01Što je ovo
Uredba utvrđuje obveze; smjernice Komisije objašnjavaju kako ih primijeniti u praksi. Smjernice nisu obvezujuće i ne mijenjaju zakon, ali tijela za nadzor tržišta i prijavljena tijela oslanjaju se na njih radi dosljednog tumačenja, pa su prirodan pratitelj Art. 1 tekst.
Čitajte smjernice uz članak koji tumače. Ako se smjernice i vaše vlastito tumačenje razlikuju, obvezujući je izvor uvijek tekst Uredbe i, u konačnici, sudovi.
02Komisijin ČPP
Komisija održava dokument s često postavljanim pitanjima koji objedinjuje najčešća pitanja o tumačenju: granične slučajeve područja primjene, postupanje s rezervnim dijelovima i komponentama te kako se vremenski plan primjenjuje na proizvode koji su već na tržištu. Prvi put objavljen u prosincu 2025., riječ je o „živom dokumentu” koji se ažurira kako se pojavljuju nova pitanja.
Pročitajte Komisijin ČPP o provedbi CRA-a: Provedba Akta o kibernetičkoj otpornosti: često postavljana pitanja ↗
03Pojašnjenja područja primjene
Velik dio smjernica odnosi se na područje primjene, područje o kojem se najviše postavljaju pitanja. Pojašnjava što se smatra „proizvodom s digitalnim elementima”, kako se tretiraju rješenja za daljinsku obradu podataka i gdje je granica prema sektorskom zakonodavstvu. Art. 2
- Podatkovna veza; izravna ili neizravna logička ili fizička veza dovoljna je da proizvod uđe u područje primjene.
- Isključeni sektori; medicinski proizvodi, motorna vozila i civilno zrakoplovstvo ostaju pod vlastitim okvirima.
- SaaS; samostalne usluge općenito su izvan područja primjene CRA-a, ali obrada nužna za funkcioniranje proizvoda tretira se kao dio proizvoda. Art. 3
04Softver otvorenog koda
Smjernice objašnjavaju prilagođen, blaži režim za otvoreni kod. Nekomercijalni softver otvorenog koda razvijen izvan komercijalne djelatnosti uglavnom je izvan područja primjene; „upravitelji softvera otvorenog koda” imaju utvrđen, razmjeran skup obveza.
Okidač je komercijalna djelatnost. Komponenta isporučena besplatno, ali u okviru komercijalne djelatnosti, i dalje može ući u područje primjene.
05Razdoblje podrške i ažuriranja
Smjernice upućuju na to kako odrediti branjivo razdoblje podrške: mora odražavati koliko se dugo razumno očekuje da će se proizvod upotrebljavati i općenito bi trebalo biti najmanje pet godina, osim ako je očekivana upotreba kraća. Sigurnosna ažuriranja moraju biti besplatna i pružana odvojeno od ažuriranja funkcionalnosti. Art. 13
06Izvješćivanje i ENISA
Izvješćivanje se odvija putem jedinstvene platforme za izvješćivanje koju ENISA uspostavlja na temelju Art. 16. Nakon što sazna za aktivno iskorištavanu ranjivost ili za ozbiljan incident koji utječe na sigurnost proizvoda, proizvođač putem te platforme obavješćuje ENISA-u i nacionalni CSIRT prema rokovima od 24 sata / 72 sata / 14 dana. Smjernice utvrđuju što bi trebali sadržavati rano upozorenje, obavijest i završno izvješće. Art. 14
Obveze izvješćivanja postaju izvršive 11. rujna 2026., a predviđeno je da ENISA-ina jedinstvena platforma za izvješćivanje bude operativna do tog datuma.
07Usklađene norme
Bitni zahtjevi u Prilog I. izraženi su u smislu ishoda. Usklađene norme, nakon što se navedu u Službenom listu, daju pretpostavku sukladnosti za proizvode koji ih slijede.
Komisijin zahtjev za normizaciju M/606 prihvatili su CEN, CENELEC i ETSI 2025. i obuhvaća otprilike 41 normu: otprilike 15 horizontalnih (neovisnih o proizvodu) i ostatak vertikalnih (specifičnih za proizvod). Dvije temeljne horizontalne norme, o sigurnom razvoju i o postupanju s ranjivostima, očekuju se do 30. kolovoza 2026.; vertikalne norme do 30. listopada 2026.; a preostale horizontalne norme do 30. listopada 2027., otprilike godinu dana prije potpune primjene.
Dok norme nisu navedene, sukladnost se mora dokazivati izravno u odnosu na zahtjeve iz Priloga I. Nakon što se relevantna norma navede, njezino slijeđenje najjednostavniji je put do pretpostavke sukladnosti.