CRA-stödperiod: 5-årsgolv enligt Artikel 13(8)

Artikel 13(8) i EU:s cyberresilienslag (förordning (EU) 2024/2847) fastställer ett femårsgolv för hantering av sårbarheter, förankrat vid det datum då produkten placeras på EU-marknaden. Den här guiden täcker varaktighetsmekaniken: när klockan startar, hur undantaget för kortare förväntad livslängd fungerar, hur portföljer med flera versioner skapar överlappande skyldigheter och vad uppströmsavtal måste täcka. För leveranskadens, se CRA-säkerhetsuppdateringar. För slutdatumet för stöd som visas för användarna, se redovisning av stödperiodens slut.

Sammanfattning

  • Fem år är golvet. Artikel 13(8) kräver hantering av sårbarheter i minst fem år från det datum då produkten placeras på EU-marknaden.
  • Undantaget för kortare förväntad livslängd är snävt. Det måste bedömas innan marknadsplacering, dokumenteras i riskbedömningen i Bilaga I Del I och redovisas för användarna i Bilaga II-informationen innan köp.
  • Klockan startar vid marknadsplacering, inte vid kundens köp. Lager som befinner sig i ett lager innan försäljning har redan förbrukat en del av stödperioden.
  • Portföljer med flera versioner skapar överlappande skyldigheter. Varje version har sin egen klocka enligt Artikel 13(8); tillverkare kan ha skyldighet att stödja tre eller fler aktiva versioner samtidigt.
  • Risk från uppströmsleverantörer är tillverkarens risk. En komponentleverantörs EOL är inte ett försvar; leveransavtal måste täcka hela perioden enligt Artikel 13(8).
5y
Minsta stödperiod
Artikel 13(8) från marknadsplacering
Free
Säkerhetsuppdateringar
Artikel 13(8), ingen avgift för patchar
10y
Teknisk dokumentation
Artikel 31, från marknadsplacering
€15M / 2.5%
Högsta böter
Artikel 64, det högre beloppet gäller

De fyra talen som definierar CRA:s stödperiod: minsta varaktighet, kostnadsskyldigheten, minimigränsen för dokumentationsbevarande och taket för böter.

Stödperioden startar vid marknadsplacering, inte vid kundens köp

Artikel 13(8) förankrar femårsperioden vid det datum då produkten placeras på EU-marknaden, det vill säga första gången den görs tillgänglig för något led i distributions- eller försäljningskedjan. En enhet som ligger i ett lager i 18 månader innan en kund köper den har redan förbrukat 18 månader av sin stödperiod. Det skapar en lagerrisk: tillverkare som inte spårar marknadsplaceringsdatum per produktversion kan inte bevisa efterlevnad av Artikel 13(8).

Vad CRA kräver för stödperioden

Artikel 13(8) i cyberresilienslagen anger att tillverkaren "ska se till att sårbarheter i produkten med digitala element hanteras effektivt under en period på minst fem år från och med det datum då produkten med digitala element placeras på marknaden, eller under den förväntade användningstiden, beroende på vilket som är kortast."

Skyldigheten har tre komponenter:

Varaktighet

Minst fem år. Undantaget "förväntad användningstid om den är kortare" är snävt och måste dokumenteras och redovisas innan köp. En tillverkare kan inte åberopa det i efterhand. Om dokumentationen anger fem år är tillverkaren skyldig att ge fem år.

Hantering

Sårbarheter måste hanteras "effektivt" enligt Bilaga I Del II: identifiera och dokumentera dem, åtgärda utan onödigt dröjsmål, offentliggör när de är adresserade och tillämpa en policy för samordnad redovisning. Det handlar inte bara om att leverera patchar, utan om hela sårbarhetens livscykel.

Kostnadsfritt

Säkerhetsuppdateringar måste tillhandahållas kostnadsfritt till användarna. Funktionsuppdateringar och betalda supportnivåer är separata. Att bunta ihop fixar med en betalprenumeration uppfyller inte Artikel 13(8). Se säkerhetsuppdateringar för leveransmekaniken.

När femårsklockan startar

Artikel 13(8) förankrar stödperioden vid det datum då produkten "placeras på marknaden". Enligt EU:s produktlagstiftning innebär marknadsplacering det första tillfälle då produkten görs tillgänglig för någon part i distributionskedjan, inte detaljhandelsförsäljningen till slutkunden.

Klockan startar: Det datum då tillverkaren (eller en auktoriserad representant) för första gången gör produkten tillgänglig för en distributör, återförsäljare eller importör i syfte att distribuera den i EU.

Klockan startar inte vid: kundens köp, kundens aktivering, leveransen av en specifik enhet eller det datum en kund installerar produkten.

Praktiskt exempel:

  1. Januari 2028. Produkt v1.0 placeras på EU-marknaden. Femårsstödperioden börjar. Tillverkaren är skyldig att leverera säkerhetsuppdateringar till minst januari 2033.
  2. Juni 2029. En kund köper v1.0 från en återförsäljare. Kunden har ungefär 3,5 år kvar av stödet, inte fem år från köpdatumet.
  3. Januari 2033. Stödperioden upphör. Tillverkarens skyldighet att patcha v1.0 avslutas. Kunden fortsätter använda produkten på egen risk.

Bästa praxis: Spåra marknadsplaceringsdatum per produktversion, inte per enskild enhet. En enda post med placeringsdatum per SKU räcker för Artikel 13(8)-ändamål.

Undantaget för kortare förväntad livslängd

Artikel 13(8) tillåter att stödperioden är kortare än fem år om den förväntade användningstiden är kortare. Det undantaget är snävare än det verkar:

  • "Förväntad användningstid" bedöms utifrån rimliga användarförväntningar baserade på produktens karaktär, hur liknande produkter vanligtvis används och vad tillverkaren kommunicerar.
  • Den kortare perioden måste dokumenteras i produktens riskbedömning (Bilaga I Del I) och redovisas för användarna i Bilaga II-produktinformationen innan köp.
  • En tillverkare kan inte åberopa undantaget efter att en sårbarhet har upptäckts. Bedömningen måste göras innan marknadsplacering och registreras i den tekniska filen.
  • För de flesta programvaruprodukter, IoT-enheter och uppkopplad hårdvara är fem år det praktiska minimumet. Undantaget gäller produkter med en objektivt kort nyttjandeperiod, till exempel hårdvara för engångsbruk eller med begränsat antal cykler, snarare än produkter där tillverkaren helt enkelt föredrar en kortare skyldighet.

Stöd för flera versioner

De flesta tillverkare har flera produktversioner på marknaden samtidigt, var och en med sin egen stödperiod enligt Artikel 13(8).

Förskjutna stödperioder skapar överlappande skyldigheter:

Tre produktversioner överlappar varandra under fyra år enligt Artikel 13(8) Gantt-liknande tidslinje. v1.0 stöds januari 2028 till januari 2033. v1.1 stöds juli 2028 till juli 2033. v2.0 stöds januari 2029 till januari 2034. Mellan januari 2029 och januari 2033 är alla tre versioner under stöd samtidigt. Fyraårsfönster: alla tre versioner under samtidigt stöd v1.0 v1.1 v2.0 2028 2029 2030 2031 2032 2033 2034
Varje stapel representerar en femårig stödperiod enligt Artikel 13(8) förankrad vid versionens marknadsplaceringsdatum på EU-marknaden. Det skuggade bandet markerar det fönster där tillverkaren är skyldig att leverera samtidiga patchar till hela portföljen.
Version Marknadsplacering Stödet upphör (5 år)
v1.0 Jan 2028 Jan 2033
v1.1 Jul 2028 Jul 2033
v2.0 Jan 2029 Jan 2034

Från januari 2029 till januari 2033 (fyra år) är tillverkaren skyldig att leverera säkerhetsuppdateringar till alla tre versioner samtidigt. Varje version har sin egen CVE-exponering, sitt eget beroendeträd och potentiellt sin egen kundbas. Backportering av patchar över huvudversioner är tekniskt komplext och kostsamt.

Strategier för att minska bördan med flera versioner:

  1. Gemensam kodbas. Upprätthåll om möjligt en enda säkerhetsuppdaterad kärna som alla versioner bygger på. Säkerhetsfixar som appliceras en gång sprids till alla versioner.
  2. Aggressiva migreringskampanjer. Kortare intervall mellan kunder på gamla versioner minskar den aktiva stödmatrisen. Uppgraderingsprissättning, kostnadsfria migreringsverktyg och stödkrediter påskyndar versionskonsolideringen.
  3. Tydlig EOL-tidtabell per version. Publicera slutdatumet för stöd för varje version vid marknadsplacering. Kunder som vet att v1.0 upphör i januari 2033 har tid att planera migreringen utan akut press.

Skyldigheter för leverantörer och uppströmsavtal

Artikel 13(8) lägger skyldigheten för stödperioden på tillverkaren. En tillverkare som inte kan patcha sin produkt eftersom en komponentleverantör har upphört med stöd bryter ändå mot Artikel 13(8). Gapet i uppströmsavtalet är inte ett försvar.

