CRA gäller varje produkt med digitala element som, direkt eller indirekt, ansluter till en enhet eller ett nätverk och hamnar på EU-marknaden. Om det testet är uppfyllt och du inte är undantagen enligt artikel 2 är din nästa fråga vilken roll du spelar enligt artikel 3: tillverkare, importör, distributör, auktoriserad representant eller förvaltare av öppen källkod. Den här sidan är sorteringsmaskinen innan du går vidare till en fördjupande artikel.
Sammanfattning
- Tillämpningsområdestestet är en mening (artikel 2.1). Det vilar på en "direkt eller indirekt logisk eller fysisk dataanslutning till en enhet eller ett nätverk", vilket är bredare än de flesta team antar.
- Artikel 2 undantar fem produktfamiljer. Medicintekniska produkter, motorfordon, civil luftfart, marin utrustning och produkter som utvecklats eller modifierats uteslutande för nationell säkerhet, försvar eller behandling av sekretessbelagd information.
- Tre roller för ekonomiska aktörer gör det mesta av arbetet. Tillverkare (artikel 13 och 14), importör (artikel 19), distributör (artikel 20).
- Akta dig för fällan med presumerad tillverkare (artikel 22). Modifiera väsentligt en produkt efter att den släppts på marknaden, och du blir tillverkaren för den berörda delen eller hela produkten.
- Förvaltare av öppen källkod har en lättare regim (artikel 24). En dokumenterad cybersäkerhetspolicy och en samarbetsskyldighet, inte den fulla tillverkarbördan.
- Flera roller staplas till den strängaste. När du passar in på mer än en definition gäller den tyngsta skyldighetsuppsättningen.
Fyra ankare som avgör om CRA gäller dig och hur tungt: tillämpningsområdestestet, undantagen, rollaxeln och modifierarfällan.
Tillämpningsgrinden: omfattas din produkt?
Artikel 2.1 definierar CRA:s tillämpningsområde i en enda mening:
"Denna förordning är tillämplig på produkter med digitala element som tillhandahålls på marknaden och vars avsedda ändamål eller rimligen förutsebara användning inkluderar en direkt eller indirekt logisk eller fysisk dataanslutning till en enhet eller ett nätverk."
Den mest följdriktiga frasen är "direkt eller indirekt logisk eller fysisk dataanslutning". Artikel 3 definierar vad varje komponent betyder. Översättningen till klartext:
| Anslutningstyp | Klartextbetydelse | Exempel ur verkligheten |
|---|---|---|
| Logisk (artikel 3.8) | En virtuell datasökväg som genomförs via ett programvarugränssnitt. | Ett REST API-anrop mellan en mikrotjänst och en backend; ett MQTT-ämne mellan en IoT-enhet och en mäklare. |
| Fysisk (artikel 3.9) | En anslutning genom elektriska, optiska eller mekaniska gränssnitt, kablar eller radiovågor. | En Ethernet-kabel; en Bluetooth-parning; en RS-485 industribuss. |
| Indirekt (artikel 3.10) | En anslutning som går genom ett större system som självt är direkt anslutbart. | En sensor som bara talar med ett lokalt nav, där navet självt når internet. Sensorn omfattas via navet. |
I praktiken är klausulen om indirekt anslutning den bredaste fångsten. En sensor som bara talar med ett lokalt nav omfattas om navet självt är anslutbart. Ett medicintekniskt tillbehör som parar sig med en telefon över Bluetooth omfattas via telefonen. En PLC i en fabrik som bara når internet via en industriell gateway omfattas via gatewayen. Industri- och IoT-tillverkare som antar att "ingen Wi-Fi betyder ingen CRA" missar denna klausul och missar förordningen helt.
En "produkt med digitala element" definieras sedan i artikel 3.1 som en programvaru- eller hårdvaruprodukt och dess fjärrdatabehandlingslösningar, inklusive programvaru- eller hårdvarukomponenter som släpps separat på marknaden. Fristående komponenter som skickas ut på marknaden omfattas också.
