01Kas tai yra
Reglamentas nustato prievoles; Komisijos gairės paaiškina, kaip jas taikyti praktiškai. Gairės yra neprivalomos ir nekeičia įstatymo, tačiau rinkos priežiūros institucijos ir notifikuotosios įstaigos jomis remiasi siekdamos nuoseklaus aiškinimo, todėl jos yra natūralus palydovas Art. 1 tekstas.
Skaitykite gaires kartu su straipsniu, kurį jos aiškina. Kai gairės ir jūsų pačių aiškinimas skiriasi, privalomas atskaitos taškas visada yra Reglamento tekstas ir galiausiai – teismai.
02Komisijos DUK
Komisija tvarko dažnai užduodamų klausimų dokumentą, kuriame sutelkti dažniausi aiškinimo klausimai: ribiniai taikymo srities atvejai, atsarginių dalių ir komponentų vertinimas ir tai, kaip terminai taikomi jau rinkoje esantiems produktams. Pirmą kartą paskelbtas 2025 m. gruodžio mėn., tai yra „nuolat atnaujinamas dokumentas“, kuris pildomas kylant naujiems klausimams.
Skaitykite Komisijos DUK apie CRA įgyvendinimą: Kibernetinio atsparumo akto įgyvendinimas: dažnai užduodami klausimai ↗
03Taikymo srities paaiškinimai
Didelė gairių dalis skirta taikymo sritis, t. y. dažniausiai klausimų keliančiai sričiai. Joje paaiškinama, kas laikoma „skaitmeninių elementų turinčiu produktu“, kaip vertinami nuotolinio duomenų tvarkymo sprendimai ir kur eina riba su sektoriniais teisės aktais. Art. 2
- Duomenų ryšys; produktui patekti į taikymo sritį pakanka tiesioginio ar netiesioginio loginio arba fizinio ryšio.
- Neįtraukti sektoriai; medicinos priemonėms, motorinėms transporto priemonėms ir civilinei aviacijai taikomos atskiros teisinės sistemos.
- SaaS; savarankiškos paslaugos paprastai nepatenka į CRA taikymo sritį, tačiau duomenų tvarkymas, būtinas produkto veikimui, laikomas produkto dalimi. Art. 3
04Atvirojo kodo programinė įranga
Gairėse paaiškinamas pritaikytas, lengvesnis režimas atvirajam kodui. Nekomercinė atvirojo kodo programinė įranga, kuriama ne vykdant komercinę veiklą, daugiausia nepatenka į taikymo sritį; „atvirojo kodo programinės įrangos prižiūrėtojai“ turi apibrėžtą, proporcingą prievolių rinkinį.
Lemiamas veiksnys yra komercinė veikla. Komponentas, tiekiamas nemokamai, bet vykdant komercinę veiklą, vis tiek gali patekti į taikymo sritį.
05Paramos laikotarpis ir atnaujinimai
Gairėse nurodoma, kaip nustatyti pagrįstą paramos laikotarpis: jis turi atspindėti, kiek laiko produktas pagrįstai numatomas naudoti, ir paprastai turėtų būti bent penkeri metai, nebent numatoma naudojimo trukmė trumpesnė. Saugumo atnaujinimai turi būti nemokami ir teikiami atskirai nuo funkcinių atnaujinimų. Art. 13
06Pranešimas ir ENISA
Pranešimai teikiami per bendrą pranešimų teikimo platformą, kurią ENISA kuria pagal Art. 16. Sužinojęs apie aktyviai išnaudojamą pažeidžiamumą arba apie produkto saugumą paveikiantį didelį incidentą, gamintojas per tą platformą praneša ENISA ir nacionaliniam CSIRT laikydamasis 24 valandų / 72 valandų / 14 dienų terminų. Gairėse nustatyta, ką turi apimti kiekvienas iš šių dokumentų – išankstinis įspėjimas, pranešimas ir galutinė ataskaita. Art. 14
Pranešimo prievolės tampa privalomos nuo 2026 m. rugsėjo 11 d., o ENISA bendra pranešimų teikimo platforma numatoma pradėti veikti iki tos datos.
07Darnieji standartai
Esminiai reikalavimai, nustatyti I priedas išreikšti rezultato požiūriu. Darnieji standartai, pacituoti Oficialiajame leidinyje, suteikia atitikties prezumpciją juos atitinkantiems produktams.
Komisijos standartizacijos prašymas M/606 buvo priimtas CEN, CENELEC ir ETSI 2025 m. ir apima apie 41 standartą: maždaug 15 horizontaliųjų (nepriklausomų nuo produkto) ir likusieji vertikalūs (susiję su konkrečiais produktais). Du pagrindiniai horizontalieji standartai, dėl saugaus kūrimo ir dėl pažeidžiamumų valdymo, tikimasi iki 2026 m. rugpjūčio 30 d.; vertikalūs standartai – iki 2026 m. spalio 30 d.; o likę horizontalieji standartai – iki 2027 m. spalio 30 d., maždaug metai iki visapusiško taikymo.
Kol standartai nėra cituojami, atitiktis turi būti įrodyta tiesiogiai pagal I priedo reikalavimus. Kai atitinkamas standartas pacituojamas, jo laikymasis yra paprasčiausias kelias į atitikties prezumpciją.