En produkt med digitala element är hårdvara eller programvara som släpps ut på EU-marknaden och vars avsedda eller rimligen förutsebara användning omfattar en direkt eller indirekt dataanslutning till en annan enhet eller ett nät. Tre grindar avgör saken: produktformen, att den placeras på en kommersiell marknad och anslutningen. Anslutningen är det test som team underskattar mest. Den här sidan går igenom varje grind, de molnspecifika fallen och de sektorer som faller utanför CRA:s tillämpningsområde.
Sammanfattning
- Tillämpningsområdet bygger på anslutning. Hårdvara eller programvara som släpps ut på EU-marknaden omfattas när dess avsedda eller rimligen förutsebara användning inkluderar en dataanslutning till en annan enhet eller ett nät.
- Förordningen listar fyra former. Programvaruprodukter, hårdvaruprodukter, komponenter som släpps ut på marknaden separat och lösningar för fjärrbehandling av data som tillhandahålls av tillverkaren.
- Tre anslutningstyper gäller. Logisk, fysisk och indirekt. Klausulen om indirekt anslutning är den bredaste fångsten och når varje produkt som rör ett nät via ett större system.
- Vissa sektorer är undantagna. Medicintekniska produkter, motorfordon, certifierade civila luftfartsprodukter, marin utrustning, reservdelar och produkter för nationell säkerhet eller försvar faller alla utanför; se Vem måste följa CRA för varje sektors gällande förordning.
CRA:s tillämpningsområde i fyra siffror: testet som tar in en produkt, de former förordningen känner igen, de tre sätt en anslutning räknas och de sektorer som faller utanför.
Vad räknas som en produkt med digitala element?
Ställ tre frågor, enkelt uttryckt. Produkten omfattas av CRA endast om alla tre svar är ja.
- Är det en programvaruprodukt, en hårdvaruprodukt, en komponent som släpps ut på marknaden separat eller en lösning för fjärrbehandling av data? Det är de fyra former som täcks, beskrivna i nästa avsnitt.
- Kommer den att släppas ut på EU-marknaden inom ramen för en kommersiell verksamhet? Både betald och kostnadsfri leverans räknas, så länge verksamheten är kommersiell.
- Inkluderar dess avsedda eller rimligen förutsebara användning en direkt eller indirekt dataanslutning till en annan enhet eller ett nät? Anslutningstyperna behandlas i dataanslutningstestet nedan.
Enkelt uttryckt omfattar definitionen programvaruprodukter, hårdvaruprodukter, separat marknadsförda programvaru- eller hårdvarukomponenter och de fjärrbehandlingstjänster som tillverkaren tillhandahåller som en del av produkten.
CRA är Förordning (EU) 2024/2847. För det bredare sammanhanget (vad förordningen täcker, nyckeldatumen och sanktionerna), se Vad är cyberresiliensförordningen.
Former av en produkt med digitala element
Förordningen erkänner fyra former. Vilken som helst av dem kan gälla din produkt.
- Programvaruprodukt. Operativsystem, brandväggar, lösenordshanterare, antivirusprogramvara, webbläsare, webbläsartillägg, nedladdningsbara mobilappar och utvecklarbibliotek som distribueras kommersiellt.
- Hårdvaruprodukt. Routrar, IoT-sensorer, smarta kameror, industriella PLC:er, smarta hemenheter och aktivitetsmätare. Allt som kommunicerar via Wi-Fi, Bluetooth, Ethernet, mobilnät eller en industriell fältbuss.
- Komponent som släpps ut på marknaden separat. Programvara eller hårdvara som levereras fristående för integrering i ett annat system. Firmware som säljs som en separat produkt, programvarubibliotek som levereras till OEM-tillverkare och inbyggda moduler kvalificerar alla.
- Lösning för fjärrbehandling av data. Moln- eller fjärrtjänster som tillverkaren utformar och tillhandahåller som en del av produkten, där avsaknaden av tjänsten skulle hindra produkten från att utföra en av sina funktioner. Det kanoniska exemplet är en smart hem-tillverkares moln som låter användare styra enheten på distans. En ren moln-SaaS utan en kopplad produkt ligger generellt utanför förordningen; SaaS, PaaS och IaaS som sådana faller under direktiv (EU) 2022/2555 (NIS2).
Det avgörande testet är dataanslutningen, inte formfaktorn.
Dataanslutningstestet
Vilken som helst av tre anslutningstyper räcker för att ta in en produkt i tillämpningsområdet, förutsatt att produktens avsedda eller rimligen förutsebara användning inkluderar den anslutningen.
| Anslutningstyp | Praktisk betydelse | Verkligt exempel |
|---|---|---|
| Logisk | En virtuell datasökväg via ett programvarugränssnitt | Ett REST API-anrop mellan en mikrotjänst och en backend |
| Fysisk | En länk via elektriska, optiska eller mekaniska gränssnitt, kablar eller radiovågor | Ethernet-kabel, Bluetooth-parning, RS-485-industribuss |
| Indirekt | En anslutning som når en enhet eller ett nät via ett större system som självt är direkt anslutbart | Sensor som bara når internet via ett lokalt nav |
Klausulen om indirekt anslutning är den som oftast underskattas. En sensor som bara talar med en lokal gateway omfattas om gatewayen når internet, även om sensorn själv inte har någon IP-stack.