Undantag enligt artikel 2
Artikel 2 punkterna 2 till 8 listar vad som är undantaget från CRA:
| Vad som är undantaget | Källa |
|---|---|
| Medicintekniska produkter och medicintekniska produkter för in vitro-diagnostik | Förordning (EU) 2017/745 (MDR), förordning (EU) 2017/746 (IVDR) |
| Motorfordon | Förordning (EU) 2019/2144 |
| Civila luftfartsprodukter | Förordning (EU) 2018/1139 |
| Marin utrustning | Direktiv 2014/90/EU |
| Reservdelar som ersätter identiska komponenter tillverkade enligt samma specifikationer | Artikel 2.6 |
| Produkter som utvecklats eller modifierats uteslutande för nationell säkerhet eller försvar | Artikel 2.7 |
| Information vars utlämnande skulle strida mot en medlemsstats väsentliga säkerhetsintressen | Artikel 2.8 |
Artikel 2.5 tillåter dessutom kommissionen att begränsa eller utesluta CRA:s tillämpning där en annan unionsakt redan täcker samma risker på en motsvarande eller högre skyddsnivå.
För cybersäkerhetsnivån för din produkt (standard, viktig klass I, viktig klass II eller kritisk), se CRA-produktklassificering och CRA-bedömning av överensstämmelse.
Rollaxeln: vilken ekonomisk aktör är du?
Artikel 3 definierar fyra roller som är relevanta för aktörer som släpper produkter på EU-marknaden.
Du är tillverkare (artikel 3.13) om du utvecklar eller har låtit utforma och tillverka en produkt med digitala element och marknadsför den under ditt eget namn eller varumärke, mot betalning eller kostnadsfritt. Tillverkare bär den fulla skyldighetsuppsättningen enligt artikel 13: riskbaserad utformning, sårbarhetshantering enligt bilaga I del II, teknisk dokumentation enligt bilaga VII, EU-försäkran om överensstämmelse, CE-märkning och rapportering enligt artikel 14 av allvarliga incidenter och aktivt utnyttjade sårbarheter. Att sälja under ditt eget varumärke en produkt som utformats och byggts av en OEM gör dig fortfarande till tillverkaren. Se CRA-tillverkarskyldigheter.
Du är importör (artikel 3.16) om du är etablerad i unionen och släpper ut en produkt med digitala element på EU-marknaden som bär namn eller varumärke från en person etablerad utanför unionen. Artikel 19 kräver att importörer, innan produkten släpps ut, verifierar att tillverkaren har genomfört bedömningen av överensstämmelse, upprättat den tekniska dokumentationen, anbringat CE-märkningen och tillhandahållit EU-försäkran om överensstämmelse och nödvändig användarinformation. Importörer måste bevara dokumentation i tio år och samarbeta med marknadskontrollmyndigheter. Se CRA-importörsskyldigheter.
Du är distributör (artikel 3.17) om du är i leveranskedjan, utöver tillverkaren eller importören, och du tillhandahåller en produkt på unionsmarknaden utan att påverka dess egenskaper. Artikel 20 kräver att distributörer, innan produkten tillhandahålls, verifierar att CE-märkningen är anbringad, att EU-försäkran om överensstämmelse är åtkomlig och att tillverkaren har tillhandahållit nödvändig information och nödvändiga instruktioner. Se CRA-distributörsskyldigheter.
Du är auktoriserad representant (artikel 3.15) om du är etablerad i unionen och har ett skriftligt mandat från en icke-EU-tillverkare att agera på dennes vägnar. En icke-EU-tillverkare som släpper produkter på EU-marknaden måste utse en auktoriserad representant enligt artikel 18; den auktoriserade representanten är den EU-baserade kontaktpunkten för marknadskontrollmyndigheter. Se CRA auktoriserad representant.
