01Mis see on
Määrus sätestab kohustused; komisjoni suunised selgitavad, kuidas neid praktikas kohaldada. Suunised ei ole siduvad ega muuda seadust, kuid turujärelevalveasutused ja teavitatud asutused tuginevad neile ühtse tõlgenduse saamiseks, mistõttu on need loomulik kaaslane, mida toetab Art. 1 tekst.
Lugege suuniseid koos artikliga, mida need tõlgendavad. Kui suunised ja teie enda tõlgendus erinevad, on siduvaks aluseks alati määruse tekst ja lõppkokkuvõttes kohtud.
02Komisjoni KKK
Komisjon haldab korduma kippuvate küsimuste dokumenti, mis koondab kõige levinumad tõlgendusküsimused: kohaldamisala piirjuhtumid, varuosade ja komponentide käsitlemine ning kuidas ajakava kohaldub juba turul olevatele toodetele. Esmakordselt detsembris 2025 avaldatud dokument on „elav dokument“, mida uuendatakse uute küsimuste tekkimisel.
Loe komisjoni KKK-d CRA rakendamise kohta: Kübervastupidavuse määruse rakendamine: korduma kippuvad küsimused ↗
03Kohaldamisala selgitused
Suur osa suunistest käsitleb kohaldamisala, mis on kõige enam küsimusi tekitav valdkond. See selgitab, mida loetakse „digielementidega tooteks“, kuidas käsitletakse kaugandmetöötluslahendusi ja kus paikneb piir valdkonnaspetsiifiliste õigusaktidega. Art. 2
- Andmeside; otsene või kaudne loogiline või füüsiline ühendus on piisav, et toode kohaldamisalasse tuua.
- Välistatud sektorid; meditsiiniseadmed, mootorsõidukid ja tsiviillennundus jäävad oma raamistike alla.
- SaaS; eraldiseisvad teenused jäävad üldjuhul CRA kohaldamisalast välja, kuid toote toimimiseks vajalikku töötlust käsitletakse toote osana. Art. 3
04Avatud lähtekoodiga tarkvara
Suunised selgitavad avatud lähtekoodi jaoks kohandatud kergemat korda. Väljaspool äritegevust arendatud mitteäriline avatud lähtekoodiga tarkvara jääb suuresti kohaldamisalast välja; „avatud lähtekoodiga tarkvara haldajatel“ on määratletud ja proportsionaalsed kohustused.
Käivitav tegur on äritegevus. Komponent, mis tarnitakse tasuta, kuid äritegevuse käigus, võib siiski kohaldamisalasse kuuluda.
05Toetusperiood ja värskendused
Suunised näitavad, kuidas määrata põhjendatav toetusperiood: see peab kajastama, kui kaua toodet eeldatavasti kasutatakse, ning peaks üldjuhul olema vähemalt viis aastat, välja arvatud juhul, kui eeldatav kasutusaeg on lühem. Turvavärskendused peavad olema tasuta ja antud eraldi funktsioonivärskendustest. Art. 13
06Teavitamine ja ENISA
Teavitamine toimub ühtse teavitusplatvormi kaudu, mille ENISA loob Art. 16. Saanud teada aktiivselt ärakasutatavast nõrkusest või toote turvalisust mõjutavast tõsisest intsidendist, teavitab tootja sellest ENISAt ja riiklikku CSIRTi selle platvormi kaudu 24 tunni / 72 tunni / 14 päeva tähtaja jooksul. Suunised määravad kindlaks, mida peavad sisaldama varajane hoiatus, teade ja lõpparuanne. Art. 14
Teavitamiskohustused muutuvad jõustatavaks 11. septembril 2026 ning ENISA ühtne teavitusplatvorm peaks selleks kuupäevaks toimima.
07Harmoneeritud standardid
Olulised nõuded, mis on I lisa on väljendatud tulemuste kaudu. Harmoneeritud standardid annavad pärast Euroopa Liidu Teatajas tsiteerimist vastavuseelduse toodetele, mis neid järgivad.
Komisjoni standardimistaotlus M/606 võtsid CEN, CENELEC ja ETSI vastu 2025. aastal ning see hõlmab umbes 41 standardit: ligikaudu 15 horisontaalset (tootest sõltumatut) ja ülejäänud vertikaalsed (tootespetsiifilised). Kaht peamist horisontaalset standardit, mis käsitlevad turvalist arendust ja nõrkuste käsitlemist, oodatakse 30. augustiks 2026; vertikaalseid standardeid 30. oktoobriks 2026; ja allesjäänud horisontaalseid standardeid 30. oktoobriks 2027, umbes aasta enne täielikku kohaldamist.
Kuni standardeid ei ole tsiteeritud, tuleb vastavust tõendada otse I lisa nõuete suhtes. Kui asjakohane standard on tsiteeritud, on selle järgimine lihtsaim tee vastavuseelduseni.