Korduma kippuvad küsimused

Klassifikatsioon lähtub toote põhifunktsioonist, mitte igast funktsioonist, mida see sisaldab. Kui põhifunktsioon vastab III lisas nimetatud kategooriale, on toode „oluline“ (I või II klass); kui see vastab IV lisale, on see „kriitiline“; vastasel juhul on see „vaiketoode“. Funktsioon, nagu identiteedihaldus või VPN, mis on lisatud üksnes ühe funktsioonina, ei muuda toodet „oluliseks“, välja arvatud juhul, kui see on selle põhieesmärk. Kui kohalduda võib enam kui üks kategooria, kohaldatakse rangemat klassi. Art. 7

Väljaspool äritegevust arendatud mitteäriline avatud lähtekoodiga tarkvara jääb suuresti kohaldamisalast välja. Avatud lähtekoodiga tarkvara haldajatel on kergem ja kohandatud kohustuste kogum. Äritegevuse käigus tarnitud avatud lähtekoodiga komponendid võivad kohaldamisalasse kuuluda.

Eraldiseisvad teenused jäävad üldjuhul CRA kohaldamisalast välja. Siiski käsitletakse kaugandmetöötluslahendusi, mis on toote funktsioonide täitmiseks vajalikud, selle toote osana ja need kuuluvad kohaldamisalasse. Art. 3(2)

Jah. CRA kohaldub ELi turule lastud toodetele sõltumata sellest, kus tootja asub. Väljaspool ELi asuvad tootjad peavad tagama, et asjakohaste kohustuste eest vastutab liidus asuv ettevõtja.

Need jagunevad I lisa kaheks osaks: turvaomadused, mis tootel peavad olema (vaikimisi turvaline, konfidentsiaalsus, terviklus, käideldavus, minimeeritud ründepind, turvavärskendused), ja nõrkuste käsitlemise protsessid, mida tootja peab käigus hoidma (SBOM, kõrvaldamine, koordineeritud avalikustamine). I lisa

Jah. Tootjad peavad tegema kindlaks ja dokumenteerima tootes sisalduvad komponendid, sealhulgas koostades tarkvara koostisosade loendi üldkasutatavas masinloetavas vormingus. I lisa · II(1)

Toetusperiood on aeg, mille jooksul tootja peab pakkuma turvavärskendusi. See peab kajastama perioodi, mille jooksul toodet eeldatavasti mõistlikult kasutatakse; komisjoni suunised näitavad, et see peaks üldjuhul olema vähemalt viis aastat, välja arvatud juhul, kui eeldatav kasutusaeg on lühem. Art. 13(8)

Aktiivselt ärakasutatavatest nõrkustest ja toote turvalisust mõjutavatest tõsistest intsidentidest tuleb teavitada ENISAt ja asjakohast CSIRTi. Varajane hoiatus tuleb esitada 24 tunni jooksul pärast teadasaamist, millele järgnevad põhjalikum teade ja lõpparuanne. Art. 14

Määrus jõustus 10. detsembril 2024. Teavitamiskohustusi kohaldatakse alates 2026. aasta septembrist (21 kuud hiljem) ja suuremat osa kohustustest kohaldatakse alates 2027. aasta detsembrist (36 kuud hiljem). Art. 71

Oluliste nõuete või tootja kohustuste rikkumine võib kaasa tuua trahvi kuni 15 miljonit € või 2,5% kogu ülemaailmsest aastakäibest, olenevalt sellest, kumb on suurem. Muude rikkumiste ja valeandmete esitamise suhtes kohaldatakse madalamaid ülempiire.

Artikli 14 teavitamiskohustused muutuvad jõustatavaks 11. septembril 2026. ENISA loob artikli 16 alusel ühtse teavitusplatvormi, mille kaudu tootjad teavitavad aktiivselt ärakasutatavatest nõrkustest ja tõsistest intsidentidest ENISAt ja riiklikku CSIRTi; see peaks selleks kuupäevaks toimima. Art. 14

Komisjoni standardimistaotluse M/606 võtsid CEN, CENELEC ja ETSI vastu 2025. aastal ning see hõlmab umbes 41 standardit (horisontaalsed ja tootespetsiifilised). Kaht peamist horisontaalset standardit (turvaline arendus ja nõrkuste käsitlemine) oodatakse 30. augustiks 2026, vertikaalseid tootestandardeid 30. oktoobriks 2026 ja allesjäänud horisontaalseid standardeid 30. oktoobriks 2027, enne täielikku kohaldamist 2027. aasta detsembris. Tsiteeritud harmoneeritud standardi järgimine annab vastavuseelduse. I lisa

Viige läbi oma tooteklassile vastav vastavushindamistee, koostage tehniline dokumentatsioon, koostage ja allkirjastage ELi vastavusdeklaratsioon ning seejärel kinnitage CE-märgis. Vaiketooteid võib hinnata enesehindamise teel; olulised ja kriitilised tooted nõuavad rangemaid teid. Art. 28 · 32

Alustage CRA kiirkontrolliga, et kinnitada kohaldamisala ja klass, järgige oma rollile kirjutatud juhendit ning kasutage vastavusmaatriksit oluliste nõuete täitmise jälgimiseks.