Fällan med presumerad tillverkare: artikel 22
Artikel 22.1 skapar en roll som "presumerad tillverkare": var och en som inte är tillverkaren, importören eller distributören och som utför en väsentlig ändring av en produkt och sedan tillhandahåller den ändrade produkten på marknaden behandlas som tillverkaren för den produkten, med de fulla skyldigheterna enligt artikel 13 och 14 vidhängande.
Artikel 22.2 fastställer omfattningen av dessa skyldigheter. Om ändringen endast påverkar en del av produkten täcker skyldigheterna som presumerad tillverkare den delen. Om ändringen påverkar cybersäkerheten hos hela produkten täcker de hela produkten.
En "väsentlig ändring" definieras i artikel 3.30 som en ändring som görs efter att produkten släppts på marknaden och som antingen påverkar produktens överensstämmelse med de väsentliga cybersäkerhetskraven i bilaga I del I, eller ändrar det avsedda ändamål för vilket produkten ursprungligen bedömdes. Två mönster utlöser detta i praktiken: omflashning eller ompaketering av en tredjepartsenhet med anpassad firmware, och integrering av en tredjepartsprodukt i ett system på ett sätt som ändrar dess avsedda ändamål. I båda fallen ärver modifieraren skyldigheterna enligt artikel 13 och 14 för den berörda delen, eller för hela produkten om cybersäkerheten påverkas på det hela taget.
Varumärkesmärkning under ditt eget namn är inte artikel 22; det är definitionen av tillverkare i artikel 3.13. Om du säljer en tredjepartsprodukt under ditt eget varumärke är du tillverkaren från start, inte en presumerad tillverkare.
Förvaltare av öppen källkod: artikel 24
En förvaltare av öppen källkod (artikel 3.14) är en juridisk person, annan än en tillverkare, vars syfte är att systematiskt stödja utvecklingen av specifika öppen källkods-produkter avsedda för kommersiell verksamhet och säkerställa deras hållbarhet. I praktiken är förvaltare typiskt stiftelser eller icke-vinstdrivande juridiska personer som upprätthåller ett uppströmsprojekt självt, inte företag som skickar öppen källkods-programvara inuti sina egna produkter.
Skyldigheterna är smalare än tillverkarregimen men ändå konkreta:
- Dokumentera en cybersäkerhetspolicy (artikel 24.1) som främjar säker utveckling av projektet och effektiv sårbarhetshantering av dess utvecklare, uppmuntrar frivillig sårbarhetsrapportering enligt artikel 15 och stödjer informationsdelning inom öppen källkods-gemenskapen.
- Samarbeta med marknadskontrollmyndigheter (artikel 24.2) på motiverad begäran, inklusive genom att tillhandahålla cybersäkerhetspolicyns dokumentation.
Den här regimen gäller inte de flesta företag som skickar öppen källkods-programvara inuti en kommersiell produkt. Om du tar ett öppen källkods-bibliotek, integrerar det i en produkt du marknadsför och släpper den produkten på EU-marknaden under ditt eget namn, är du tillverkare, inte förvaltare.
Beslutsträd: identifiera din efterlevnadsväg
| Om du ... | Är du en ... | Gå till ... |
|---|---|---|
| Utformar eller har låtit tillverka en produkt med digitala element som du släpper på EU-marknaden under ditt namn eller varumärke | Tillverkare (artiklarna 13 och 14) | Tillverkarskyldigheter |
| Är EU-etablerad och släpper en produkt på EU-marknaden som bär namn eller varumärke från en icke-EU-person | Importör (artikel 19) | Importörsskyldigheter |
| Är i leveranskedjan (inte tillverkare eller importör) och tillhandahåller en produkt på EU-marknaden utan att påverka dess egenskaper | Distributör (artikel 20) | Distributörsskyldigheter |
| Utför en väsentlig ändring av en produkt innan den släpps på marknaden | Presumerad tillverkare (artikel 22) | Fulla skyldigheter enligt artikel 13 och 14 gäller för den berörda delen eller hela produkten |
| Är en icke-EU-tillverkare som släpper produkter på EU-marknaden | Tillverkare (artiklarna 13 och 14) och måste utse en auktoriserad representant (artikel 18) | Auktoriserad representant |
| Är en juridisk person som systematiskt stödjer ett öppen källkods-projekt som ditt kärnsyfte, inte kommersiell distribution | Förvaltare av öppen källkod (artiklarna 3.14 och 24) | Regimen för förvaltare av öppen källkod |
Om du faller in under mer än en roll gäller den strängaste skyldighetsuppsättningen. Ett företag som utvecklar en produkt, varumärkesmärker den och släpper den på EU-marknaden är tillverkare oavsett vilka underleverantörer som gjorde utformningen eller bygget; ett företag som importerar en icke-EU-produkt och väsentligt ändrar den innan den släpps ärver tillverkarskyldigheter enligt artikel 22 utöver sin importörsstatus.
