Riippumaton opas asetukseen (EU) 2024/2847 · Tila: voimassa
Tämä sivu on automaattinen (tekoälyn tekemä) käännös, eikä sitä ole tarkistanut ihminen.
Ohjeistus · Viralliset lähteet

Euroopan komission ohjeistus CRA:sta

Selkokielinen yleiskatsaus Euroopan komission antamaan ohjeistukseen, joka auttaa tulkitsemaan asetusta (EU) 2024/2847; mitä se kattaa ja missä kohdin se selventää säädöstekstin velvoitteita.

01Mikä tämä on

Asetus asettaa velvoitteet; komission ohjeistus selittää, miten niitä sovelletaan käytännössä. Ohjeistus ei ole sitovaa eikä muuta lakia, mutta markkinavalvontaviranomaiset ja ilmoitetut laitokset tukeutuvat siihen yhdenmukaisen tulkinnan saamiseksi, joten se on luonnollinen kumppani seuraavalle: Art. 1 teksti.

Miten sitä käytetään

Lue ohjeistusta tulkitsemansa artiklan rinnalla. Jos ohjeistus ja oma tulkintasi eroavat, sitova viite on aina asetuksen teksti ja viime kädessä tuomioistuimet.

02Komission UKK

Komissio ylläpitää usein kysyttyjen kysymysten asiakirjaa, johon on koottu yleisimmät tulkintakysymykset: soveltamisalan rajatapaukset, varaosien ja komponenttien kohtelu sekä se, miten aikataulu soveltuu jo markkinoilla oleviin tuotteisiin. Joulukuussa 2025 ensimmäisen kerran julkaistu asiakirja on "elävä asiakirja", jota päivitetään uusien kysymysten ilmaantuessa.

Virallinen lähde

Lue komission UKK CRA:n täytäntöönpanosta: Kyberkestävyyssäädöksen täytäntöönpano: usein kysytyt kysymykset ↗

03Soveltamisalan selvennykset

Suuri osa ohjeistuksesta käsittelee soveltamisala, eniten kysymyksiä herättävä aihe. Siinä selvennetään, mikä lasketaan "digitaalisia elementtejä sisältäväksi tuotteeksi", miten etädatankäsittelyratkaisuja kohdellaan ja missä kulkee raja alakohtaiseen lainsäädäntöön nähden. Art. 2

  • Datayhteys; suora tai epäsuora looginen tai fyysinen yhteys riittää tuomaan tuotteen soveltamisalaan.
  • Soveltamisalan ulkopuolelle jäävät alat; lääkinnälliset laitteet, moottoriajoneuvot ja siviili-ilmailu kuuluvat edelleen omien säädöskehystensä piiriin.
  • SaaS; itsenäiset palvelut jäävät yleensä CRA:n ulkopuolelle, mutta tuotteen toiminnan kannalta välttämätön käsittely katsotaan osaksi tuotetta. Art. 3

04Avoimen lähdekoodin ohjelmisto

Ohjeistuksessa selitetään avoimelle lähdekoodille räätälöity, kevyempi järjestelmä. Ei-kaupallinen, kaupallisen toiminnan ulkopuolella kehitetty avoimen lähdekoodin ohjelmisto jää suurelta osin soveltamisalan ulkopuolelle; "avoimen lähdekoodin ohjelmiston hoitajilla" on määritelty, oikeasuhteinen velvoitteiden joukko.

Keskeinen ero

Laukaiseva tekijä on kaupallinen toiminta. Maksutta mutta kaupallisen toiminnan yhteydessä toimitettu komponentti voi silti kuulua soveltamisalaan.

05Tukikausi ja päivitykset

Ohjeistus osoittaa, miten asettaa perusteltavissa oleva tukikausi: sen on vastattava sitä, kuinka kauan tuotteen kohtuudella odotetaan olevan käytössä, ja sen tulisi yleensä olla vähintään viisi vuotta, ellei odotettu käyttöaika ole lyhyempi. Tietoturvapäivitysten on oltava maksuttomia ja ne on toimitettava erillään ominaisuuspäivityksistä. Art. 13

06Raportointi ja ENISA

Raportointi tapahtuu yhteisen raportointialustan kautta, jonka ENISA perustaa Art. 16. Saatuaan tiedon aktiivisesti hyväksikäytetystä haavoittuvuudesta tai tuotteen turvallisuuteen vaikuttavasta vakavasta poikkeamasta valmistaja ilmoittaa asiasta ENISAlle ja kansalliselle CSIRT-yksikölle kyseisen alustan kautta 24 tunnin / 72 tunnin / 14 vuorokauden aikataulun mukaisesti. Ohjeistuksessa määritellään, mitä ennakkovaroituksen, ilmoituksen ja loppuraportin tulee sisältää. Art. 14

Sovelletaan 11. syyskuuta 2026 alkaen

Raportointivelvoitteet tulevat täytäntöönpanokelpoisiksi 11. syyskuuta 2026, ja ENISAn yhteisen raportointialustan on määrä olla toiminnassa tähän päivämäärään mennessä.

07Yhdenmukaistetut standardit

Olennaiset vaatimukset, jotka sisältyvät kohtaan liite I ilmaistaan lopputuloksen kannalta. Yhdenmukaistetut standardit antavat, kun niihin on viitattu virallisessa lehdessä, vaatimustenmukaisuusolettaman niitä noudattaville tuotteille.

Komission standardointipyyntö M/606 hyväksyttiin CEN:ssä, CENELEC:ssä ja ETSI:ssä vuonna 2025, ja se kattaa noin 41 standardia: noin 15 horisontaalista (tuotteesta riippumatonta) ja loput vertikaalisia (tuotekohtaisia). Kahden keskeisen horisontaalisen standardin, jotka koskevat turvallista kehitystä ja haavoittuvuuksien käsittelyä, odotetaan valmistuvan 30. elokuuta 2026 mennessä; vertikaalisten standardien 30. lokakuuta 2026 mennessä; ja loppujen horisontaalisten standardien 30. lokakuuta 2027 mennessä, noin vuosi ennen täysimääräistä soveltamista.

Miksi sillä on merkitystä

Kunnes standardeihin viitataan, vaatimustenmukaisuus on osoitettava suoraan liitteen I vaatimuksia vasten. Kun asiaankuuluvaan standardiin viitataan, sen noudattaminen on yksinkertaisin reitti vaatimustenmukaisuusolettamaan.