Tillverkaren bär den djupaste skyldighetsuppsättningen enligt cyberresilienslagen (förordning (EU) 2024/2847): artikel 13 (utformning, teknisk dokumentation, bedömning av överensstämmelse, supportperiod, eftermarknadsskyldigheter), artikel 14 (24h/72h-rapportering av aktivt utnyttjade sårbarheter och allvarliga incidenter till ENISA och den samordnande CSIRT) och bilaga I (13 produktkrav i del I, 8 sårbarhetshanteringskrav i del II). Den här sidan täcker varje skyldighet, plus artikel 3.13-testet som avgör om du över huvud taget är tillverkare.
Sammanfattning
- Klassificering enligt artikel 3.13: du är tillverkare om du utvecklar eller låter utforma, utveckla eller tillverka produkter och marknadsför dem under ditt eget namn eller varumärke. Varumärket avgör; leverantörsavtal gör det inte.
- Skyldigheter enligt artikel 13: cybersäkerhetsriskbedömning (13.2 till 13.4), efterlevnad av bilaga I del I + del II (13.1, 13.8), tillbörlig aktsamhet avseende komponenter (13.5 till 13.6), teknisk dokumentation (artikel 31, bilaga VII), bedömning av överensstämmelse (artikel 32), EU-försäkran om överensstämmelse (13.20, artikel 28, bilaga V), CE-märkning (artikel 30), supportperiod på minst 5 år eller förväntad användningstid (13.8) med dokumenterat slutdatum (13.19), bevarande i 10 år eller supportperioden, beroende på vilket som är längst (13.13).
- Rapportering enligt artikel 14: två strömmar, båda via ENISA:s gemensamma rapporteringsplattform enligt artikel 16, simultant till den CSIRT som utsetts till samordnare. Sårbarheter: 24h tidig varning, 72h anmälan, slutrapport 14 dagar efter att en korrigerande åtgärd finns tillgänglig. Allvarliga incidenter: 24h tidig varning, 72h anmälan, slutrapport inom en månad efter 72h-anmälan.
- Sanktionsexponering (artikel 64.2): upp till 15 000 000 EUR eller 2,5 % av total global årsomsättning, beroende på vilket belopp som är högst. Artikel 64.10 begränsar lättnaden i fråga om administrativa böter till mikroföretag och småföretag och endast avseende fristerna i artikel 14.2 a och 14.4 a.
- Frister: rapportering av sårbarheter och incidenter enligt artikel 14 startar den 11 september 2026. Resten av tillverkarregimen startar den 11 december 2027 (artikel 71).
Tre siffror som ramar in tillverkarens exponering: 21 väsentliga krav i bilaga I, två rapporteringsfrister per ström, högsta bötenivå.
Vem är tillverkare enligt CRA?
Artikel 3.13 definierar tillverkaren ordagrant:
"Tillverkare" avser en fysisk eller juridisk person som utvecklar eller tillverkar produkter med digitala element eller låter utforma, utveckla eller tillverka produkter med digitala element och marknadsför dem under sitt namn eller varumärke, oavsett om det sker mot betalning, monetarisering eller kostnadsfritt.
Du är tillverkare i CRA-mening om båda följande gäller:
| Element | Test |
|---|---|
| Utveckla, tillverka eller låta utforma/utveckla/tillverka produkter | Inkluderar utlagd utformning eller kontraktstillverkning. Arbetet behöver inte ske i dina lokaler. |
| Marknadsför under ditt eget namn eller varumärke | Produkten såsom den släpps på marknaden identifierar din enhet som källa, genom varumärke, förpackning, marknadsföringsmaterial eller medföljande dokumentation. |
De två elementen är kumulativa. En fabrik som producerar en produkt men marknadsför den under ett annat företags varumärke är inte tillverkare i CRA-mening; varumärkesägaren är det. Omvänt är ett företag som sätter sitt eget varumärke på en produkt som utformats och byggts av en tredjepartsfabrik tillverkare oavsett vem som utförde tekniken. Kostnadsfri, monetariserad och betald distribution räknas alla; förordningen säger uttryckligen "oavsett om det sker mot betalning, monetarisering eller kostnadsfritt".
