Din telefonapp talar med en server du byggt. Enligt cyberresiliensförordningen är den servern inte en separat sak du kan vifta bort. Den är en del av produkten. Förordningens eget paradexempel på fjärrbehandling av data är en mobilapp som når ett API eller en databas som körs av en tjänst du utvecklat. Backenden bakom din app är alltså ingen granne till produkten. Den ligger inuti den.
Den här sidan ger dig testet och sorterar sedan varje backend en typisk app talar med i tre kategorier: lösning för fjärrbehandling av data, komponent och utanför tillämpningsområdet. Vi sammanfattade testet i genomgången av kommissionens vägledning från mars 2026. Det här är den genomarbetade versionen för alla som släpper en telefonapp, ett API eller en molnbackend.
Sammanfattning
- Fjärrbehandling av data är en del av produkten. CRA behandlar en uppkopplad produkt som enheten eller appen plus den backend du byggt och som den behöver för att fungera. Folk förkortar lösning för fjärrbehandling av data till RDPS, och den här sidan gör det.
- Ett test, tre saker måste vara sanna. En backend är fjärrbehandling av data när den körs på distans, din produkt behöver den för att utföra en funktion och du byggt den eller låtit bygga den åt dig. Missa någon av de tre och den är det inte.
- Skolboksexemplet är en app och dess API. Förordningens eget paradfall är en mobilapp som når ett API eller en databas som körs av en tjänst du byggt.
- Tre kategorier, inget annat. Varje backend din app rör är antingen en lösning för fjärrbehandling av data, en komponent eller utanför tillämpningsområdet.
- Färdig SaaS är inte RDPS, men fortfarande ditt problem. En tjänst du bara licensierar är en komponent. Du bedömer ändå integrationsrisken och gör leverantörsgranskning av den.
- 5G-nätet ligger helt utanför. Ett mobilnät möjliggör anslutning, precis som en router eller en Wi-Fi-signal. Du är inte skyldig operatören någon granskning alls.
- Din CI/CD och ditt CRM ligger utanför. CRA reglerar inte ditt företagsnät som helhet. Interna pipelines, löner och red team-infrastruktur stannar utanför.
Fjärrbehandling av data i fyra siffror: sakerna du kontrollerar, de två frågorna som avgör, kategorierna ett beroende kan hamna i och exemplet förordningen leder med.
Vad fjärrbehandling av data faktiskt betyder
Förordningen kokar ner det till en enda idé, och tre saker måste vara sanna samtidigt. Datan måste hanteras någon annanstans än på användarens egen enhet. Din produkt måste behöva den hanteringen för att göra ett av sina jobb. Och du måste ha byggt tjänsten, eller låtit bygga den under ditt ansvar. Få till alla tre och du har en lösning för fjärrbehandling av data. Missa en och du har det inte.
Läs de tre var för sig, eftersom var och en snubblar ett olika team.
- Hanteras på distans. Behandlingen sker utanför användarens enhet eller miljö. Den kan ligga i kanten, på en trådbunden länk eller en trådlös. En mobilapp som når en molnfunktion är en del av den behandling som sker i molnet.
- Behövs för en funktion. Utan tjänsten kan produkten inte göra ett av sina jobb. Ordet förordningen använder är funktioner, inte kärnfunktioner, och det spelar roll. Nästa avsnitt reder ut hur brett det är.
- Byggd av eller åt dig. Du utformade och utvecklade tjänsten, eller en leverantör byggde den under ditt ansvar. Att hyra plats för att köra den ändrar inte svaret.
Två punkter sätter folk på pottkanten redan innan de börjar sortera:
- Det är din programvara, inte hårdvaran den körs på. Lösningen för fjärrbehandling av data är koden du byggt och kör på distans. Leverantörens hypervisor eller körmiljö under är en komponent, och den fysiska hårdvaran alltihop sitter på är produktmiljön. Ingen av dem är din lösning för fjärrbehandling av data, och du bedömer risken från båda.
- Det behöver inte vara publikt moln. En lösning för fjärrbehandling av data kan köras på dina egna lokala servrar eller ett privat moln i dina egna lokaler. Testet är utformning, utveckling och nödvändighet, inte var lådan fysiskt står.
