Bilaga II punkt 7 i cyberresilienslagen (förordning (EU) 2024/2847) kräver att tillverkare anger stödperiodens slutdatum i den information som medföljer produkten, innan köp. Det är den användarorienterade motparten till varaktighetsreglerna i Artikel 13(8) och skyldigheten att vid inköpsstället redovisa livslängdens slut enligt Artikel 13(19). För varaktighetsmekaniken, se CRA Stödperiod: Grunderna; för leverans av patchar, se CRA-säkerhetsuppdateringar.
Sammanfattning
- Krav innan köp. Bilaga II punkt 7-redovisningen av slutdatumet måste nå användaren innan köpet slutförs, inte efteråt.
- I produktdokumentationen specifikt. Redovisningen ska ingå i de instruktioner och den information som medföljer produkten, inte i en separat marknadsföringskanal, ett e-postmeddelande efter försäljningen eller ett villkorsdokument.
- Återspeglar det faktiska slutdatumet. Om tillverkaren använder undantaget för kortare förväntad livslängd enligt Artikel 13(8) måste Bilaga II-redovisningen visa det faktiska (kortare) slutdatumet, inte ett avrundat femårsdatum som platshållare.
- Kopplar till bevarandet av den tekniska filen i Bilaga VII. Enligt Artikel 13(13) måste den tekniska filen (som inkluderar Bilaga II-informationen) bevaras i 10 år från marknadsplaceringen, eller under stödperioden, beroende på vilket som är längst.
- Böter vid utebliven redovisning. Brott mot de väsentliga kraven i Artikel 13, inklusive redovisningen av stödperioden, kan leda till böter på upp till €15,000,000 eller 2,5 % av den globala omsättningen enligt Artikel 64.
De fyra ankarpunkterna för CRA:s redovisning av stödperiodens slut: Bilaga II-posten, det relaterade stycket i Artikel 13, golvet för bevarande och taket för böter.
Vad Bilaga II punkt 7 kräver
Bilaga II i förordning (EU) 2024/2847 listar den information som tillverkaren måste lämna till användarna. Punkt 7 kräver att tillverkaren inkluderar "slutdatumet för stödperioden" i de instruktioner och den information som medföljer produkten. I praktiken innebär det fyra saker på en gång:
- Slutdatumet anges i den produktdokumentation som tillhandahålls vid eller innan försäljnings- eller nedladdningspunkten.
- Det visas innan användaren slutför köpet, inte i ett välkomstmeddelande efter köpet eller i villkoren.
- Om tillverkaren använder undantaget för kortare förväntad livslängd enligt Artikel 13(8) återspeglar Bilaga II-redovisningen det faktiska (kortare) slutdatumet, inte en avrundad femårsuppskattning.
- Redovisningen ingår i den tekniska filen i Bilaga VII och bevaras i minst 10 år från marknadsplaceringen enligt Artikel 13(13).
Praktisk konsekvens: slutdatumet för stödperioden är en produktspecifikation, inte ett marknadsföringsåtagande. Det registreras i den tekniska filen, visas för användarna innan köp och uppdateras när en produktversion uppdateras eller bedömningen av den förväntade livslängden förändras.
Var redovisningen måste framgå, per kanal
Kravet i Bilaga II punkt 7 är uppfyllt först när slutdatumet når användaren innan pengar byter ägare. Var redovisningen måste framgå beror på kanalen; tabellen nedan kartlägger varje kanal mot den placering som uppfyller skyldigheten och den placering som inte räcker.
| Kanal | Redovisningen måste framgå | Räcker inte |
|---|---|---|
| Fysisk detaljhandel | På förpackningen eller i dokumentationen innan försegling | Etikett som enbart kan läsas efter uppackning |
| E-handel | Produktdetaljsida, eller en klick därifrån, innan lägg i varukorg | Kassasida, orderbekräftelse, e-post efter köp |
| SDK / utvecklare | Offentlig API- eller komponentdokumentationssida som konsulteras innan integration | README inuti det nedladdade paketet |
| B2B-upphandling | Specifikationsblad, datablad eller RFP-svar utvärderat innan undertecknande | Introduktionsdokument efter kontraktsskrivande |
| Nedladdningsbar programvara | Nedladdningssida, eller installationsprogrammets sammanfattning före installation | Skärm i appen som enbart syns efter första start |
Bilaga II punkt 7-placeringar per kanal. Principen är konsekvent i alla fem fall: slutdatumet är en del av köpbeslutet och måste vara tillgängligt i det ögonblick köparen fattar det. Detta kompletterar skyldigheten att vid inköpsstället redovisa livslängdens slut enligt Artikel 13(19).