Om inget av elementen är tillämpligt är du inte tillverkaren. Du kan vara importör enligt artikel 3.16 (du släpper en produkt med ett icke-EU-varumärke på unionsmarknaden), distributör enligt artikel 3.17 (du tillhandahåller produkten efter importören utan att påverka dess egenskaper) eller auktoriserad representant enligt artikel 3.15 och artikel 18 (du agerar på tillverkarens vägnar genom skriftligt mandat). En tredje part som väsentligt modifierar en produkt efter det att den släppts på marknaden behandlas som tillverkare av den modifierade versionen enligt artikel 22; samma analys gäller via artikel 3.13 när modifieraren marknadsför den modifierade produkten under sitt eget namn. För den fullständiga rollklassificeringsmatrisen och beslutsträdet som jämför alla fem rollerna, se vem som måste följa CRA.
Artikel 13 i ett ögonkast
| Punkt | Skyldighet | Huvudpoäng |
|---|---|---|
| 13.1 | Utforma och tillverka mot bilaga I del I | Väsentliga krav är obligatoriska, modulerade av cybersäkerhetsriskbedömningen. |
| 13.2 till 13.4 | Cybersäkerhetsriskbedömning | Dokumenterad, uppdaterad under hela supportperioden, ingår i den tekniska dokumentationen enligt artikel 31. |
| 13.5 till 13.7 | Tillbörlig aktsamhet avseende komponenter | Inkluderar fria och öppen källkods-komponenter. Dokumentera sårbarheter som tillverkaren får kännedom om; rapportera uppströms och åtgärda. |
| 13.8 | Supportperiod | Minst 5 år, eller den förväntade användningstiden om kortare. Dokumenteras i den tekniska dokumentationen. Inkluderar skyldigheter avseende sårbarhetshantering och CVD-policy. |
| 13.9 | Tillgång till säkerhetsuppdateringar | Varje säkerhetsuppdatering förblir tillgänglig i minst 10 år efter utgivning, eller under återstoden av supportperioden, beroende på vilket som är längst. |
| 13.10 till 13.11 | Väsentligt modifierade programvaruversioner | Efterlevnad av bilaga I del II led 2 kan endast tillämpas på den senaste versionen där användarna har fri tillgång till den; offentliga arkiv över versioner som inte stöds tillåts med riskvarningar. |
| 13.12 till 13.14 | Teknisk dokumentation före marknadsplacering + bedömning av överensstämmelse + CE; serietillverkningskontroll | Upprätta teknisk dokumentation enligt artikel 31; genomför bedömning av överensstämmelse enligt artikel 32 eller låt den genomföras; upprätta EU-försäkran om överensstämmelse och anbringa CE; upprätthåll förfaranden så att serietillverkning förblir överensstämmande. |
| 13.13 | Bevarande | Teknisk dokumentation och EU-försäkran om överensstämmelse till marknadskontrollmyndigheternas förfogande i minst 10 år eller under supportperioden, beroende på vilket som är längst. |
| 13.15 till 13.16 | Produktidentifiering + tillverkaridentifiering | Typ-/parti-/serienummer; tillverkarens namn, firmanamn eller varumärke, postadress, digital kontakt, även återgivna i informationen i bilaga II. |
| 13.17 | Gemensam kontaktpunkt | Låter användarna välja sitt föredragna kommunikationsmedel. Får inte begränsas till automatiserade verktyg. |
| 13.18 | Medföljande information enligt bilaga II | Information och instruktioner på ett språk som lätt förstås av användare och marknadskontroll, tillgängliga online under samma bevarandetid. |
| 13.19 | Slutdatum för supportperiod | Anges vid köptillfället, inklusive åtminstone månad och år. Visa slutmeddelande för supportperioden för användarna där det är tekniskt genomförbart. |