De tre frågorna
Kör varje backend din app beror på genom tre frågor i tur och ordning. Varje väg landar i en av de tre kategorierna.
Första frågan filtrerar bort allt som aldrig lämnar enheten. De två nästa är det avgörande paret, och båda måste vara ja. Tre saker är värda att slå fast innan du börjar:
- Funktioner är bredare än kärnfunktioner. Det täcker allt som stöder hur produkten presterar, inte bara huvudfunktionen. Att skicka kommandon till en enhet, synkronisera filer, registrera en användare, konfiguration och personalisering, ta emot uppdateringar inklusive säkerhetspatchar och logga in användare räknas alla som funktioner. Om en backend behövs för någon av dem är andra frågan ja.
- En manuell reserv friskriver dig inte. En glödlampa du kan tända via en app eller med en fysisk strömbrytare är fortfarande en lösning för fjärrbehandling av data för den uppkopplade vägen. Det manuella alternativet tar inte funktionen utanför tillämpningsområdet.
- Byggd av eller åt dig handlar inte om vem som kör den. Du kan lämna driften till en tredje part och ändå förbli ansvarig. Under ditt ansvar betyder skräddarsydd, byggd för din räkning enligt din specifikation, och ägd snarare än licensierad. Att licensiera en befintlig produkt, eller en lätt modifierad version av en, är inte byggt av eller åt dig.
Skolboksfallet: din app, ditt API, din databas
Börja med fallet förordningen själv använder som sitt exempel. En mobilapp behöver ett API eller en databas, och det API:et eller den databasen körs av en tjänst du byggt. I det fallet är tjänsten en lösning för fjärrbehandling av data, punkt. Det är bilden resten av sidan bygger på.
Gå en anteckningsapp genom de tre frågorna. Appen synkar filer via ditt REST-API och din databas. Hanteras på distans, ja. Behövs för en funktion, ja, eftersom filsynkronisering är en funktion. Byggd av eller åt dig, ja, eftersom du utformade API:et och databasschemat. Tre ja. Ditt API och din databas är en lösning för fjärrbehandling av data. De sitter inom produktens konformitetsomfång.
Molnplattformen under är en annan fråga. Om du hyr infrastruktur och driftsätter din egen kod på den, är plattformen du hyr inte lösningen för fjärrbehandling av data. Din kod är det. IaaS:et under är en komponent. Du dokumenterar beroendet, bedömer integrationsrisken och kan be leverantören om säkerhetsbevis.
De tre kategorierna i korthet
Varje beroende landar i exakt en kategori. Båda avgörande frågorna ja är en lösning för fjärrbehandling av data. Behövs för en funktion men inte ditt ansvar är en komponent. Behövs inte för en funktion är utanför tillämpningsområdet, och du kontrollerar den risk den ändå för med sig.
| Kategori | När den gäller | Innebörd | Vad du måste göra |
|---|---|---|---|
| Lösning för fjärrbehandling av data | på distans, behövs för en funktion och byggd av eller åt dig | En del av själva produkten | Uppfyll de väsentliga säkerhetskraven i bilaga I. Väv in den i produktens riskbedömning. Täck den i EU-försäkran om överensstämmelse och i den tekniska dokumentationen. Hantera och rapportera sårbarheter under hela stödperioden |
| Komponent | på distans och behövs för en funktion, men inte byggd av eller åt dig | En tredjepartsdel din produkt lutar sig mot | Bedöm integrationsrisken. Begränsa på produktnivå, genom autentisering, integritetskontroller, isolering och validering av svar. Gör leverantörsgranskning och lägg in säkerhetsgarantier i SLA:t. Återanvänd de bevis leverantören redan har, som en CE-märkning, ett ISO/IEC 27001- eller 27017-certifikat, ett EU-cybersäkerhetscertifikat, bevis på leverantörens NIS2-skyldigheter eller dess DORA-skyldigheter där de gäller |
| Utanför tillämpningsområdet | behövs inte för en funktion, eller ren anslutning | Varken en lösning för fjärrbehandling av data eller en komponent | Ingen konformitets- eller komponentplikt. Du bedömer ändå all risk kommunikationen för med sig. Ren anslutning, som mobilnätet, Wi-Fi eller en router, är det enda fall där du inte är skyldig leverantören något alls |
Vår syn: I praktiken faller testet sällan på de två första frågorna. Nästan allt en app talar med körs på distans och behövs för något. Svaret avgörs av tredje frågan, ägandet, och det är där vi ser team halka. Om en tjänst byggdes åt dig och du äger den, behandla den som inom tillämpningsområdet och gå vidare. Det dyra misstaget vi ständigt ser är att lägga en skräddarsydd backend under komponent bara för att en leverantör råkar driva den.
