Cyberresilienslagen gäller varje produkt med digitala element som, direkt eller indirekt, ansluter till en enhet eller ett nätverk och hamnar på EU-marknaden. Om det testet är uppfyllt och du inte träffas av ett undantag, är nästa fråga vilken roll du spelar i EU:s leveranskedja: tillverkare, importör, distributör, auktoriserad representant eller förvaltare av öppen källkod. Den här sidan är sorteringsmaskinen innan du går vidare till en fördjupande artikel.
Sammanfattning
- Omfattningstestet ryms i en mening. Det vilar på en direkt eller indirekt logisk eller fysisk dataanslutning till en enhet eller ett nätverk, vilket är bredare än de flesta team antar.
- De viktigaste undantagen omfattar sektorsregimer, reservdelar och försvar. Medicintekniska produkter, motorfordon, civil luftfart, marin utrustning, identiska reservdelar och produkter som utvecklats eller modifierats uteslutande för nationell säkerhet, försvar eller behandling av sekretessbelagd information.
- Tre roller för ekonomiska aktörer gör det mesta av arbetet. Tillverkare, importör, distributör.
- Akta brytpunkten för tillverkarplikter. Importörer och distributörer som använder eget varumärke eller väsentligt ändrar en produkt behandlas som tillverkare; andra tredje parter som gör väsentliga ändringar omfattas separat.
- Förvaltare av öppen källkod har en lättare regim. En dokumenterad cybersäkerhetspolicy och en samarbetsskyldighet, inte den fulla tillverkarbördan.
- Flera roller staplas till den strängaste. När du passar in på mer än en definition gäller den tyngsta skyldighetsuppsättningen.
Fyra ankare som avgör om CRA gäller dig och hur tungt: omfattningstestet, undantagen, rollaxeln och brytpunkten för tillverkarplikter.
Gäller CRA för din produkt?
Börja med produkten, inte med den juridiska hänvisningen. Det första CRA-omfattningstestet är om du tillhandahåller programvara, hårdvara eller en digital komponent på EU-marknaden, och om produktens avsedda eller rimligen förutsebara användning inkluderar en direkt eller indirekt logisk eller fysisk dataanslutning till en enhet eller ett nätverk.
Den mest följdriktiga frasen är "direkt eller indirekt logisk eller fysisk dataanslutning". I klartext:
| Anslutningstyp | Klartextbetydelse | Verkligt exempel |
|---|---|---|
| Logisk | En virtuell datasökväg som genomförs via ett programvarugränssnitt. | Ett REST API-anrop mellan en mikrotjänst och en backend; ett MQTT-ämne mellan en IoT-enhet och en mäklare. |
| Fysisk | En anslutning genom elektriska, optiska eller mekaniska gränssnitt, kablar eller radiovågor. | En Ethernet-kabel; en Bluetooth-parning; en RS-485-industribuss. |
| Indirekt | En anslutning som går genom ett större system som självt är direkt anslutbart. | En sensor som bara talar med ett lokalt nav, där navet självt når internet. Sensorn omfattas via navet. |
Klausulen om indirekt anslutning är den bredaste fångsten. En sensor som bara talar med ett lokalt nav omfattas om navet självt är anslutbart. Ett sensortillbehör som parar sig med en telefon över Bluetooth omfattas via telefonen. En PLC i en fabrik som bara når internet via en industriell gateway omfattas via gatewayen. Industri- och IoT-tillverkare som antar att "ingen Wi-Fi betyder ingen CRA" missar denna klausul och missar förordningen helt.
En "produkt med digitala element" omfattar därefter programvaru- eller hårdvaruprodukter och deras fjärrdatabehandlingslösningar, inklusive programvaru- eller hårdvarukomponenter som släpps separat på marknaden. Fristående komponenter som skickas ut på marknaden faller också inom omfattningen.