| 13.20 | Leverans av EU-försäkran om överensstämmelse | Antingen fullständig EU-försäkran eller förenklad EU-försäkran med den exakta internetadress där den fullständiga försäkran kan nås. |
| 13.21 till 13.22 | Korrigerande åtgärder efter marknadsplacering + samarbete | Dra tillbaka, återkalla eller åter bringa i överensstämmelse vid kännedom om bristande överensstämmelse. Lämna all information till marknadskontroll på motiverad begäran. |
| 13.23 | Verksamhetens upphörande | Informera marknadskontrollen och, med alla tillgängliga medel, användarna innan upphörandet får verkan. |
| 13.24 till 13.25 | SBOM-format + bedömningar av beroenden | Kommissionen får specificera SBOM-format genom genomförandeakter. ADCO får genomföra unionsomfattande bedömningar av beroenden. |
Bilaga I: de väsentliga cybersäkerhetskraven
Bilaga I har två delar. Del I listar 13 krav på produktens egenskaper, modulerade av tillverkarens cybersäkerhetsriskbedömning enligt artikel 13.2. Del II listar 8 krav på tillverkarens sårbarhetshanteringsprocesser; dessa är inte riskmodulerade och gäller oavsett produkttyp eller -klass.
Del I: produktegenskaper (artikel 13.1, bilaga I del I)
Produkter med digitala element ska utformas, utvecklas och produceras för att säkerställa en lämplig nivå av cybersäkerhet baserat på riskerna. På grundval av cybersäkerhetsriskbedömningen enligt artikel 13.2 gäller följande där det är tillämpligt:
| Kod | Krav |
|---|---|
| (a) | Tillhandahålls utan kända exploaterbara sårbarheter |
| (b) | Säker konfiguration som standard; återställning till ursprungligt tillstånd tillgänglig (skräddarsydda produkter till företagsanvändare kan komma överens om annat) |
| (c) | Sårbarheter åtgärdas via säkerhetsuppdateringar; automatiska uppdateringar installeras inom en lämplig tidsram som standard med möjlighet att avstå och skjuta upp, där det är tillämpligt |
| (d) | Skydd mot obehörig åtkomst (autentisering, identitets- eller åtkomsthantering, rapportering om eventuell obehörig åtkomst) |
| (e) | Konfidentialitet för lagrade, överförda och behandlade data, inklusive kryptering i vila eller under överföring med toppmoderna mekanismer |
| (f) | Integritetsskydd för data, kommandon, program, konfiguration; rapportering om korruption |
| (g) | Dataminimering: behandla endast data som är adekvata, relevanta och begränsade till det avsedda syftet |
| (h) | Tillgänglighet för väsentliga och grundläggande funktioner, även efter en incident; motståndskraft mot överbelastningsangrepp |
| (i) | Minimera negativ inverkan på tillgänglighet av tjänster som tillhandahålls av andra enheter eller nätverk |
| (j) | Begränsa angreppsytor, inklusive externa gränssnitt |
| (k) | Minska incidentpåverkan via mekanismer och tekniker för att begränsa exploatering |
| (l) | Tillhandahåll säkerhetsinformation genom att registrera och övervaka relevant intern aktivitet, med möjlighet för användaren att avstå |
| (m) | Tillåt användaren att säkert och enkelt ta bort alla data och inställningar; säkerställ säker dataöverföring där det är tillämpligt |
Förbehållet "där det är tillämpligt" i bilaga I del I (2) innebär att tillverkarens riskbedömning avgör vilka av kraven (a)-(m) som binder produkten. Där ett krav inte är tillämpligt måste den tekniska dokumentationen innehålla en tydlig motivering enligt artikel 13.4.