Genomarbetade exempel
Vägledningsutkastet resonerar sig igenom en uppsättning fiktiva, arketypiska produkter, och galleriet nedan speglar det. Där det namnger en verklig teknikkategori klassificerar det det typiska mönstret. Svaret avgörs av hur du använder saken, egenbyggd mot licensierad färdigvara, aldrig ett juridiskt utlåtande om en namngiven leverantör.
A. Din egen synkbackend
Produkt: en antecknings- eller produktivitetsapp. Appen ansluter till ditt REST-API och din databas på hyrd infrastruktur. Hanteras på distans, ja. Behövs för en funktion, ja, filsynkronisering. Byggd av eller åt dig, ja. Detta är en lösning för fjärrbehandling av data. Den hyrda infrastrukturen under är en komponent. Det är skolboksfallet från avsnittet ovan.
B. Companion-app för smart hem
Produkt: en termostat eller en lampa och dess companion-app. Appen talar med din molnbackend, som du byggt och kör på tredjepartsinfrastruktur. Enheten fungerar också med en manuell strömbrytare. Hanteras på distans, ja. Behövs för en funktion, ja, att skicka kommandon till en enhet, och den manuella reserven ändrar inte det. Byggd av eller åt dig, ja. Detta är en lösning för fjärrbehandling av data. Infrastrukturen under är en komponent. Förordningen bekräftar att en smart hem-tillverkares molnstyrning faller inom tillämpningsområdet.
C. Bankapp, fallet med alla tre kategorier
Produkt: bankappen. En app, fyra beroenden, tre kategorier.
- Ditt självhostade API-lager är en lösning för fjärrbehandling av data. Du byggde det, appen behöver det, det körs på distans.
- Konto- och liggarsystemen appen aldrig rör direkt är utanför tillämpningsområdet, ett externt beroende. De riskbedöms ändå. Du tillämpar stark autentisering av backend-gränssnitten, integritetsskydd och verifiering av svar.
- En supportchatt-SaaS från tredje part är en komponent. Du isolerar den från kärnbankflödet, validerar innehållet den returnerar och gör leverantörsgranskning.
- Din push-aviseringskod på en tredjeparts-PaaS är en lösning för fjärrbehandling av data. Själva PaaS-plattformen är en komponent. Din kod är programvaran du utformade. Plattformen är det hyrda lagret under.
D. Identitet och inloggning
Produkt: vilken app som helst. Att logga in användare är en funktion, så identitet är i spel.
- Din egen tokenutfärdande autentiseringstjänst är en lösning för fjärrbehandling av data. Du byggde den, appen behöver den för att logga in användare.
- En identitetsleverantör från tredje part du bara licensierar som färdigvara är en komponent, inte en lösning för fjärrbehandling av data. Du bedömer integrationsrisken och gör leverantörsgranskning.
- En leverantör som bygger en skräddarsydd identitetstjänst enbart åt dig, ägd av dig, vänder tillbaka till en lösning för fjärrbehandling av data. Samma leverantör, annat avtal, annat svar.
E. Färdig SaaS-lagring
Produkt: en medie- eller e-läsarapp som lagrar köpt innehåll i en generisk lagrings-SaaS från tredje part. Hanteras på distans, ja. Behövs för en funktion, ja. Byggd av eller åt dig, nej, eftersom du licensierade en befintlig produkt som färdigvara. Detta är en komponent, inte en lösning för fjärrbehandling av data. Du säkrar autentisering, kryptering och integritet i kommunikationen, och gör leverantörsgranskning. Ställ det mot exempel A. Samma jobb, fillagring, landar i en annan kategori på grund av vem som byggt tjänsten.
F. AI- och LLM-funktion
Produkt: en app med en AI-funktion.
