01Co to je
Nařízení stanoví povinnosti; pokyny Komise vysvětlují, jak je uplatňovat v praxi. Pokyny nejsou závazné a nemění právní úpravu, avšak orgány dozoru nad trhem a oznámené subjekty se jimi řídí kvůli jednotnému výkladu, takže jsou přirozeným doplňkem k Art. 1 text.
Pokyny čtěte spolu s článkem, který vykládají. Pokud se pokyny a váš vlastní výklad liší, závazným referenčním zdrojem je vždy text nařízení a v krajním případě soudy.
02Často kladené otázky Komise
Komise vede dokument s často kladenými otázkami, který shrnuje nejčastější výkladové otázky: hraniční případy oblasti působnosti, nakládání s náhradními díly a komponentami a způsob, jakým se harmonogram vztahuje na produkty již uvedené na trh. Poprvé zveřejněn v prosinci 2025, jde o „živý dokument“, který se aktualizuje, jak vyvstávají nové otázky.
Přečtěte si často kladené otázky Komise k provádění CRA: Provádění aktu o kybernetické odolnosti: často kladené otázky ↗
03Vyjasnění oblasti působnosti
Velká část pokynů se věnuje oblast působnosti, oblast, na kterou se nejčastěji ptáme. Vyjasňuje, co se považuje za „produkt s digitálními prvky“, jak se nakládá s řešeními pro dálkové zpracování dat a kde leží hranice vůči odvětvovým právním předpisům. Art. 2
- Datové připojení; k zahrnutí produktu do oblasti působnosti postačuje přímé nebo nepřímé logické či fyzické připojení.
- Vyloučená odvětví; zdravotnické prostředky, motorová vozidla a civilní letectví zůstávají pod vlastními rámci.
- SaaS; samostatné služby obecně stojí mimo CRA, avšak zpracování nezbytné pro fungování produktu se považuje za součást produktu. Art. 3
04Open-source software
Pokyny vysvětlují uzpůsobený, mírnější režim pro open source. Nekomerční open-source software vyvíjený mimo obchodní činnost je z velké části mimo oblast působnosti; „správci open-source softwaru“ mají vymezený, přiměřený soubor povinností.
Rozhodujícím faktorem je obchodní činnost. Komponenta dodávaná bezplatně, avšak v rámci obchodní činnosti, může i tak spadat do oblasti působnosti.
05Období podpory a aktualizace
Pokyny naznačují, jak stanovit obhajitelné období podpory: musí odrážet, jak dlouho se důvodně očekává používání produktu, a obvykle by mělo činit alespoň pět let, ledaže je očekávané používání kratší. Bezpečnostní aktualizace musí být bezplatné a poskytované odděleně od funkčních aktualizací. Art. 13
06Oznamování a ENISA
Oznamování probíhá prostřednictvím jednotné oznamovací platformy, kterou agentura ENISA zřizuje podle Art. 16. Jakmile se výrobce dozví o aktivně zneužívané zranitelnosti nebo o závažném incidentu ovlivňujícím bezpečnost produktu, oznámí to prostřednictvím této platformy agentuře ENISA a národnímu CSIRT v lhůtách 24 hodin / 72 hodin / 14 dní. Pokyny stanoví, co má obsahovat včasné varování, oznámení i závěrečná zpráva. Art. 14
Oznamovací povinnosti se stávají vymahatelnými dne 11. září 2026 a jednotná oznamovací platforma agentury ENISA má být do tohoto data v provozu.
07Harmonizované normy
Základní požadavky v Příloha I jsou vyjádřeny jako požadované výsledky. Harmonizované normy po citaci v Úředním věstníku zakládají předpoklad shody pro produkty, které je dodržují.
Žádost Komise o normalizaci M/606 přijaly v roce 2025 organizace CEN, CENELEC a ETSI a zahrnuje přibližně 41 norem: zhruba 15 horizontálních (nezávislých na produktu) a zbytek vertikálních (specifických pro produkty). Dvě základní horizontální normy, o bezpečném vývoji a o řešení zranitelností, se očekávají do 30. srpna 2026; vertikální normy do 30. října 2026; a zbývající horizontální normy do 30. října 2027, zhruba rok před plnou použitelností.
Dokud nejsou normy citovány, musí být shoda prokázána přímo oproti požadavkům přílohy I. Jakmile je příslušná norma citována, její dodržení je nejjednodušší cestou k předpokladu shody.