Del II: sårbarhetshantering (artikel 13.8, bilaga I del II)
Del II är ovillkorlig: den gäller under hela supportperioden oavsett produktklass eller riskprofil.
| Kod | Krav |
|---|---|
| (1) | Identifiera och dokumentera sårbarheter och komponenter, inklusive en programvarustyckslista (SBOM) i ett allmänt använt maskinläsbart format som täcker minst beroenden på toppnivå |
| (2) | Hantera och åtgärda sårbarheter utan dröjsmål genom säkerhetsuppdateringar; där det är tekniskt genomförbart, separera säkerhetsuppdateringar från funktionsuppdateringar |
| (3) | Tillämpa effektiva och regelbundna tester och granskningar av produktsäkerheten |
| (4) | När en säkerhetsuppdatering finns tillgänglig, dela och offentliggör information om åtgärdade sårbarheter (beskrivning, berörda produkter, påverkan, allvarlighetsgrad, åtgärdsanvisningar). Får skjuta upp offentliggörande i vederbörligen motiverade fall tills användarna kan tillämpa korrigeringen |
| (5) | Inrätta och tillämpa en policy för samordnad sårbarhetsredovisning (CVD) |
| (6) | Underlätta delning av information om potentiella sårbarheter (inklusive i tredjepartskomponenter) genom att tillhandahålla en kontaktadress för sårbarhetsrapporter |
| (7) | Mekanismer för att säkert distribuera uppdateringar så att sårbarheter åtgärdas i rätt tid och, där det är tillämpligt, automatiskt |
| (8) | Sprid säkerhetsuppdateringar utan dröjsmål; kostnadsfritt om inte annat överenskommits med en företagsanvändare för skräddarsydda produkter; med rådgivande meddelanden till användarna |
Del II löper från marknadsplacering genom hela supportperioden (artikel 13.8). Säkerhetsuppdateringar förblir tillgängliga i minst 10 år efter utgivning eller under återstoden av supportperioden, beroende på vilket som är längst (artikel 13.9).
Artefakter före marknadsplacering: vad som måste finnas innan produkten släpps på marknaden
Fyra artefakter måste finnas innan produkten släpps på marknaden. Var och en är förankrad i en specifik CRA-artikel och producerar en specifik regelefterlevnadshandling: filen som tillverkaren behåller, bedömningen som genomförs, försäkran som undertecknas, märket som anbringas.
| Artefakt | Förankring | Vad den innehåller eller kräver |
|---|---|---|
| Teknisk dokumentation | Artikel 31, bilaga VII (upprättas enligt artikel 13.12) | Produktbeskrivning, information om utformning och utveckling, cybersäkerhetsriskbedömningen enligt artikel 13.2, tillämpade harmoniserade standarder eller gemensamma specifikationer, vald rutt och resultat för bedömning av överensstämmelse, EU-försäkran om överensstämmelse och processen för sårbarhetshantering. Bevaras i minst 10 år eller under supportperioden, beroende på vilket som är längst (artikel 13.13). |
| Bedömning av överensstämmelse | Artikel 32 | Modul A självbedömning endast för produkter i standardklass. Viktiga klass II som standard, och kritiska produkter i avsaknad av en europeisk cybersäkerhetscertifieringsordning, kräver modul B+C eller modul H via ett anmält organ. Viktiga klass I får använda modul A endast där harmoniserade standarder, gemensamma specifikationer eller en cybersäkerhetscertifieringsordning tillämpas fullt ut. |
| EU-försäkran om överensstämmelse | Artikel 13.20, artikel 28, bilaga V | Antingen den fullständiga EU-försäkran som levereras med produkten eller en förenklad EU-försäkran som bär den exakta internetadressen för den fullständiga försäkran. Bilaga V fastställer innehållet: tillverkarens namn och adress, produktidentifiering, försäkran om överensstämmelse med bilaga I, tillämpade standarder med referensnummer och datum, namn och nummer på det anmälda organet där så är tillämpligt, certifikatreferens, datum, underskrift, undertecknarens namn och funktion. |
| CE-märkning | Artikel 30, förordning (EG) nr 765/2008 | Minst 5 mm hög, synlig, läsbar, outplånlig, på produkten eller dess dataplåt. Där storlek eller art inte tillåter, på förpackning och medföljande dokument. Där ett anmält organ medverkat i tillverkningskontrollen följer dess fyrsiffriga identifikationsnummer efter CE-märket. |
Valet av modul för bedömning av överensstämmelse är det enskilt mest följdriktiga beslutet i detta avsnitt. Tabellen och beslutsdiagrammet nedan ger detaljen rad för rad.
