EN SV
legislation

EU udgiver svar på ofte stillede spørgsmål om CRA

4 minutters læsning
EU udgiver svar på ofte stillede spørgsmål om CRA

Det første officielle FAQ dokument om Cyber Resilience Act er nu tilgængeligt. På 66 sider afklarer EU Kommissionen centrale spørgsmål om anvendelsesområde, producentforpligtelser og implementering.

Baggrund og betydning

Cyber Resilience Act (Forordning (EU) 2024/2847) trådte i kraft den 10. december 2024. Forordningen fastsætter cybersikkerhedskrav for produkter med digitale elementer som bringes på EU markedet. Siden dens ikrafttræden har der været et betydeligt behov for afklaring blandt producenter, importører og andre økonomiske aktører vedrørende konkret implementering.

Det nyligt offentliggjorte dokument tilbyder indledende vejledning. Kommissionen understreger eksplicit:

  • Det er et "levende dokument" som vil blive opdateret efter behov
  • Svarene udgør ikke en bindende juridisk fortolkning
  • Yderligere officielle retningslinjer under artikel 26 i CRA vil følge i de kommende måneder

Struktur og omfang

Dokumentet er inddelt i syv hovedkapitler med i alt 75 individuelle spørgsmål:

  1. Anvendelsesområde (9 spørgsmål) - Hvilke produkter falder under CRA og hvilke er udelukket?
  2. Samspil med andre retsakter (23 spørgsmål) - Forhold til Maskinforordningen, GDPR, produktsikkerhed, Radio Equipment Directive og andre EU retsakter
  3. Vigtige og kritiske produkter (4 spørgsmål) - Klassifikation og dens effekter
  4. Producentforpligtelser (29 spørgsmål) - Risikovurdering, essentielle krav, sårbarhedshåndtering, due diligence, supportperioder
  5. Rapporteringsforpligtelser (4 spørgsmål) - Krav til rapportering af sårbarheder og hændelser
  6. Overensstemmelsesvurdering (10 spørgsmål) - Moduler A, B+C og H, teknisk dokumentation, CE mærkning
  7. Overgangsbestemmelser (5 spørgsmål) - Anvendelsesdatoer og behandling af legacy produkter

Udvalgte afklaringer

Dokumentet indeholder talrige praktiske afklaringer. Nogle eksempler:

  • Om anvendelsesområde: Kommissionen giver konkrete eksempler på produkter som ikke falder under CRA, såsom en opvaskemaskine med embedded firmware som ikke har tilslutningsevne til andre enheder, eller en elektrisk tandbørste med en trådløs opladerstation men uden dataforbindelse.
  • Om producentforpligtelser: Producenter er ikke nødvendigvis forpligtet til at udbedre enhver opdaget sårbarhed; de skal beslutte baseret på risiko. Kommissionen forklarer med eksempler hvornår forskellige afhjælpningsforanstaltninger kan være passende - fra øjeblikkelige patches gennem workarounds til dokumentationsopdateringer.
  • Om komponenter: Producenter kan integrere komponenter uden CE mærkning, for eksempel open source komponenter. Den afgørende faktor er udøvelse af passende due diligence, hvis omfang afhænger af den risiko som den respektive komponent udgør.
  • Om supportperioden: Minimumsupportperioden på fem år er ikke absolut. For produkter med en kortere forventet brugstid kan supportperioden være tilsvarende kortere. Omvendt skal producenter for produkter med en længere forventet brugsperiode levere længere supportperioder.
  • Om overgangsbestemmelser: CRA gælder for individuelle produkter, ikke for produkttyper. En produkttype udviklet før skæringsdatoen kan ikke blot fortsætte med at blive produceret og bragt på markedet efter 11. december 2027 hvis den ikke er CRA-kompatibel.

Praktisk betydning

Dokumentet besvarer mange spørgsmål som virksomheder rejste over for Kommissionen i de seneste måneder. Det giver producenter konkret vejledning til forberedelse af obligatorisk CRA implementering fra 11. december 2027.

Særligt hjælpsomme er de talrige praktiske eksempler som konkretiserer forordningens abstrakte krav. Dog erstatter dokumentet ikke behovet for en individuel juridisk vurdering, især for komplekse produkter eller konstellationer.

Konklusion

Det offentliggjorte dokument giver producenter den første officielle vejledning om fortolkning af CRA kravene. Særligt nyttige er behandlingen af grænsetilfælde, afklaringer af overlap med andre retsakter og de mange praktiske eksempler som afslører en pragmatisk tilgang fra Kommissionen.

Dog forbliver dokumentet bevidst generelt. Kommissionen påpeger gentagne gange at producenter skal beslutte på basis af deres individuelle risikovurdering og understreger den foreløbige natur af denne første vejledning. Med annonceringen af yderligere retningslinjer i de kommende måneder bør producenter betragte dokumentet som en vigtig første byggesten for deres CRA compliance, ikke som en endelig manual.

Yderligere links: