CRA-livscykelslutplanering: Ansvarsfulla produktövergångar

Din produkts supportperiod kommer att ta slut. Hur du hanterar den övergången under CRA påverkar både efterlevnad och kundrelationer. Ett dåligt hanterat livscykelslut lämnar kunder med sårbara produkter och dig med potentiellt ansvar.

Den här guiden täcker ansvarsfull livscykelslutplanering: tidslinjer, kommunikation och vad som händer efter att supporten avslutas.

Sammanfattning

• CRA kräver minst 5 års säkerhetsuppdateringar från varje enhets marknadsplacering
• Livscykelslut måste planeras och kommuniceras till kunder i förväg
• Tidigt avslut av support kräver antingen gratis uppgraderingsväggar eller tydlig kommunikation
• Teknisk fil och DoC måste behållas i minst 10 år efter sista marknadsplacering
• Post-support: produkter kan fortfarande fungera men kunder accepterar säkerhetsrisken

CRA:s krav på supportperiod

Minimikrav

CRA artikel 13(8) kräver att tillverkare:

"säkerställer att sårbarheter i produkten med digitala element adresseras effektivt under en supportperiod"

Den obligatoriska minimiperioden: minst 5 år efter varje enhets marknadsplacering.

SUPPORTPERIODSBERÄKNING

Produkt placeras på marknaden: Januari 2027
Minimisupportslut: Januari 2032

Om din produkt förväntas användas 8 år:
Obligatorisk support: 8 år (inte 5)
Supportslut: Januari 2035

VIKTIGT: Supportperioden gäller per ENHET,
inte per produktmodell. Den sista sålda enheten
bestämmer ditt supportengagemang.

Vad "support" innebär

Under CRA-supportperioden måste du:

• Övervaka sårbarheter i produkten
• Adressera identifierade sårbarheter
• Leverera säkerhetsuppdateringar
• Rapportera aktivt exploaterade sårbarheter till ENISA

Planering av livscykelslut

Tidslinje för livscykelslutplanering

LIVSCYKELSLUT PLANERINGSTIDSLINJE

T - 24 MÅNADER (2 år före supportslut):
[ ] Intern beslutsprocess för EOL
[ ] Kundinventering (hur många aktiva enheter?)
[ ] Uppgraderingsalternativsbedömning
[ ] Kommunikationsplan utkast

T - 12 MÅNADER (1 år före):
[ ] Offentligt tillkännagivande av EOL-datum
[ ] Uppgraderingsvägguidence
[ ] Kundinriktade FAQ
[ ] Supportteam utbildning

T - 6 MÅNADER:
[ ] Direkta kundkommunikationer
[ ] Avancerat varningsbrev/e-post
[ ] Webbplatsuppdatering med EOL-information
[ ] Supportforumbekräftelse

T - 3 MÅNADER:
[ ] Påminnelsekommunikationer
[ ] Slutgiltig patch-release
[ ] Säkerhetsrekommendationer post-EOL

T = SUPPORTSLUTDATUM:
[ ] Officiell EOL-tillkännagivelse
[ ] Uppdatera produktlistning med EOL-status
[ ] Arkivera teknisk dokumentation
[ ] Bevara DoC och teknisk fil (10 år)

Tidigt supportavslut

Om du vill avsluta support före minimikravet:

ALTERNATIV FÖR TIDIGT SUPPORTAVSLUT

ALTERNATIV 1: Gratis uppgradering
- Erbjud gratis uppgradering till en produkt som fortfarande stöds
- "Ytterligare kostnader" innebär obligatoriska hårdvaruköp
- Enkel omkonfiguration kvalificerar INTE som "ytterligare kostnad"

ALTERNATIV 2: Förlängd supportperiod
- Om du inte kan erbjuda gratis uppgradering, måste du stödja
  produkten under den ursprungliga beräknade livstiden
- Dokumentera din livstidsantagning tydligt

Kundkommunikationsmallar

Avancerat varningsbrev (12 månader)

Ämne: Viktig information: Supportpolicyuppdatering för [Produktnamn]

Kära [Kundnamn],

Vi skriver för att informera dig om ett viktigt datum för din
[Produktnamn].