Vad det innebär i praktiken:

  • Om en produkt innehåller ett tredjepartsoperativsystem, mellanprogramvara eller kretskortsminne måste tillverkaren säkra ett leveransavtal som täcker hela stödperioden. En uppströmsleverantör som tillhandahåller säkerhetspatchar i tre år tvingar tillverkaren att antingen underhålla patcharna själv efter år tre eller upphöra med att placera produkten på EU-marknaden efter uppströms EOL.
  • SBOM-baserad beroendeövervakning (se SBOM-klusterguiden) är den operativa mekanismen: tillverkaren kan inte övervaka uppströmssårbarheter utan att veta vad produkten innehåller.
  • Leveransavtal bör specificera: uppströms patchåtagandets varaktighet, anmälningsskyldigheter för nyupptäckta sårbarheter, tillgång till källkod eller patchverktyg om uppströmsleverantören avvecklar komponenten, och skadeståndsvillkor för sårbarheter med ursprung i uppströmskomponenter.

Importörer som utlöser rolleskalering enligt Artikel 22 (genom att omprofilera eller väsentligt modifiera en produkt) ärver hela skyldigheten enligt Artikel 13(8) inklusive risken från uppströmsavtal. Se guiden om importörers skyldigheter för beslutsflödet enligt Artikel 22.

Planering för livscykelns slut och ansvarsfulla produktövergångar

När stödperioden enligt Artikel 13(8) upphör avslutas tillverkarens skyldighet att patcha sårbarheter, men ett antal ansvarsområden kvarstår.

Vad Artikel 13(8) och relaterade bestämmelser kräver vid stödperiodens slut:

  • Slutdatumet för stödperioden i Bilaga II, redovisat innan köp, gäller som åtagande. Användarna måste ha fått tillräcklig förvarning i förväg.
  • Den tekniska filen måste bevaras i minst 10 år från det datum då produkten placerades på EU-marknaden (Artikel 31), oavsett när stödet upphör.
  • EU-försäkran om överensstämmelse måste förbli tillgänglig för marknadskontrollmyndigheter.
  • Om tillverkaren får kännedom om en kritisk och aktivt utnyttjad sårbarhet i den produkten utan stöd som påverkar en betydande installationsbas, finns det ingen obligatorisk rapporteringsplikt enligt Artikel 14 efter EOL. Ansvarsfull redovisning och användarinformation rekommenderas starkt. Se rapportering av sårbarheter för tidslinjemekaniken i Artikel 14 som gäller under stödperioden.

Kommunikationsskyldigheter vid stödperiodens slut:

CRA anger ingen lagstadgad varseltid för stödperiodens slut. Kravet i Bilaga II att redovisa slutdatumet för stödperioden innan köp innebär att användare som köpte produkten efter att Bilaga II-redovisningen fanns på plats redan var informerade. För produkter där den ursprungliga Bilaga II-redovisningen saknades eller var otydlig är 12 månaders förvarning branschstandard som minimum.

Efter EOL: tillverkaren är inte skyldig att patcha nya sårbarheter men bör upprätthålla en säkerhetskontakt för ansvarsfull sårbarshetsredovisning, hålla produktdokumentationen tillgänglig och samarbeta med eventuella marknadskontrollmyndigheter vid en undersökning enligt Artikel 58.

För den fullständiga operativa spelplanen för livscykelns slut, som täcker meddelandemallar, migreringsramverk, scenarier med förvärvade produkter och planeringstidslinjen på 18 månader, se CRA-planering för livscykelns slut: ansvarsfulla produktövergångar.

Vanliga misstag

Att inte spåra marknadsplaceringsdatum. Utan en post med placeringsdatum per version kan tillverkaren inte beräkna när skyldigheterna enligt Artikel 13(8) börjar eller slutar, inte ta fram slutdatumet för stödperioden i Bilaga II och inte demonstrera efterlevnad för marknadskontrollmyndigheter.

Att inte planera för uppströms EOL. Om en tillverkare av kretskort, operativsystem eller mellanprogramvara avslutar stödet innan tillverkarens period enligt Artikel 13(8) löper ut måste tillverkaren ha en plan. Att reaktivt upptäcka uppströms EOL utan något leveransavtal på plats är ett vanligt och kostsamt misslyckande.

Att koppla säkerhetspatchar till funktionsversioner. Att bunta ihop säkerhetsfixar med uppgraderingar av huvudversioner tvingar kunder att acceptera nya funktioner och ny riskyta för att ta emot en säkerhetsfixar. Artikel 13(8) kräver att fixar levereras utan onödigt dröjsmål. En sexmånaders releasecykel är inte "utan onödigt dröjsmål" för en kritisk sårbarhet.

Vanliga frågor

När börjar femårsstödperioden?

