Ghid independent privind Regulamentul (UE) 2024/2847 · Statut: în vigoare
Această pagină este o traducere automată (IA) și nu a fost revizuită de o persoană.
Orientări · Surse oficiale

Orientările Comisiei Europene privind CRA

O prezentare generală în limbaj simplu a orientărilor emise de Comisia Europeană pentru a ajuta la interpretarea Regulamentului (UE) 2024/2847; ce acoperă acestea și unde clarifică obligațiile din textul juridic.

01Ce este aceasta

Regulamentul stabilește obligațiile; orientările Comisiei explică modul de aplicare a acestora în practică. Orientările nu sunt obligatorii și nu modifică legea, dar autoritățile de supraveghere a pieței și organismele notificate se bazează pe acestea pentru o interpretare coerentă, astfel încât ele reprezintă completarea firească a Art. 1 text.

Cum se utilizează

Citiți orientările împreună cu articolul pe care îl interpretează. În cazul în care orientările și propria dumneavoastră interpretare diferă, referința obligatorie este întotdeauna textul regulamentului și, în ultimă instanță, instanțele judecătorești.

02Întrebările frecvente ale Comisiei

Comisia menține un document de întrebări frecvente care consolidează cele mai frecvente întrebări de interpretare: cazuri-limită privind domeniul de aplicare, tratamentul pieselor de schimb și al componentelor și modul în care se aplică calendarul produselor deja prezente pe piață. Publicat pentru prima dată în decembrie 2025, acesta este un „document viu” care este actualizat pe măsură ce apar noi întrebări.

Sursă oficială

Citiți întrebările frecvente ale Comisiei privind punerea în aplicare a CRA: Punerea în aplicare a Regulamentului privind reziliența cibernetică: întrebări frecvente ↗

03Clarificări privind domeniul de aplicare

O mare parte a orientărilor abordează domeniu de aplicare, domeniul despre care se pun cele mai multe întrebări. Acesta clarifică ce se consideră a fi un „produs cu elemente digitale”, modul în care sunt tratate soluțiile de prelucrare a datelor la distanță și unde se află limita cu legislația sectorială. Art. 2

  • Conexiune de date; o conexiune logică sau fizică, directă sau indirectă, este suficientă pentru a aduce un produs în domeniul de aplicare.
  • Sectoare excluse; dispozitivele medicale, autovehiculele și aviația civilă rămân sub propriile cadre de reglementare.
  • SaaS; serviciile de sine stătătoare se află, în general, în afara domeniului de aplicare al CRA, dar prelucrarea necesară pentru funcționarea unui produs este tratată ca parte a produsului. Art. 3

04Software cu sursă deschisă

Orientările explică regimul adaptat și mai puțin strict pentru sursa deschisă. Software-ul cu sursă deschisă necomercial, dezvoltat în afara unei activități comerciale, se află în mare parte în afara domeniului de aplicare; „administratorii de software cu sursă deschisă” au un set definit și proporțional de obligații.

Distincție esențială

Elementul declanșator este activitatea comercială. O componentă furnizată gratuit, dar în cursul unei activități comerciale, poate intra totuși în domeniul de aplicare.

05Perioada de asistență și actualizări

Orientările indică modul de stabilire a unei perioade justificabile perioadă de asistență: aceasta trebuie să reflecte perioada în care se preconizează în mod rezonabil că produsul va fi utilizat și, în general, ar trebui să fie de cel puțin cinci ani, cu excepția cazului în care utilizarea preconizată este mai scurtă. Actualizările de securitate trebuie să fie gratuite și furnizate separat de actualizările de funcționalități. Art. 13

06Raportare și ENISA

Raportarea se realizează prin intermediul platformei unice de raportare pe care ENISA o instituie în temeiul Art. 16. La luarea la cunoștință a unei vulnerabilități exploatate în mod activ sau a unui incident grav care afectează securitatea produsului, un fabricant notifică ENISA și CSIRT-ul național prin intermediul platformei respective, în termen de 24 de ore / 72 de ore / 14 zile. Orientările stabilesc ce trebuie să conțină avertizarea timpurie, notificarea și raportul final. Art. 14

Se aplică începând cu 11 septembrie 2026

Obligațiile de raportare devin obligatorii la 11 septembrie 2026, iar platforma unică de raportare a ENISA este menită să fie operațională până la data respectivă.

07Standarde armonizate

Cerințele esențiale din anexa I sunt exprimate sub formă de rezultate. Standardele armonizate, odată citate în Jurnalul Oficial, conferă o prezumție de conformitate pentru produsele care le respectă.

Cererea de standardizare a Comisiei M/606 a fost acceptată de CEN, CENELEC și ETSI în 2025 și acoperă aproximativ 41 de standarde: aproximativ 15 orizontale (independente de produs), iar restul verticale (specifice produselor). Cele două standarde orizontale de bază, privind dezvoltarea securizată și gestionarea vulnerabilităților, sunt așteptate până la 30 august 2026; standardele verticale până la 30 octombrie 2026; iar standardele orizontale rămase până la 30 octombrie 2027, cu aproximativ un an înainte de aplicarea deplină.

De ce contează

Până la citarea standardelor, conformitatea trebuie demonstrată direct în raport cu cerințele din anexa I. Odată ce un standard relevant este citat, respectarea acestuia este cea mai simplă cale către o prezumție de conformitate.