Vanliga frågor

Klassificeringen följer produktens kärnfunktion, inte varje funktion den råkar inbegripa. Om kärnfunktionen motsvarar en kategori som anges i bilaga III är produkten ”viktig” (klass I eller II); om den motsvarar bilaga IV är den ”kritisk”; i annat fall är den ”standard”. En funktion såsom identitetshantering eller ett VPN, som ingår enbart som en delfunktion, gör inte produkten ”viktig” om det inte är dess kärnsyfte. Om fler än en kategori skulle kunna tillämpas gäller den striktare klassen. Art. 7

Icke-kommersiell programvara med öppen källkod som utvecklas utanför en kommersiell verksamhet faller till stor del utanför tillämpningsområdet. Förvaltare av programvara med öppen källkod har en lättare, anpassad uppsättning skyldigheter. Komponenter med öppen källkod som tillhandahålls inom ramen för en kommersiell verksamhet kan omfattas av tillämpningsområdet.

Fristående tjänster faller i allmänhet utanför CRA. Lösningar för fjärrdatabehandling som är nödvändiga för att en produkt ska kunna utföra sina funktioner betraktas dock som en del av den produkten och omfattas av tillämpningsområdet. Art. 3(2)

Ja. CRA är tillämplig på produkter som släpps ut på EU-marknaden oavsett var tillverkaren är etablerad. Tillverkare utanför EU måste säkerställa att en ekonomisk aktör som är etablerad i unionen ansvarar för de relevanta skyldigheterna.

De delas in i två delar av bilaga I: säkerhetsegenskaper som produkten måste ha (säker som standard, konfidentialitet, integritet, tillgänglighet, minimerad angreppsyta, säkerhetsuppdateringar) och processer för sårbarhetshantering som tillverkaren måste bedriva (SBOM, åtgärdande, samordnat röjande). Bilaga I

Ja. Tillverkare måste identifiera och dokumentera de komponenter som ingår i produkten, bland annat genom att upprätta en programvaruförteckning (SBOM) i ett allmänt använt och maskinläsbart format. Bilaga I · II(1)

Stödperioden är den tid under vilken en tillverkare ska tillhandahålla säkerhetsuppdateringar. Den ska återspegla den period som produkten rimligen förväntas vara i bruk; kommissionens vägledning anger att den i allmänhet bör vara minst fem år, om inte den förväntade användningstiden är kortare. Art. 13(8)

Aktivt utnyttjade sårbarheter och allvarliga incidenter som påverkar produktens säkerhet måste anmälas till ENISA och berörd CSIRT. En tidig varning ska lämnas inom 24 timmar från det att man fått kännedom, följt av en mer fullständig anmälan och en slutrapport. Art. 14

Förordningen trädde i kraft den 10 december 2024. Rapporteringsskyldigheterna gäller från september 2026 (21 månader senare) och merparten av skyldigheterna gäller från december 2027 (36 månader senare). Art. 71

Överträdelser av de väsentliga kraven eller tillverkarens skyldigheter kan medföra böter på upp till €15 miljoner eller 2,5 % av den totala globala årsomsättningen, beroende på vilket belopp som är högst. Lägre tak gäller för andra överträdelser och för lämnande av felaktiga uppgifter.

Rapporteringsskyldigheterna enligt artikel 14 blir tillämpliga den 11 september 2026. ENISA inrättar den gemensamma rapporteringsplattformen enligt artikel 16, genom vilken tillverkare ska anmäla aktivt utnyttjade sårbarheter och allvarliga incidenter till ENISA och den nationella CSIRT-enheten; den är avsedd att vara i drift senast detta datum. Art. 14

Kommissionens standardiseringsbegäran M/606 godtogs av CEN, CENELEC och ETSI 2025 och omfattar omkring 41 standarder (horisontella och produktspecifika). De två centrala horisontella standarderna (säker utveckling och sårbarhetshantering) väntas vara klara senast den 30 augusti 2026, de vertikala produktstandarderna senast den 30 oktober 2026 och de återstående horisontella standarderna senast den 30 oktober 2027, inför full tillämpning i december 2027. Att följa en åberopad harmoniserad standard ger en presumtion om överensstämmelse. Bilaga I

Genomför det förfarande för bedömning av överensstämmelse som gäller för er produktklass, sammanställ den tekniska dokumentationen, upprätta och underteckna EU-försäkran om överensstämmelse och anbringa därefter CE-märkningen. Standardprodukter får göra en självbedömning; viktiga och kritiska produkter kräver striktare förfaranden. Art. 28 · 32

Börja med CRA Fast Check för att bekräfta tillämpningsområde och klass, följ den vägledning som är skriven för din roll och använd efterlevnadsmatrisen för att följa de väsentliga kraven till slut.