| Modul | När |
|---|---|
| A intern produktionskontroll | Endast produkter i standardklass |
| B + C EU-typkontroll + produktionskontroll | Viktiga klass II som standard; klass I där ingen relevant harmoniserad standard, gemensam specifikation eller europeisk cybersäkerhetscertifieringsordning tillämpas |
| H fullständig kvalitetssäkring | Alternativ för viktiga produkter; krävs för kritiska produkter i avsaknad av en europeisk cybersäkerhetscertifieringsordning som täcker kraven |
Se guiden för teknisk dokumentation, guiden för bedömning av överensstämmelse, guiden för produktklassificering och guiden för försäkran om överensstämmelse för detaljer om varje artefakt.
Rapporteringsfrister för tillverkare (artikel 14)
Artikel 14 fastställer två rapporteringsströmmar för tillverkare, båda routade simultant till den CSIRT som utsetts till samordnare och till ENISA via den gemensamma rapporteringsplattformen enligt artikel 16. De två strömmarna delar 24h/72h-kadensen men har olika frister för slutrapport, en ofta missförstådd punkt.
| Ström | 24h tidig varning | 72h anmälan | Slutrapport |
|---|---|---|---|
| Aktivt utnyttjad sårbarhet (14.1–14.2) | Inom 24h från kännedom | Inom 72h från kännedom | 14 dagar efter att en korrigerande eller riskreducerande åtgärd finns tillgänglig |
| Allvarlig incident (14.3–14.5) | Inom 24h från kännedom | Inom 72h från kännedom | En månad efter 72h-anmälan |
Klockan för slutrapport vid sårbarhet startar när korrigeringen är klar, inte när kännedom uppstod; gapet kan vara veckor eller månader. Klockan för slutrapport vid allvarlig incident är fast vid 72h-anmälan, så i praktiken dag 33 från kännedom. Se klusterguiden för sårbarhetsrapportering för det operativa arbetsflödet, routing till samordnande CSIRT enligt artikel 14.7 (inklusive reservkaskaden för tillverkare utanför EU), användarinformationsskyldigheten enligt artikel 14.8 och mekaniken för den gemensamma rapporteringsplattformen enligt artikel 16.
Supportperiod och eftermarknadsskyldigheter
Artikel 13.8 fastställer supportperioden till minst 5 år, eller den förväntade användningstiden om kortare; säkerhetsuppdateringar förblir tillgängliga i minst 10 år efter utgivning enligt artikel 13.9. Slutdatumet (åtminstone månad och år) måste redovisas vid köptillfället enligt artikel 13.19. Se klusterguiden för supportperiod för fastställandekriterier, reglerna för väsentligt modifierade programvaruversioner i 13.10 och 13.11 och skyldigheten att meddela end-of-support.
Två eftermarknadsskyldigheter för tillverkare lever vid sidan av supportperiodregimen och har ingen egen klustersida. Artikel 13.21–13.22: vid kännedom om bristande överensstämmelse med bilaga I vidtar tillverkaren omedelbart korrigerande åtgärder eller drar tillbaka eller återkallar efter behov, och tillhandahåller på motiverad begäran från en marknadskontrollmyndighet all information som behövs för att visa överensstämmelse på ett språk som myndigheten förstår. Artikel 13.23: en tillverkare som upphör med verksamheten informerar de relevanta marknadskontrollmyndigheterna innan upphörandet får verkan, och informerar användarna med alla tillgängliga medel och i den utsträckning det är möjligt.
