Často kladené otázky

Klasifikácia sa riadi základnou funkciou produktu, nie každou funkciou, ktorú obsahuje. Ak základná funkcia zodpovedá kategórii uvedenej v prílohe III, produkt je „dôležitý“ (trieda I alebo II); ak zodpovedá prílohe IV, je „kritický“; inak je „predvolený“. Schopnosť ako správa identít alebo VPN, zahrnutá len ako funkcia, nerobí produkt „dôležitým“, pokiaľ to nie je jeho základný účel. Ak by sa mohla uplatniť viac než jedna kategória, uplatní sa prísnejšia trieda. Art. 7

Nekomerčný open-source softvér vyvíjaný mimo komerčnej činnosti je z veľkej časti mimo rozsahu pôsobnosti. Správcovia open-source softvéru majú ľahší, prispôsobený súbor povinností. Open-source komponenty dodávané v rámci komerčnej činnosti môžu patriť do rozsahu pôsobnosti.

Samostatné služby sú vo všeobecnosti mimo CRA. Riešenia diaľkového spracovania údajov, ktoré sú nevyhnutné na to, aby produkt plnil svoje funkcie, sa však považujú za súčasť tohto produktu a patria do rozsahu pôsobnosti. Art. 3(2)

Áno. CRA sa vzťahuje na produkty uvádzané na trh EÚ bez ohľadu na to, kde je výrobca usadený. Výrobcovia mimo EÚ musia zabezpečiť, aby za príslušné povinnosti zodpovedal hospodársky subjekt usadený v Únii.

Delia sa do dvoch častí prílohy I: bezpečnostné vlastnosti, ktoré produkt musí mať (predvolene bezpečný, dôvernosť, integrita, dostupnosť, minimalizovaný útočný povrch, bezpečnostné aktualizácie), a procesy riešenia zraniteľností, ktoré musí výrobca prevádzkovať (SBOM, náprava, koordinované zverejňovanie). Príloha I

Áno. Výrobcovia musia identifikovať a zdokumentovať komponenty obsiahnuté v produkte, a to aj vypracovaním softvérového kusovníka v bežne používanom, strojovo čitateľnom formáte. Príloha I · II(1)

Obdobie podpory je čas, počas ktorého musí výrobca poskytovať bezpečnostné aktualizácie. Musí odrážať obdobie, počas ktorého sa odôvodnene očakáva používanie produktu; usmernenie Komisie naznačuje, že by to vo všeobecnosti malo byť aspoň päť rokov, pokiaľ nie je očakávané používanie kratšie. Art. 13(8)

Aktívne zneužívané zraniteľnosti a závažné incidenty ovplyvňujúce bezpečnosť produktu sa musia oznámiť ENISA a príslušnej CSIRT. Včasné varovanie sa musí podať do 24 hodín od zistenia, po ňom nasleduje úplnejšie oznámenie a záverečná správa. Art. 14

Akt nadobudol účinnosť 10. decembra 2024. Oznamovacie povinnosti sa uplatňujú od septembra 2026 (o 21 mesiacov neskôr) a väčšina povinností sa uplatňuje od decembra 2027 (o 36 mesiacov neskôr). Art. 71

Porušenie základných požiadaviek alebo povinností výrobcu môže viesť k pokutám až do výšky 15 miliónov € alebo 2,5 % celkového celosvetového ročného obratu, podľa toho, ktorá hodnota je vyššia. Na iné porušenia a na poskytnutie nesprávnych informácií sa vzťahujú nižšie stropy.

Oznamovacie povinnosti podľa článku 14 sa stávajú vymáhateľnými 11. septembra 2026. ENISA zriaďuje jednotnú platformu na oznamovanie podľa článku 16, prostredníctvom ktorej budú výrobcovia oznamovať aktívne zneužívané zraniteľnosti a závažné incidenty agentúre ENISA a národnej CSIRT; má byť do tohto dátumu funkčná. Art. 14

Žiadosť Komisie o normalizáciu M/606 prijali CEN, CENELEC a ETSI v roku 2025, pričom pokrýva približne 41 noriem (horizontálne a špecifické pre produkty). Dve základné horizontálne normy (bezpečný vývoj a riešenie zraniteľností) sa očakávajú do 30. augusta 2026, vertikálne normy pre produkty do 30. októbra 2026 a zostávajúce horizontálne normy do 30. októbra 2027, pred úplným uplatňovaním v decembri 2027. Dodržiavanie citovanej harmonizovanej normy zakladá predpoklad zhody. Príloha I

Vykonajte postup posudzovania zhody pre triedu vášho produktu, zostavte technickú dokumentáciu, vypracujte a podpíšte EÚ vyhlásenie o zhode a potom umiestnite označenie CE. Predvolené produkty môžu vykonať vlastné posúdenie; dôležité a kritické produkty vyžadujú prísnejšie postupy. Art. 28 · 32

Začnite rýchlou kontrolou CRA na potvrdenie rozsahu pôsobnosti a triedy, postupujte podľa sprievodcu napísaného pre vašu úlohu a pomocou matice súladu sledujte plnenie základných požiadaviek až do dokončenia.