- Din egen modell- eller inferenstjänst som du byggt och kör på tredjepartsinfrastruktur är en lösning för fjärrbehandling av data.
- Ett modell-API från tredje part du bara licensierar som färdigvara är en komponent, inte en lösning för fjärrbehandling av data. Du bedömer integrationsrisken och gör leverantörsgranskning.
- Data som skickas enbart för modellträning eller statistik, som inte behövs för en produktfunktion, är troligen utanför tillämpningsområdet. Du bedömer ändå all risk den kommunikationen tillför.
G. Uppsättningen utanför tillämpningsområdet
Utanför tillämpningsområdet är inte en enda sak. Det har två underzoner, och de bär olika arbete.
- Inget skyldig leverantören. 5G- eller mobilnätet, användarens Wi-Fi och routern möjliggör anslutning. De är inte en lösning för fjärrbehandling av data och inte en komponent. Du är inte skyldig operatören någon granskning alls.
- Inte en lösning för fjärrbehandling av data, ändå en riskkontroll. Krasch- eller användningstelemetri som samlas enbart för statistik eller framtida produktutveckling är inte en lösning för fjärrbehandling av data, men du bedömer all kommunikationsrisk den tillför. En marknadssajt eller ett hjälpcenter appen bara länkar till är inte heller en lösning för fjärrbehandling av data.
- Ditt eget nät. Internt CRM, HR, löner, CI/CD-pipelines, den interna distributionen av uppdateringar till kantnoder, och pen test- eller red team-infrastruktur är inte en lösning för fjärrbehandling av data. CRA reglerar inte ditt företagsnät som helhet.
Vad varje kategori förpliktar dig att göra
Kategorin är inte en etikett. Den sätter arbetet.
Gränsen flyttar sig med molnmodellen. På hyrd infrastruktur kan programvaran du driftsätter vara en lösning för fjärrbehandling av data, leverantörens hypervisor under är en komponent, och den fysiska hårdvaran är produktmiljön. På en hyrd plattform kan din appkod vara en lösning för fjärrbehandling av data och körmiljöplattformen är en komponent. En färdig SaaS-applikation är en komponent, inte en lösning för fjärrbehandling av data.
Lösning för fjärrbehandling av data. Den ligger inuti produkten. Du uppfyller de väsentliga säkerhetskraven i bilaga I, väver in den i produktens riskbedömning, täcker den i EU-försäkran om överensstämmelse och i den tekniska dokumentationen, och hanterar och rapporterar sårbarheter under hela stödperioden.
Komponent. Det är en tredjepartsdel din produkt lutar sig mot. Du bedömer integrationsrisken och begränsar på produktnivå, genom autentisering, integritetskontroller, isolering och validering av svar. Du gör leverantörsgranskning och lägger in säkerhetsgarantier i SLA:t. Du kan återanvända bevis leverantören redan har, som en CE-märkning, ett ISO/IEC 27001- eller 27017-certifikat, ett EU-cybersäkerhetscertifikat, bevis på leverantörens NIS2-skyldigheter eller dess DORA-skyldigheter där de gäller. Att en tredjepartsleverantör ändrar sin egen tjänst är inte en väsentlig ändring av din produkt.
Utanför tillämpningsområdet. Ingen konformitets- eller komponentplikt. Du bedömer ändå all risk kommunikationen för med sig, utom i anslutningsfallet där du inte är skyldig leverantören något.
Skriv in lösningarna för fjärrbehandling av data och tredjepartsberoendena i din tekniska dokumentation. Riskbedömningen täcker lösningarna för fjärrbehandling av data, tredjepartsberoendena och produktmiljön.
Du behöver inte köra hela din backend genom konformitet. CRA når bara de delar av dina system som lagrar eller behandlar den data en produktfunktion behöver. Att avskilja dessa delar från resten, så som bankappen håller sin liggare åtskild från sitt API, smalnar av vad som faller inom bedömningen. Och om en backend betjänar flera produkter, deklarera den i varje produkts tekniska dokumentation. Du kan återanvända den dokumentationen från en produkts bedömning till nästa.
Vanliga misstag
- Att behandla hela ditt moln som inom tillämpningsområdet. CRA når inte ditt företagsnät som helhet. Din CI/CD, ditt CRM, HR och löner ligger utanför.