Tillverkare jämfört med väsentlig modifierare enligt artikel 22
Artikel 22 täcker ett annat fall än klassificering enligt artikel 3.13. Ordagrant:
"En fysisk eller juridisk person, annan än tillverkaren, importören eller distributören, som utför en väsentlig modifiering av en produkt med digitala element och tillhandahåller den produkten på marknaden, ska anses vara tillverkare i den mening som avses i denna förordning."
Artikel 22 utesluter uttryckligen tillverkare, importörer och distributörer. Den gäller tredje parter utanför kedjan i artikel 3: systemintegratörer, mervärdesåterförsäljare, företags-IT-avdelningar som modifierar leverantörsprodukter före vidaredistribution. Tillämpningsområdet i artikel 22.2 är skarpt: modifieraren behandlas som tillverkare för den del av produkten som påverkas av den väsentliga modifieringen, eller för hela produkten om modifieringen påverkar produktens cybersäkerhet som helhet. "Väsentlig modifiering" definieras i artikel 3.30 som en ändring efter marknadsplacering som påverkar överensstämmelse med bilaga I del I eller modifierar det avsedda ändamål för vilket produkten bedömdes.
| Fall | Klassificering |
|---|---|
| Originalteknik, originalvarumärke | Tillverkare (artikel 3.13) |
| Originalvarumärke, tredje part lägger till firmware-funktioner efter marknadsplacering som ändrar angreppsytan | Den ursprungliga tillverkaren kvarstår; den tredje parten är också tillverkare för den modifierade delen enligt artikel 22 |
| White-label-rebranding av en icke-EU-produkt av en EU-enhet | EU-enheten är tillverkare enligt artikel 3.13; inte "artikel 22-eskalering" |
| EU-integratör paketerar kompatibla produkter utan att modifiera deras inre delar | Distributör enligt artikel 3.17, inte artikel 22 |
| Företags-IT installerar en anpassad firmware-build på leverantörens enheter och säljer sedan vidare | Artikel 22-modifierare; behandlas som tillverkare för den modifierade produkten |
Den praktiska konsekvensen av att artikel 22 fångar en tredje part: fullständiga skyldigheter enligt artikel 13 och artikel 14 för den modifierade delen eller hela produkten, inklusive en ny teknisk akt, en ny EU-försäkran om överensstämmelse, ny CE under modifierarens ansvar och rapporteringskadensen enligt artikel 14 ovan.
Genomförandetidslinje
Vanliga fallgropar
| Påstående | Varför det inte håller |
|---|---|
| "Vi är inte egentligen tillverkare; en OEM i ett annat land bygger den." | Artikel 3.13 fångar varumärkesägaren. Att lägga ut byggandet flyttar inte skyldigheten. |
| "Vår säkerhetspolicy är tillräckligt bra; vi behöver inte göra någon bedömning enligt bilaga I del I." | Artikel 13.2 gör cybersäkerhetsriskbedömningen obligatorisk. Den tekniska dokumentationen måste innehålla bedömningen enligt artikel 13.4. |
| "Våra kunder ber inte om en SBOM, så vi gör ingen." | Bilaga I del II led 1 kräver identifiering av sårbarheter och komponenter, inklusive en SBOM i ett allmänt använt maskinläsbart format. Kundens intresse är irrelevant. |
| "Vår chattbot är den gemensamma kontaktpunkten." | Artikel 13.17 kräver att användaren kan välja sitt föredragna kommunikationsmedel. Medlen får inte begränsas till automatiserade verktyg. |
| "Fem år från produktlansering räcker gott för supportperioden." | Artikel 13.8 räknar supportperioden från varje enhets marknadsplacering, inte från lansering. Enheter som släpps år 4 bär supportskyldigheter in i år 9. |
| "Fristen på 14 dagar för slutrapport gäller också incidenter." | Nej. Sårbarheter: 14 dagar efter att korrigerande åtgärd finns tillgänglig. Allvarliga incidenter: en månad efter 72h-anmälan (artikel 14.2 c jämfört med 14.4 c). |