SUPPORTSLUTDATUM: [Datum]

Vad detta innebär:
- Säkerhetsuppdateringar avslutas [Datum]
- Produkten kommer att fortsätta fungera efter detta datum
- Nya säkerhetssårbarheter kommer inte att korrigeras
- Vi rekommenderar planering för uppgradering eller utbyte

UPPGRADERINGSALTERNATIV:
[Länk till uppgraderingsinformation]

FRÅGORNA?
Kontakta vår support: [Kontaktinformation]

Med vänliga hälsningar,
[Företagsnamn] Supportteam

Slutgiltigt meddelande (30 dagar)

Ämne: [Produktnamn] Supportslutpåminnelse: 30 dagar kvar

Kära [Kundnamn],

Detta är en påminnelse om att supportperioden för din
[Produktnamn] avslutas om 30 dagar, den [Datum].

SISTA SÄKERHETSPATCH:
Vi har publicerat den slutgiltiga säkerhetsuppdateringen
för [Produktnamn]: Version [X.X.X].
Vi rekommenderar att du installerar denna uppdatering
omedelbart.

EFTER [DATUM]:
- Inga ytterligare säkerhetsuppdateringar
- Produkten kan fortsätta användas men exponeringen
  ökar med tid
- Vi rekommenderar att du planerar för byte inom
  de kommande [tidsram]

UPPGRADERINGSALTERNATIV:
[Ange specifika alternativ]

Vi tackar dig för [X] år av förtroende för [Produktnamn].

Med vänliga hälsningar,
[Företagsnamn]

Post-support: Vad händer?

Rättslig status

PRODUKTSTATUS EFTER SUPPORTSLUT

PRODUKTENS STATUS:
- Kan fortfarande säljas UNDER FÖRUTSÄTTNING att supportslutdatum
  tydligt kommuniceras vid köptillfället
- Kunden förstår och accepterar säkerhetsrisken
- Tillverkaren har uppfyllt minimikraven

TILLVERKARENS STATUS:
- Ingen skyldighet att leverera ytterligare uppdateringar
- Fortfarande skyldig att behålla teknisk dokumentation
- Fortfarande skyldig att hantera tidigare kända exploit (?)
  [obs: CRA:s tolkning pågår fortfarande]

DOKUMENTATIONSKRAV:
- Teknisk fil: Behåll i 10 år efter SENASTE marknadsplacering
- DoC: Behåll under samma period
- SBOM: Behåll som historisk referens

Livscykelslutsplanering per produkttyp

Konsument-IoT (typisk livstid: 5-8 år)

[ ] Bedöm typisk kundanvändningsperiod
[ ] Kontrollera att 5-årig minimum uppfylls
[ ] Planera hårdvaruutfasning av supportinfrastruktur
[ ] Förenkla kundkommunikation (konsumentanpassat)
[ ] Erbjud uppgraderingsrabatter för att underlätta övergång

Industriella produkter (typisk livstid: 10-20 år)

[ ] Stöd vanligtvis längre än 5 år minimum
[ ] Planera för utökat stöd (10+ år om nödvändigt)
[ ] Koordinera med kundernas underhållscykler
[ ] Erbjud förlängda supportavtal som tillägg
[ ] Planera för reservdels- och firmware-arkivering

Checklista för livscykelslutplanering

LIVSCYKELSLUTCHECKLISTA

PLANERING:
[ ] EOL-datum fastställt
[ ] Kundinventering slutförd
[ ] Uppgraderingsalternativ bedömda
[ ] Kommunikationsplan skapad

KOMMUNIKATION:
[ ] 12-månaders avisering skickad
[ ] Webbplats/produktlistning uppdaterad
[ ] Supportteam utbildat
[ ] FAQ:er skapade

TEKNISK:
[ ] Slutgiltig patch-release förberedd
[ ] Säkerhetsrekommendationer dokumenterade
[ ] Dokumentationsarkiv förberett

DOKUMENTATION:
[ ] DoC bevarad (10 år)
[ ] Teknisk fil bevarad (10 år)
[ ] SBOM arkiverad
[ ] EOL-kommunikation archiveras för revisionsbevis

POST-EOL:
[ ] Produktlistning uppdaterad med EOL-status
[ ] Webbplats reflekterar produktens status
[ ] Supportingång stängd eller omdirigeras tydligt

Hur CRA Evidence hjälper

CRA Evidence stöder livscykelslutplanering:

• Livscykelspårning: Övervaka supportstatus för alla produkter
• Kommunikationsmallar: Förberedda EOL-meddelanden
• Dokumentationslagring: 10-årig retention för DoC och teknisk fil
• SBOM-arkivering: Historiska SBOM:er för revisionsändamål
• Kunddashboard: Visa supportstatus för slutanvändare

Planera ditt produktlivscykelslut på app.craevidence.com.

Den här artikeln är endast avsedd för informationsändamål och utgör inte juridisk rådgivning. För specifik efterlevnadsvägledning, konsultera kvalificerade juridiska rådgivare.