- Att anta att vem som kör den avgör. Driften är inte testet. Utformning, utveckling och ägande är det.
- Att glömma att komponenter ändå kräver arbete. Utanför konformitetsomfånget är inte utanför skyldigheten. En komponent kräver en integrationsriskbedömning, begränsningar på produktnivå och leverantörsgranskning.
- Att tro att telemetri drar in dig. Telemetri enbart för statistik är inte en lösning för fjärrbehandling av data. Den får ändå en kommunikationsriskkontroll, men den är inte en del av produkten.
- Att blanda ihop produktuppdateringar med intern uppdateringsdistribution. En produkt som tar emot uppdateringar, inklusive säkerhetspatchar, är en funktion, så den uppdateringstjänst du bygger kan vara en lösning för fjärrbehandling av data. Den interna distributionen av dessa uppdateringar över dina egna kantnoder är intern infrastruktur och utanför tillämpningsområdet.
Vanliga frågor
Är min apps eget REST-API inom CRA:s tillämpningsområde?
Ja, om du byggt det och din app behöver det för att utföra en funktion. Förordningens eget exempel är en mobilapp som når ett API eller en databas som körs av en tjänst tillverkaren byggt, och det placerar ditt API inom produktens konformitetsomfång. Molnplattformen du kör det på är en separat fråga, och den behandlas som en komponent.
Om jag hostar min backend i ett tredjepartsmoln, gör molnet hela min stack till en lösning för fjärrbehandling av data?
Nej. Lösningen för fjärrbehandling av data är programvaran du utformade och utvecklade, inte plattformen under den. Den plattformen är leverantörens, inte din, så den hyrda infrastrukturen är en komponent. Du bedömer integrationsrisken och gör leverantörsgranskning av den.
Är en inloggningsleverantör från tredje part en lösning för fjärrbehandling av data?
Det beror på hur du använder den. En identitetsleverantör från tredje part du licensierar som färdigvara är en komponent, inte en lösning för fjärrbehandling av data, även om inloggning av användare är en funktion. Om en leverantör i stället bygger en skräddarsydd identitetstjänst enbart åt dig och du äger den, vänder det tillbaka till en lösning för fjärrbehandling av data. Samma leverantör, annat avtal, annat svar.
Täcker CRA min interna CI/CD-pipeline och mitt CRM?
Nej. CRA reglerar inte ditt företagsnät och dina informationssystem som helhet. Internt CRM, löner, CI/CD-pipelines, den interna distributionen av uppdateringar till kantnoder, och pen test eller red team ligger alla utanför. Detta är ditt eget nät, inte en lösning för fjärrbehandling av data som din produkt beror på.
Är mobilnätet min app körs över inom tillämpningsområdet?
Nej. Ett 5G- eller mobilnät möjliggör anslutning, precis som en router, en Ethernet-kabel eller en Wi-Fi-signal. Det är varken en lösning för fjärrbehandling av data eller en komponent, och du är inte skyldig nätoperatören någon granskning alls. Detta är det enda fallet utanför tillämpningsområdet som inte bär någon skyldighet mot leverantören.
Vad är skillnaden mellan en lösning för fjärrbehandling av data och en komponent?
Båda kan köras på distans och båda kan behövas för en funktion. Skillnaden är vem som byggt tjänsten. En lösning för fjärrbehandling av data är utformad och utvecklad av dig, eller under ditt ansvar, så den sitter inom produktens konformitetsomfång. En komponent är en tredjepartsdel du licensierar, så den stannar utanför konformiteten men kräver ändå en integrationsriskbedömning, begränsningar på produktnivå och leverantörsgranskning. Se Vad är en produkt med digitala element för var fjärrbehandling av data sitter i det bredare tillämpningstestet.
Den här artikeln är endast för informationsändamål och utgör inte juridisk rådgivning. De genomarbetade exemplen följer Europeiska kommissionens vägledningsutkast, kommunikation Ares(2026)2319816 av den 3 mars 2026, vars samråd avslutades den 13 april 2026 och som ännu inte är formellt antaget. För specifik efterlevnadsvägledning, rådgör med kvalificerad juridisk rådgivare.