uforholdsmæssigt.
Konklusion
Errataen af 2. juli 2025 er mere end redaktionel præcision - den skaber juridisk sikkerhed, især for mellemstore producenter og start-ups. Ændringerne gør det klart, at Europa-Kommissionen tager proportionalitet i implementeringen af Cyber Resilience Act seriøst.