| "Vårt SLA täcker redan sårbarheter; vi behöver inte rapportera till ENISA." | Rapportering enligt artikel 14 sker till den CSIRT som utsetts till samordnare och ENISA simultant, via den gemensamma rapporteringsplattformen enligt artikel 16. Kund-SLA:er ersätter inte. |
| "Vi har försäkring för intrång." | Administrativa böter enligt artikel 64 är inte försäkringsbara i de flesta medlemsstater. Risköverföring kan inte ersätta efterlevnad. |
| "Artikel 14 gäller bara när vi har en EU-enhet." | Artikel 14.7 tredje stycket routar tillverkare utanför EU genom en CSIRT-kaskad baserad på var den auktoriserade representanten, importören, distributören eller användaren finns. Rapporteringsskyldigheten startar den 11 september 2026 oavsett. |
| "Vi skjuter upp offentliggörande av varje sårbarhet till nästa kvartalsrelease." | Bilaga I del II led 4 tillåter uppskov endast i vederbörligen motiverade fall tills användarna kan tillämpa korrigeringen. Rutinmässig kvartalsbatchning är inte ett "vederbörligen motiverat fall". |
Vanliga frågor
Vad är en tillverkare enligt CRA?
Märkesinnehavaren. En tillverkare är den enhet som utvecklar eller beställer en produkt (inklusive via en utlagd fabrik) och sedan marknadsför den under sitt eget namn eller varumärke, mot betalning eller kostnadsfritt. Varumärket på produkten avgör, inte var produktionslinjen finns. Förvaltare av öppen källkod är en separat, lättare kategori; ren konsumentåterförsäljning utan eget varumärke är distribution, inte tillverkning. *(Artikel 3(13); förvaltarregim i artikel 3(14).)*
Är jag tillverkare eller importör?
Det beror på vems märke som finns på produkten. Ditt eget namn eller varumärke gör dig till tillverkare, oavsett var produkten byggs. En icke-EU-persons varumärke på en produkt du släpper på unionsmarknaden gör dig till importör. Sätter du ditt eget varumärke på en icke-EU-byggd produkt bär du den fulla skyldighetsuppsättningen för tillverkare; behåller du originalvarumärket och routar det via din EU-enhet är du importör med verifieringsuppsättningen. *(Artiklarna 3(13) och 3(16); tillverkarskyldigheter i artiklarna 13 och 14; importörsskyldigheter i artikel 19.)*
Tillverkare jämfört med auktoriserad representant: vad är skillnaden?
Tillverkarens representant är ett dokumentombud, inte en ersättningstillverkare. Genom skriftligt mandat håller representanten EU-försäkran om överensstämmelse och den tekniska dokumentationen till marknadskontrollmyndigheternas förfogande, svarar på motiverade förfrågningar och samarbetar vid tillsynsåtgärder. Teknik, riskbedömning, sårbarhetshantering, bedömning av överensstämmelse och serietillverkningsskyldigheter stannar hos tillverkaren. Representanten släpper inte heller produkten på marknaden; den handlingen kvarstår hos tillverkaren eller dess importör. Att utse en representant är frivilligt. *(Mandat i artiklarna 3(15) och 18(1)-(3); skyldigheter som kvarstår hos tillverkaren i artiklarna 13(1)-(11), 13(12) första stycket och 13(14).)*
Finns det undantag för små och medelstora tillverkare?
De materiella skyldigheterna gäller oavsett storlek. Det enda SMF-specifika undantaget i CRA gäller böter knutna till 24h-varningsfristerna: mikroföretag och småföretag undantas från administrativa böter för just de fristerna, ingenting mer. Alla skyldigheter enligt artiklarna 13 och 14 gäller fullt ut. Förvaltare av öppen källkod har ett bredare bötesundantag men tillhör en annan kategori. Myndigheterna ska dessutom ta vederbörlig hänsyn till företagets storlek när bötesbelopp fastställs i enskilda fall; det är en straffmätningsfaktor, inte ett skyldighetsundantag. *(Artiklarna 13 och 14 gäller alla storlekar; SMF-undantag för böter i artikel 64(10)(a) avseende fristerna i artikel 14(2)(a) och 14(4)(a); straffmätningsfaktor i artikel 64(5)(c); förvaltarundantag i artiklarna 3(14) och 64(10)(b).)*
När gäller CRA:s tillverkarskyldigheter?