Genomarbetat exempel: redovisning per version på en tidslinje
En tillverkare placerar produkt v1.0 på EU-marknaden i januari 2028 med ett femårigt stödåtagande, och uppdaterar sedan till v1.1 i juli 2028 med ett eget femårigt åtagande. Bilaga II-redovisningen är knuten till versionen, inte till köparens inköpsdatum.
Koppling till den tekniska filen och EU:s försäkran om överensstämmelse
En redovisning som är korrekt på produktsidan men saknas i den tekniska filen, eller som finns i den tekniska filen men inte är synlig för köparen, uppfyller inte skyldigheten. Tre delar måste stämma överens samtidigt:
Bilaga II-användarinformationen utgör en del av den tekniska dokumentationen. Se CRA Teknisk dokumentation för filstrukturen (Bilaga VII) och bevaranderegeln i Artikel 13(13).
Försäkran om överensstämmelse intygar att Artikel 13 efterlevs. Artikel 13(20) tillåter en fullständig eller förenklad försäkran, men den användarorienterade Bilaga II-redovisningen av slutdatumet är inte valfri i något av fallen. Se CRA Försäkran om överensstämmelse.
Fram till det redovisade slutdatumet är tillverkaren skyldig att leverera patchar enligt mekaniken i CRA-säkerhetsuppdateringar. Redovisningen och leveransskyldigheten upphör samtidigt.
Vanliga frågor
Vad måste framgå i Bilaga II-produktinformationen om stödperioden?
Slutdatumet för stödperioden ska anges i den produktdokumentation som lämnas till användarna vid eller innan försäljningspunkten, inte i ett e-postmeddelande efter köpet eller i villkoren. Slutdatumet måste vara specifikt (t.ex. "Säkerhetsuppdateringar tillhandahålls till och med 11 december 2032") och måste återspegla det faktiska åtagandet, inklusive eventuellt undantag för kortare förväntad livslängd. Om produkten uppdateras med en ny version som nollställer stödklockan måste Bilaga II-redovisningen uppdateras för att återspegla det nya slutdatumet. (Bilaga II punkt 7; Artikel 13(8); Bilaga VII.)
Räcker "minst fem år från köpet", eller måste redovisningen ange ett specifikt datum?
Nej, ett konkret slutdatum krävs. En relativ formulering som "säkerhetsuppdateringar i minst fem år från köpet" är inte ett slutdatum och uppfyller inte redovisningsskyldigheten. Precisionen kan vara månad och år ("december 2032") snarare än ett fullständigt kalenderdatum, men ett fast referensdatum krävs för att köparen ska kunna beräkna återstående stödtid innan betalning. Slutdatumet är också det som registreras i den tekniska filen enligt Bilaga VII, och en relativ formulering har ingenstans att leva i dokumentationskedjan. (Bilaga II punkt 7; Bilaga VII.)
Var på en e-handelsproduktssida måste slutdatumet framgå?
Redovisningen måste finnas på produktdetaljsidan själv, eller vara nåbar via en tydligt märkt länk därifrån (till exempel en flik för "Specifikationer", "Livscykel" eller "Support"). Placering enbart i användarvillkoren, enbart i en FAQ eller enbart på orderbekräftelsesidan efter kassan uppfyller inte förhandskravet. En rimlig köpare som utvärderar produkten innan de klickar på "köp" måste kunna se stödperiodens slutdatum utan att redan ha bundit sig till köpet. (Bilaga II punkt 7; Artikel 13(19).)
Om jag förlänger stödperioden efter lanseringen, måste jag uppdatera redovisningen?
Ja. Bilaga II-informationen utgör en del av den tekniska dokumentationen och måste återspegla det faktiska åtagandet. Om tillverkaren förlänger stödperioden måste både den användarorienterade redovisningen (produktsida, förpackning, datablad, sammanfattning i installationsprogrammet) och den bevarade tekniska filen enligt Bilaga VII uppdateras med det nya slutdatumet. Det ursprungliga slutdatumet finns kvar i den bevarade filen som bevis på den redovisning som gällde för tidigare försäljningar, så att revisionskedjan förblir intakt för enheter som redan finns på marknaden. (Bilaga II punkt 7; Artikel 13(13); Bilaga VII.)