Cyberresiliensförordningen (Förordning (EU) 2024/2847) kräver att tillverkare anger stödperiodens slutdatum i den information som medföljer produkten, innan köp. Det är den användarorienterade motparten till stödplaneringen och skyldigheten vid inköpsstället att redovisa livslängdens slut. För varaktighetsmekaniken, se CRA Stödperiod: grunderna; för leverans av patchar, se CRA-säkerhetsuppdateringar.
Sammanfattning
- Krav innan köp. Redovisningen av slutdatumet måste nå användaren innan köpet slutförs, inte efteråt.
- Tydlig och lättillgänglig vid köptillfället. Slutdatumet måste vara klart och direkt tillgängligt vid köptillfället, och där det är relevant ska det framgå på produkten, förpackningen eller via digitala medier som produktsidan; det ska även finnas i instruktionerna. Det avgörande är att köparen ser datumet innan de förbinder sig, inte efteråt.
- Avisering när supportperioden löpt ut. Där det är tekniskt möjligt bör tillverkaren även visa användarna ett meddelande när produkten har nått slutet av sin supportperiod, inte enbart redovisa datumet i förväg.
- Återspeglar det faktiska slutdatumet. Om tillverkaren använder en kortare förväntad användningsperiod måste den användarorienterade redovisningen visa det faktiska kortare slutdatumet, inte ett avrundat femårsdatum som platshållare.
- Kopplar till bevarandet av den tekniska filen. Den tekniska filen, inklusive användarinformationen, ska bevaras i 10 år från marknadsplaceringen eller under stödperioden om den är längre.
- Sanktionsrisken behandlas separat. Utebliven redovisning kan skapa tillsynsrisk, men sanktionsnivåerna hör hemma i guiden om sanktioner och tillsyn, inte i den här checklistan.
De fyra ankarpunkterna för redovisningen av supportens slut: tidpunkt, kanal, bevarande och sanktionsmodell.
Vad användaren måste se före köp
Den användarinformation som krävs har två praktiska delar: typen av tekniskt säkerhetsstöd som erbjuds och stödperiodens slutdatum. För slutdatumet bör produktsidan, förpackningen, databladet, nedladdningssidan eller motsvarande material före köp göra fyra saker tydliga:
- Slutdatumet anges i den produktdokumentation som tillhandahålls vid eller innan försäljnings- eller nedladdningspunkten.
- Det visas innan användaren slutför köpet, inte i ett välkomstmeddelande efter köpet eller i villkoren.
- Om tillverkaren använder en kortare förväntad användningsperiod återspeglar den användarorienterade redovisningen det faktiska kortare slutdatumet, inte en avrundad femårsuppskattning.
- Samma slutdatum registreras i den tekniska filen och bevaras med de sparade efterlevnadsbevisen.
Praktisk konsekvens: slutdatumet för stödperioden är en produktspecifikation, inte ett marknadsföringsåtagande. Det registreras i den tekniska filen, visas för användarna innan köp och uppdateras närhelst en produktversion uppdateras eller bedömningen av den förväntade livslängden förändras.
Var redovisningen måste framgå, per kanal
Redovisningen av slutdatumet är uppfylld först när datumet når användaren innan pengar byter ägare. Var den måste framgå beror på kanalen; tabellen nedan kartlägger varje kanal mot den placering som uppfyller skyldigheten och den placering som inte räcker.
| Kanal | Redovisningen måste framgå | Räcker inte |
|---|---|---|
| Fysisk detaljhandel | På förpackningen eller i dokumentation innan försegling | Etikett som enbart kan läsas efter uppackning |
| E-handel | Produktdetaljsida, livscykel-/specifikationsflik eller tydligt märkt länk före köp innan köparen binder sig | Orderbekräftelse, e-post efter köp eller placering enbart i kassan efter bindning |
| SDK / utvecklare | Offentlig API- eller komponentdokumentationssida som konsulteras innan integration | README inuti det nedladdade paketet |
| B2B-upphandling | Specifikationsblad, datablad eller RFP-svar som utvärderas innan undertecknande | Introduktionsdokument efter kontraktsskrivande |
| Nedladdningsbar programvara | Nedladdningssida, eller installationsprogrammets sammanfattning före installation | Skärm i appen som enbart syns efter första start |
Placering per kanal. Principen är konsekvent i alla fem fall: slutdatumet är en del av köpbeslutet och måste vara tillgängligt i det ögonblick köparen fattar det.