Vanliga frågor
Min produkt finns bara på ett lokalt nätverk. Omfattas CRA fortfarande?
Förmodligen ja. Tillämpningsområdestestet fångar indirekta anslutningar. En sensor på ett lokalt nav, en Bluetooth-kringutrustning som parar sig med en telefon, en PLC bakom en industriell gateway: alla hamnar i tillämpningsområdet via den enhet de ansluter till. Den enda produkt som faller utanför är en produkt utan programvara, utan firmware och utan väg till någon annan enhet eller något annat nätverk. (Artiklarna 2.1 och 3.10.)
Jag driver en SaaS-tjänst. Gäller CRA mig?
Generellt nej. SaaS sitter under NIS2, inte CRA. CRA gäller en programvaru- eller hårdvaruprodukt som släpps på marknaden. En ren molnvärdad tjänst uppfyller inte den definitionen. Undantaget är en fjärrdatabehandlingslösning som tillhandahålls av tillverkaren: en molnkomponent som är nödvändig för att produkten ska kunna utföra sina funktioner omfattas som en del av den produkten. SaaS som också skickar en installerbar klient (en skrivbords- eller mobilapp, en SDK, en lokal agent) sätter den installerbara delen i tillämpningsområdet. (Artikel 3.1 och 3.2.)
Vi säljer vidare omodifierad hårdvara under vårt eget varumärke. Tillverkare eller distributör?
Tillverkare. Den som marknadsför en produkt under sitt eget namn eller varumärke är tillverkaren, oavsett vem som utformade eller byggde den. Att varumärkesmärka en OEM-produkt är läroboksexemplet, och du ärver den fulla skyldighetsuppsättningen enligt artikel 13 och 14. Det här är inte vägen via presumerad tillverkare; du är tillverkaren från start. (Artikel 3.13; inte artikel 22.)
Vi använder öppen källkods-bibliotek i vår produkt. Är vi en förvaltare enligt artikel 24?
Nej. Förvaltare är typiskt stiftelser eller icke-vinstdrivande juridiska personer som systematiskt stödjer ett öppen källkods-projekt som sitt kärnsyfte. Ett företag som tar ett öppen källkods-bibliotek, integrerar det i en kommersiell produkt och släpper den produkten på EU-marknaden är tillverkare för den produkten. Den lättare regimen är för enheten som upprätthåller uppströmsprojektet, inte för konsumenter nedströms. (Artiklarna 3.14 och 24; tillverkarskyldigheter i artiklarna 13 och 14.)
Ett icke-EU-företag säljer direkt till EU-konsumenter via vår marknadsplats. Vem är ansvarig?
Det beror på kedjan. Den icke-EU-baserade tillverkaren måste utse en tillverkarens representant; om det inte sker ärver en EU-etablerad importör (den aktör som släpper produkten på EU-marknaden) några av skyldigheterna. En marknadsplats som bara förmedlar och inte själv släpper produkter på marknaden är generellt inte importören; om marknadsplatsen äger annonsen eller fullföljer beställningen från EU-lager, korsar den in på importörsterritorium. Kontrollera det faktiska transaktionsflödet innan du avgör. (Artiklarna 18 och 19.)