Artikel 13(8) förankrar stödperioden vid det datum då produkten placeras på EU-marknaden: det första tillfälle då tillverkaren gör produkten tillgänglig för någon part i distributionskedjan i syfte att distribuera den i EU. Den startar inte vid kundens köpdatum, vid aktivering eller vid det datum en specifik enhet levereras. En produkt som placeras på marknaden i januari 2028 är skyldig att leverera säkerhetsuppdateringar till minst januari 2033, oavsett när en enskild kund köper den.

Kan stödperioden vara kortare än fem år?

Ja, enligt undantaget i Artikel 13(8), om den förväntade användningstiden är kortare än fem år. Den kortare perioden måste dock bestämmas innan marknadsplacering, dokumenteras i riskbedömningen (Bilaga I Del I) och redovisas för användarna i Bilaga II-produktinformationen innan de köper. En tillverkare kan inte åberopa undantaget efter att en sårbarhet har upptäckts, och bedömningen måste återspegla rimliga användarförväntningar, inte interna kostnadspreferenser. För de flesta IoT-enheter, uppkopplad hårdvara och programvaruprodukter är fem år det praktiska minimumet.

Gäller Artikel 14-rapportering efter att stödperioden har upphört?

Nej. Rapporteringsskyldigheterna enligt Artikel 14 (den 24-timmarsbaserade tidiga varningen, 72-timmarsanmälan och den slutliga rapporten efter 14 dagar för aktivt utnyttjade sårbarheter) gäller tillverkaren under stödperioden. När stödperioden enligt Artikel 13(8) löper ut har tillverkaren ingen obligatorisk rapporteringsplikt enligt Artikel 14 för sårbarheter som upptäcks i den produktversionen. Marknadskontrollmyndigheter behåller befogenheten att utreda enligt Artikel 58 om en produkt utan stöd utgör en betydande cybersäkerhetsrisk, men de löpande skyldigheterna avseende sårbarhetshantering och rapportering enligt Artikel 13 och 14 har upphört.

Vad händer om en uppströmsleverantör av komponenter avslutar stödet innan vår period enligt Artikel 13(8) löper ut?

Artikel 13(8) lägger skyldigheten på tillverkaren, inte på uppströmsleverantörer. Om en leverantör av kretskort, operativsystem eller mellanprogramvara avslutar stödet för en komponent innan tillverkarens femårsperiod löper ut måste tillverkaren antingen underhålla patchar självständigt, anskaffa en alternativ komponent med stöd eller dra tillbaka produkten från EU-marknaden. En uppströmsleverantörs EOL-beslut är inte ett försvar mot en marknadskontrollmyndighets konstaterande av bristande efterlevnad av Artikel 13(8). Leveransavtal som förhandlas vid produktdesign bör specificera uppströms patchåtagandets period, tillgång till källkod eller patchverktyg och anmälningsskyldigheter, verifierade mot produktens förväntade stödperiod innan marknadsplacering.

Vad du bör göra innan 11 december 2027

  1. För varje produkt med digitala element i din portfölj, registrera marknadsplaceringsdatumet per version. Det är startpunkten för klockan enligt Artikel 13(8) och ankaret för redovisningen i Bilaga II. Utan det kan du varken beräkna eller bevisa slutdatumet för stödperioden.
  2. Bedöm om femårsminimumeet gäller eller om undantaget för kortare förväntad livslängd är försvarbart. Dokumentera bedömningen i riskbedömningen (Bilaga I Del I) och registrera den i den tekniska filen. Om du är osäker, åta dig fem år.
  3. Granska uppströmsberoenden mot stödperioden. För varje tredjepartsoperativsystem, kretskortsminne, mellanprogramvara eller bibliotek i SBOM, bekräfta att uppströmsleverantörens patchåtagande täcker hela perioden enligt Artikel 13(8). Omförhandla eller identifiera alternativ där det inte gör det. Se SBOM-klusterguiden för ramverket för beroendeövervakning.
  4. Planera kommunikation om stödperiodens slut för produkter vars period enligt Artikel 13(8) löper ut under 2028-2033. Användarna bör känna till slutdatumet innan de köper; de bör få förvarning innan stödet upphör. Se guiden för planering av livscykelns slut för kommunikationstidslinjen på 18 månader och meddelandemallar.
  5. Om hantering av stödperioder, beroendeövervakning och Artikel 14-rapportering över flera produktversioner överstiger teamets kapacitet, spårar CRA Evidence placeringsdatum och slutdatum för stödperioden per SKU, övervakar SBOM-beroenden för nyupptäckta CVE:er under hela stödperioden och signalerar Artikel 14-rapporteringsskyldigheter när aktivt utnyttjade sårbarheter detekteras.