Genomarbetat exempel: redovisning per version på en tidslinje
En tillverkare placerar produkt v1.0 på EU-marknaden i januari 2028 med ett femårigt stödåtagande, och uppdaterar sedan till v1.1 i juli 2028 med ett eget femårigt åtagande. Redovisningen är knuten till versionen, inte till köparens inköpsdatum.
Koppling till den tekniska filen och EU-försäkran om överensstämmelse
En redovisning som är korrekt på produktsidan men saknas i den tekniska filen, eller som finns i den tekniska filen men inte är synlig för köparen, uppfyller inte skyldigheten. Tre delar måste stämma överens samtidigt:
| Del | Vad som måste stämma |
|---|---|
| Teknisk fil | Den bevarade tekniska filen bör innehålla samma användarvända slutdatum för stöd som visas på produktsidan, förpackningen, databladet eller nedladdningssidan. Se CRA teknisk dokumentation. |
| EU-försäkran om överensstämmelse | Försäkran bekräftar överensstämmelse med tillverkarens krav, men ersätter inte redovisningen av slutdatum före köp. Se CRA-försäkran om överensstämmelse. |
| Säkerhetsuppdateringar | Fram till det redovisade slutdatumet behöver tillverkaren fortfarande processen för sårbarhetshantering och uppdateringsleverans som beskrivs i CRA-säkerhetsuppdateringar. För sanktionsnivåer, använd guiden om sanktioner och tillsyn. |
Vanliga frågor
Vad måste framgå i den användarorienterade produktinformationen om stödperioden?
Typen av tekniskt säkerhetsstöd som erbjuds och slutdatumet för stödperioden ska anges i den information som lämnas till användarna vid eller innan försäljningspunkten. Slutdatumet måste vara specifikt (t.ex. "Säkerhetsuppdateringar tillhandahålls till och med 11 december 2032") och måste återspegla det faktiska åtagandet, inklusive eventuellt undantag för kortare förväntad livslängd. E-postmeddelanden efter köp eller villkorsblock uppfyller inte regeln. Om produkten uppdateras med en ny version som nollställer stödklockan måste den användarorienterade redovisningen uppdateras för att återspegla det nya slutdatumet.
Räcker "minst fem år från köpet", eller måste redovisningen ange ett specifikt datum?
Nej, ett konkret slutdatum krävs. En relativ formulering som "säkerhetsuppdateringar i minst fem år från köpet" är inte ett slutdatum och uppfyller inte redovisningsskyldigheten. Precisionen kan vara månad och år ("december 2032") snarare än ett fullständigt kalenderdatum, men ett fast referensdatum krävs för att köparen ska kunna beräkna återstående stödtid innan betalning. Slutdatumet är också det som registreras i den tekniska filen, och en relativ formulering har ingenstans att leva i dokumentationskedjan.
Var på en e-handelsproduktssida måste slutdatumet framgå?
På produktdetaljsidan själv, eller nåbar via en tydligt märkt länk därifrån (till exempel en flik för "Specifikationer", "Livscykel" eller "Support"). Placering enbart i användarvillkoren, enbart i en FAQ eller enbart på orderbekräftelsesidan efter kassan uppfyller inte förhandskravet. En rimlig köpare som utvärderar produkten innan de klickar på "köp" måste kunna se stödperiodens slutdatum utan att redan ha bundit sig till köpet.
Om jag förlänger stödperioden efter lanseringen, måste jag uppdatera redovisningen?
Ja. Användarinformationen utgör en del av den tekniska dokumentationen och måste återspegla det faktiska åtagandet. Om tillverkaren förlänger stödperioden måste både den användarorienterade redovisningen (produktsida, förpackning, datablad, sammanfattning i installationsprogrammet) och den bevarade tekniska filen uppdateras med det nya slutdatumet. Det ursprungliga slutdatumet finns kvar i den bevarade filen som bevis på den redovisning som gällde för tidigare försäljningar, så att revisionskedjan förblir intakt för enheter som redan finns på marknaden.