När en molntjänst faller inom CRA
En moln- eller SaaS-komponent ligger inom produktens CRA-konformitetsomfång endast när alla tre av dessa villkor gäller. Europeiska kommissionens vägledningsutkast från mars 2026 (kommunikation Ares(2026)2319816) tar tillverkare igenom dessa villkor steg för steg.
- Behandlar lösningen data på distans? Om molntjänsten inte faktiskt behandlar data på distans är det inte en lösning för fjärrbehandling av data.
- Skulle produkten inte kunna utföra en av sina funktioner utan denna lösning? En backend som är valfri eller bara berikande tar inte in molnet i tillämpningsområdet; avsaknaden av tjänsten måste hindra produkten från att leverera en funktion som den marknadsför.
- Är lösningen utformad av eller under tillverkarens ansvar? En färdig tredjeparts-SaaS som produkten råkar använda är inte en lösning för fjärrbehandling av data. En beställd tjänst som utvecklats under tillverkarens ansvar kan vara det.
Ett "nej" på något av dessa tar molnkomponenten utanför RDPS-omfånget.
Utanför RDPS betyder inte utanför skyldigheten. Även när en molntjänst inte kvalificerar som en lösning för fjärrbehandling av data behåller tillverkaren aktsamhetsskyldigheter för komponenter där tjänsten är integrerad i produkten. Säkerhetsskyldigheten skiftar från bedömning av överensstämmelse till komponenthantering; den försvinner inte.
Kommissionen illustrerar testet med fem konkreta scenarier: en bankapp, en smart termostat, en e-läsare, en industrirobot och en mobilnätsenhet. Vägledningen är fortfarande ett utkast och inväntar slutbehandling i alla EU-språkversioner. Den behandlar också en tillverkardriven mobilappsbackend och ett smart hem-moln som användbara gränsexempel.
Vad som INTE är en produkt med digitala element
Två tröskeltest sätter en produkt utanför CRA innan sektorfrågan ens blir relevant:
- Produkter utan programvara, utan firmware och utan dataanslutning. En rent mekanisk enhet utan elektronik faller utanför tillämpningsområdet redan vid inträdesprovet. En enkel analog termostat, en passiv kabel eller ett icke-elektroniskt handverktyg skulle inte nås.
- Rena molntjänster utan kopplad produkt. En fristående SaaS, PaaS eller IaaS som inte är fjärrbehandlingslösningen till en produkt ligger utanför CRA; dessa molntjänstmodeller regleras i stället av direktiv (EU) 2022/2555 (NIS2). Webbplatser som inte stöder funktionaliteten hos en produkt med digitala element ligger också utanför CRA. Förordningen når en molntjänst endast när tillverkaren tillhandahåller den som en del av en produkt och avsaknaden av tjänsten skulle hindra produkten från att fungera.
Vanliga frågor
Är min Bluetooth-enhet inom CRA:s tillämpningsområde?
Ja. Bluetooth är en fysisk anslutning via radiovågor, och en enhet som kan paras med en telefon, ett nav eller en annan Bluetooth-värd uppfyller tillämpningstestet. Även om enheten aldrig når internet direkt tar klausulen om indirekt anslutning in den i tillämpningsområdet så snart den parade värden når ett nät.
Är SaaS, PaaS eller IaaS inom CRA:s tillämpningsområde?
Generellt nej. Software as a Service, Platform as a Service och Infrastructure as a Service regleras av direktiv (EU) 2022/2555 (NIS2), inte av CRA. En molntjänst faller under CRA endast när den är utformad och tillhandahållen av tillverkaren av en produkt med digitala element och avsaknaden av tjänsten skulle hindra produkten från att utföra en av sina funktioner. Det kanoniska exemplet inom tillämpningsområdet är en smart hem-tillverkares moln som låter användare styra enheten på distans.
Är backend-API:et till vår mobilapp inom CRA:s tillämpningsområde?
Ja, om tillverkaren av appen utformar och utvecklar backenden och appen behöver den för att fungera. En mobilapp som kräver åtkomst till ett API eller en databas som tillhandahålls av tillverkarens tjänst tar in den tjänsten i CRA:s tillämpningsområde som en lösning för fjärrbehandling av data.
Räknas firmware som levereras inuti vår egen hårdvara som en separat komponent?
Nej, inte om du inte också släpper ut firmware på marknaden separat. Firmware som följer med en hårdvaruprodukt du säljer är en del av den produkten, inte en fristående komponent. Om du också säljer firmware på egen hand, till exempel som ett uppdateringspaket, ett OEM-SDK eller en fristående nedladdning, kan den separat sålda versionen omfattas självständigt.
Är en nedladdningsbar mobilapp en produkt med digitala element?
Ja, när den tillhandahålls inom ramen för en kommersiell verksamhet. En mobilapp som distribueras via en appbutik eller som en nedladdning är en programvaruprodukt som tillhandahålls på marknaden. Betalda och kostnadsfria kommersiella appar omfattas båda. Att en appbutik distribuerar appen flyttar inte CRA-ansvaret till butiken; tillverkaren är den aktör som marknadsför appen under sitt eget namn eller varumärke. Produkten måste också uppfylla anslutningstestet, vilket de flesta appar gör genom sin avsedda nätverks- eller enhets-API-användning.