Često postavljana pitanja

Klasifikacija slijedi temeljnu funkciju proizvoda, a ne svaku značajku koju uključuje. Ako temeljna funkcija odgovara kategoriji navedenoj u Prilogu III., proizvod je „važan” (klasa I. ili II.); ako odgovara Prilogu IV., „kritičan” je; u suprotnom je „zadani”. Funkcija kao što je upravljanje identitetom ili VPN, uključena samo kao značajka, ne čini proizvod „važnim” osim ako je to njegova temeljna svrha. Ako se može primijeniti više od jedne kategorije, primjenjuje se stroža klasa. Art. 7

Nekomercijalni softver otvorenog koda razvijen izvan komercijalne djelatnosti uglavnom je izvan područja primjene. Upravitelji softvera otvorenog koda imaju blaži, prilagođen skup obveza. Komponente otvorenog koda isporučene u okviru komercijalne djelatnosti mogu ući u područje primjene.

Samostalne usluge općenito su izvan područja primjene CRA-a. Međutim, rješenja za daljinsku obradu podataka koja su nužna da bi proizvod obavljao svoje funkcije tretiraju se kao dio tog proizvoda i u području su primjene. Art. 3(2)

Da. CRA se primjenjuje na proizvode stavljene na tržište EU-a bez obzira na to gdje proizvođač ima poslovni nastan. Proizvođači izvan EU-a moraju osigurati da je gospodarski subjekt s poslovnim nastanom u Uniji odgovoran za relevantne obveze.

Dijele se na dva dijela Priloga I.: sigurnosna svojstva koja proizvod mora imati (sigurno po zadanim postavkama, povjerljivost, cjelovitost, dostupnost, smanjena napadna površina, sigurnosna ažuriranja) i postupke postupanja s ranjivostima koje proizvođač mora provoditi (SBOM, ispravljanje, koordinirana objava). Prilog I.

Da. Proizvođači moraju utvrditi i dokumentirati komponente sadržane u proizvodu, uključujući izradom popisa sastavnica softvera u uobičajeno upotrebljavanom, strojno čitljivom formatu. Prilog I. · II(1)

Razdoblje podrške vrijeme je tijekom kojeg proizvođač mora pružati sigurnosna ažuriranja. Mora odražavati razdoblje tijekom kojeg se razumno očekuje upotreba proizvoda; smjernice Komisije upućuju na to da bi to općenito trebalo biti najmanje pet godina, osim ako je očekivana upotreba kraća. Art. 13(8)

O aktivno iskorištavanim ranjivostima i ozbiljnim incidentima koji utječu na sigurnost proizvoda moraju se obavijestiti ENISA i relevantni CSIRT. Rano upozorenje dospijeva u roku od 24 sata od saznanja, nakon čega slijede potpunija obavijest i završno izvješće. Art. 14

Akt je stupio na snagu 10. prosinca 2024. Obveze izvješćivanja primjenjuju se od rujna 2026. (21 mjesec poslije), a većina obveza primjenjuje se od prosinca 2027. (36 mjeseci poslije). Art. 71

Povrede bitnih zahtjeva ili obveza proizvođača mogu dovesti do novčanih kazni do 15 milijuna € ili 2,5 % ukupnoga svjetskog godišnjeg prometa, ovisno o tome što je veće. Niži gornji iznosi primjenjuju se na druge povrede i na dostavljanje netočnih informacija.

Obveze izvješćivanja iz članka 14. postaju izvršive 11. rujna 2026. ENISA uspostavlja jedinstvenu platformu za izvješćivanje na temelju članka 16., putem koje će proizvođači prijavljivati aktivno iskorištavane ranjivosti i ozbiljne incidente ENISA-i i nacionalnom CSIRT-u; predviđeno je da bude operativna do tog datuma. Art. 14

Komisijin zahtjev za normizaciju M/606 prihvatili su CEN, CENELEC i ETSI 2025., a obuhvaća otprilike 41 normu (horizontalne i specifične za proizvod). Dvije temeljne horizontalne norme (siguran razvoj i postupanje s ranjivostima) očekuju se do 30. kolovoza 2026., vertikalne norme za proizvode do 30. listopada 2026., a preostale horizontalne norme do 30. listopada 2027., prije potpune primjene u prosincu 2027. Slijeđenje navedene usklađene norme daje pretpostavku sukladnosti. Prilog I.

Provedite put ocjenjivanja sukladnosti za klasu svojeg proizvoda, sastavite tehničku dokumentaciju, sastavite i potpišite EU izjavu o sukladnosti, a zatim stavite oznaku CE. Zadani proizvodi mogu provesti samoprocjenu; važni i kritični proizvodi zahtijevaju strože putove. Art. 28 · 32

Počnite s CRA brzom provjerom da potvrdite područje primjene i klasu, slijedite vodič napisan za vašu ulogu i upotrijebite matricu sukladnosti za praćenje bitnih zahtjeva do dovršetka.