Uafhængig vejledning til forordning (EU) 2024/2847 · Status: i kraft
Denne side er en automatisk (AI-)oversættelse og er ikke blevet gennemgået af en person.
Vejledning · Officielle kilder

Europa-Kommissionens vejledning om CRA

En letforståelig oversigt over den vejledning, Europa-Kommissionen har udsendt for at hjælpe med fortolkningen af forordning (EU) 2024/2847; hvad den omfatter, og hvor den præciserer forpligtelserne i lovteksten.

01Hvad dette er

Forordningen fastsætter forpligtelserne; Kommissionens vejledning forklarer, hvordan de anvendes i praksis. Vejledningen er ikke bindende og ændrer ikke loven, men markedsovervågningsmyndighederne og de bemyndigede organer benytter den som grundlag for en ensartet fortolkning, så den er det naturlige supplement til Art. 1 tekst.

Sådan bruger du det

Læs vejledningen sammen med den artikel, den fortolker. Hvor vejledningen og din egen læsning afviger fra hinanden, er den bindende reference altid forordningens tekst og i sidste ende domstolene.

02Kommissionens FAQ

Kommissionen vedligeholder et dokument med ofte stillede spørgsmål, der samler de mest almindelige fortolkningsspørgsmål: grænsetilfælde for anvendelsesområdet, behandlingen af reservedele og komponenter, og hvordan tidslinjen anvendes på produkter, der allerede er på markedet. Det blev første gang offentliggjort i december 2025 og er et ”levende dokument”, der opdateres, efterhånden som nye spørgsmål opstår.

Officiel kilde

Læs Kommissionens FAQ om gennemførelsen af CRA: Gennemførelse af Cyber Resilience Act: ofte stillede spørgsmål ↗

03Præciseringer af anvendelsesområdet

En stor del af vejledningen omhandler anvendelsesområde, det område der oftest spørges om. Den præciserer, hvad der tæller som et ”produkt med digitale elementer”, hvordan fjerndatabehandlingsløsninger behandles, og hvor grænsen ligger i forhold til sektorspecifik lovgivning. Art. 2

  • Dataforbindelse; en direkte eller indirekte logisk eller fysisk forbindelse er tilstrækkelig til at bringe et produkt ind under anvendelsesområdet.
  • Udelukkede sektorer; medicinsk udstyr, motorkøretøjer og civil luftfart forbliver under deres egne rammer.
  • SaaS; selvstændige tjenester falder generelt uden for CRA, men behandling, der er nødvendig for, at et produkt kan fungere, behandles som en del af produktet. Art. 3

04Open source-software

Vejledningen forklarer den tilpassede, lempeligere ordning for open source. Ikkekommerciel open source-software, der udvikles uden for en kommerciel aktivitet, falder i vid udstrækning uden for anvendelsesområdet; ”open source-softwareforvaltere” har et fastlagt og forholdsmæssigt sæt forpligtelser.

Vigtig sondring

Udløseren er kommerciel aktivitet. En komponent, der leveres gratis, men som led i en kommerciel aktivitet, kan stadig falde inden for anvendelsesområdet.

05Supportperiode og opdateringer

Vejledningen angiver, hvordan man fastsætter en forsvarlig supportperiode: den skal afspejle, hvor længe produktet med rimelighed forventes at være i brug, og bør som udgangspunkt være mindst fem år, medmindre den forventede anvendelse er kortere. Sikkerhedsopdateringer skal være gratis og leveres adskilt fra funktionsopdateringer. Art. 13

06Rapportering og ENISA

Rapportering sker via den fælles rapporteringsplatform, som ENISA etablerer i henhold til Art. 16. Når en fabrikant bliver bekendt med en aktivt udnyttet sårbarhed eller en alvorlig hændelse, der påvirker produktets sikkerhed, underretter fabrikanten ENISA og det nationale CSIRT via denne platform efter en tidslinje på 24 timer / 72 timer / 14 dage. Vejledningen fastlægger, hvad henholdsvis den tidlige varsling, underretningen og den endelige rapport skal indeholde. Art. 14

Finder anvendelse fra den 11. september 2026

Rapporteringsforpligtelserne bliver håndhævelige den 11. september 2026, og ENISA's fælles rapporteringsplatform forventes at være operationel senest på denne dato.

07Harmoniserede standarder

De væsentlige krav i Bilag I er udtrykt i form af resultater. Harmoniserede standarder giver, når de er citeret i Den Europæiske Unions Tidende, en formodning om overensstemmelse for produkter, der følger dem.

Kommissionens standardiseringsanmodning M/606 blev accepteret af CEN, CENELEC og ETSI i 2025 og omfatter omkring 41 standarder: cirka 15 horisontale (produktuafhængige) og resten vertikale (produktspecifikke). De to centrale horisontale standarder om sikker udvikling og om sårbarhedshåndtering forventes senest den 30. august 2026; de vertikale standarder senest den 30. oktober 2026; og de resterende horisontale standarder senest den 30. oktober 2027, cirka et år før fuld anvendelse.

Hvorfor det betyder noget

Indtil standarder er citeret, skal overensstemmelse påvises direkte i forhold til kravene i bilag I. Når en relevant standard er citeret, er det at følge den den enkleste vej til en formodning om overensstemmelse.