01Kaj je to
Uredba določa obveznosti; smernice Komisije pojasnjujejo, kako jih uporabljati v praksi. Smernice niso zavezujoče in ne spreminjajo zakona, vendar se organi za nadzor trga in priglašeni organi po njih ravnajo za dosledno razlago, zato so naravni spremljevalec Art. 1 besedilo.
Smernice berite ob členu, ki ga razlagajo. Kadar se smernice in vaše lastno branje razlikujeta, je zavezujoč sklic vedno besedilo uredbe in, nazadnje, sodišča.
02Pogosta vprašanja Komisije
Komisija vzdržuje dokument s pogostimi vprašanji, ki združuje najpogostejša vprašanja glede razlage: mejne primere področja uporabe, obravnavanje rezervnih delov in komponent ter kako se časovnica uporablja za izdelke, ki so že na trgu. Prvič je bil objavljen decembra 2025 in je "živ dokument", ki se posodablja, ko se pojavijo nova vprašanja.
Preberite pogosta vprašanja Komisije o izvajanju CRA: Izvajanje akta o kibernetski odpornosti: pogosta vprašanja ↗
03Pojasnila glede področja uporabe
Velik del smernic obravnava področje uporabe, ki je daleč najpogosteje vprašano področje. Pojasnjuje, kaj se šteje za "izdelek z digitalnimi elementi", kako se obravnavajo rešitve za oddaljeno obdelavo podatkov in kje je meja s sektorsko zakonodajo. Art. 2
- Podatkovna povezava; neposredna ali posredna logična ali fizična povezava zadostuje, da izdelek spada na področje uporabe.
- Izključeni sektorji; medicinski pripomočki, motorna vozila in civilno letalstvo ostajajo pod lastnimi okviri.
- SaaS; samostojne storitve so na splošno zunaj področja uporabe CRA, vendar se obdelava, potrebna za delovanje izdelka, obravnava kot del izdelka. Art. 3
04Odprtokodna programska oprema
Smernice pojasnjujejo prilagojeno, blažjo ureditev za odprto kodo. Nekomercialna odprtokodna programska oprema, razvita zunaj komercialne dejavnosti, je večinoma zunaj področja uporabe; "upravljavci odprtokodne programske opreme" imajo opredeljen, sorazmeren nabor dolžnosti.
Sprožilec je komercialna dejavnost. Komponenta, dobavljena brezplačno, vendar v okviru komercialne dejavnosti, lahko še vedno spada na področje uporabe.
05Obdobje podpore in posodobitve
Smernice nakazujejo, kako določiti obrambljivo obdobje podpore: odražati mora, kako dolgo se razumno pričakuje uporaba izdelka, in mora praviloma trajati vsaj pet let, razen če je pričakovana uporaba krajša. Varnostne posodobitve morajo biti brezplačne in zagotovljene ločeno od funkcijskih posodobitev. Art. 13
06Poročanje in ENISA
Poročanje poteka prek enotne platforme za poročanje, ki jo vzpostavlja ENISA na podlagi Art. 16. Ko proizvajalec ugotovi aktivno izkoriščeno ranljivost ali resen incident, ki vpliva na varnost izdelka, prek te platforme obvesti ENISA in nacionalni CSIRT po časovnici 24 ur / 72 ur / 14 dni. Smernice določajo, kaj naj vsebujejo zgodnje opozorilo, priglasitev in končno poročilo. Art. 14
Obveznosti poročanja postanejo izvršljive 11. septembra 2026, enotna platforma za poročanje ENISA pa naj bi do tega datuma začela delovati.
07Harmonizirani standardi
Bistvene zahteve v Priloga I so izražene v smislu rezultatov. Harmonizirani standardi, ko so navedeni v Uradnem listu, dajejo domnevo o skladnosti za izdelke, ki jih upoštevajo.
Zahteva Komisije za standardizacijo M/606 so jo CEN, CENELEC in ETSI sprejeli leta 2025 in zajema približno 41 standardov: okrog 15 horizontalnih (neodvisnih od izdelka), preostali pa so vertikalni (specifični za izdelek). Dva osnovna horizontalna standarda, o varnem razvoju in o obravnavanju ranljivosti, sta pričakovana do 30. avgusta 2026; vertikalni standardi do 30. oktobra 2026; preostali horizontalni standardi pa do 30. oktobra 2027, približno leto dni pred polno uporabo.
Dokler standardi niso navedeni, je treba skladnost dokazovati neposredno glede na zahteve iz Priloge I. Ko je zadevni standard naveden, je njegovo upoštevanje najpreprostejša pot do domneve o skladnosti.