Två datum. Sårbarhets- och incidentrapportering enligt artikel 14 startar den **11 september 2026**. Resten av tillverkarregimen (artikel 13, bilaga I, bedömning av överensstämmelse, EU-försäkran om överensstämmelse och CE-märkning) startar den **11 december 2027**. Du behöver alltså en rapporteringskapacitet enligt artikel 14 på plats redan september 2026, även om programmet för fullständig överensstämmelse enligt artikel 13 fortfarande byggs. *(Artikel 71 om tillämplighetsdatum; artikel 14-rapportering från 11 september 2026; artiklarna 13, 30, 31, 32 och bilaga I från 11 december 2027.)*
Vad är supportperioden och hur fastställs den?
Minst 5 år, eller förväntad användningstid om kortare. Tillverkaren fastställer perioden med beaktande av rimliga användarförväntningar, produktens art och avsedda ändamål, relevant unionsrätt om produkters livslängd, supportperioder för liknande produkter, driftsmiljöns tillgänglighet, supportperioder för integrerade tredjepartskomponenter och vägledning från ADCO och kommissionen. Den information som beaktas måste ingå i den tekniska dokumentationen. Slutdatumet (åtminstone månad och år) ska redovisas vid köptillfället. När en säkerhetsuppdatering väl är utgiven ska den förbli tillgänglig i minst 10 år eller resten av supportperioden, beroende på vilket som är längst. *(Artiklarna 13.8, 13.9 och 13.19.)*
Vad är skillnaden mellan en "aktivt utnyttjad sårbarhet" och en "allvarlig incident" för artikel 14?
Olika definitioner, olika tidsfrister för slutrapport. En aktivt utnyttjad sårbarhet är en sårbarhet för vilken det finns tillförlitliga bevis för att en illvillig aktör har utnyttjat den utan systemägarens tillstånd. En allvarlig incident är en som negativt påverkar (eller kan påverka) produktens förmåga att skydda tillgänglighet, autenticitet, integritet eller konfidentialitet hos känsliga eller viktiga data eller funktioner, eller som har lett (eller kan leda) till att skadlig kod introduceras eller exekveras i produkten eller en användares nätverk. Båda strömmarna delar 24h tidig varning och 72h anmälan, men slutrapporterna skiljer sig: sårbarheter ska rapporteras 14 dagar efter att en korrigerande åtgärd finns tillgänglig, incidenter inom en månad efter 72h-anmälan. *(Aktivt utnyttjad sårbarhet i artikel 3(42); allvarlig incident i artikel 14(5); frister i artiklarna 14(2) och 14(4).)*
Påverkar öppen källkods-komponenter i vår produkt våra tillverkarskyldigheter?
Ja. Tillverkaren ska utöva tillbörlig aktsamhet vid integrering av komponenter från tredje part, inklusive fria komponenter med öppen källkod som inte tillhandahålls kommersiellt. Vid identifiering av en sårbarhet i en komponent rapporterar tillverkaren den till den person eller enhet som upprätthåller komponenten och åtgärdar den enligt bilaga I del II. Har tillverkaren utvecklat en korrigering delas relevant kod eller dokumentation med komponentens upprätthållare i maskinläsbart format om möjligt. Produkten behöver en SBOM som täcker minst beroenden på toppnivå. Förvaltare av öppen källkod är en separat kategori med sin egen, lättare regim. *(Artiklarna 13(5)-(7); SBOM i bilaga I del II (1); förvaltarkategori i artikel 3(14).)*