Sektorer som redan regleras på annat håll
Vissa sektorer faller utanför CRA oavsett tröskelproven ovan, eftersom de redan täcks av egna cybersäkerhetsregimer.
| Sektor | Regleras i stället av | Undantagen genom |
|---|---|---|
| Medicintekniska produkter | Förordning (EU) 2017/745 (MDR) | Artikel 2(2), led (a) |
| Medicintekniska produkter för in vitro-diagnostik | Förordning (EU) 2017/746 (IVDR) | Artikel 2(2), led (b) |
| Motorfordon | Förordning (EU) 2019/2144 | Artikel 2(2), led (c) |
| Certifierade civila luftfartsprodukter | Förordning (EU) 2018/1139 | Artikel 2(3) |
| Marin utrustning | Direktiv 2014/90/EU | Artikel 2(4) |
| Reservdelar (som ersätter identiska komponenter) | Ej tillämpligt; utanför omfattningen per definition | Artikel 2(6) |
| Produkter för nationell säkerhet, försvar och sekretessbelagd information | Medlemsstaternas behörighet | Artikel 2(7) |
Kommissionen får dessutom begränsa eller utesluta CRA:s tillämpning där en annan unionsakt redan täcker samma risker på en motsvarande eller högre skyddsnivå.
För cybersäkerhetsnivån för din produkt (standard, viktig klass I, viktig klass II eller kritisk), se CRA-produktklassificering och CRA-bedömning av överensstämmelse.
CRA-roller: tillverkare, importör, distributör eller auktoriserad representant?
När en produkt omfattas beror dina CRA-skyldigheter på vad du gör i EU:s leveranskedja: vems varumärke står på produkten, vem för in den i unionen, vem tillhandahåller den och om någon ändrar den före återförsäljning.
Tillverkare
Du skickar produkten under ditt eget namn eller varumärke. Du utvecklar eller har låtit utforma och tillverka en produkt med digitala element och marknadsför den under ditt eget varumärke, mot betalning eller kostnadsfritt. Tillverkare bär den fulla skyldighetsuppsättningen: riskbaserad utformning, sårbarhetshantering, teknisk dokumentation, EU-försäkran om överensstämmelse, CE-märkning och rapportering av allvarliga incidenter och aktivt utnyttjade sårbarheter. Att sälja under ditt eget varumärke en produkt som utformats och byggts av en OEM gör dig fortfarande till tillverkaren. Se CRA-tillverkarskyldigheter.
Importör
Du är EU-etablerad och släpper en produkt med icke-EU-varumärke på EU-marknaden. Innan produkten släpps måste du verifiera att tillverkaren har genomfört bedömningen av överensstämmelse, upprättat den tekniska dokumentationen, anbringat CE-märkningen och tillhandahållit EU-försäkran om överensstämmelse och nödvändig användarinformation. Importörer måste bevara dokumentationen i tio år och samarbeta med marknadskontrollmyndigheter. Se CRA-importörsskyldigheter.
Distributör
Du tillhandahåller en produkt på unionsmarknaden utan att påverka dess egenskaper. Du befinner dig i leveranskedjan, utöver tillverkaren eller importören. Innan produkten tillhandahålls måste du verifiera att CE-märkningen är anbringad, att EU-försäkran om överensstämmelse är åtkomlig och att tillverkaren har tillhandahållit nödvändig information och nödvändiga instruktioner. Se CRA-distributörsskyldigheter.
Auktoriserad representant
Du är EU-etablerad genom ett skriftligt mandat från en tillverkare. CRA låter en tillverkare utse en auktoriserad representant genom skriftligt mandat, men utnämningen är inte automatisk eller obligatorisk bara för att tillverkaren är utanför EU. Representanten agerar inom de mandaterade uppgifterna. Se CRA auktoriserad representant.
Produktändringar: när du blir tillverkare
Du sitter i leveranskedjan efter en tredjepartstillverkare. Kör de två kontrollerna nedan innan du antar att du förblir importör eller distributör.
Att sätta ditt eget varumärke på någon annans produkt gör dig till tillverkaren från start, inte till en presumerad tillverkare.
En väsentlig ändring påverkar överensstämmelsen med de väsentliga cybersäkerhetskraven, eller ändrar det avsedda ändamål för vilket produkten ursprungligen bedömdes.
Att ändra någon annans produkt kan göra dig ansvarig som tillverkare. En importör eller distributör behandlas som tillverkare om den säljer produkten under eget namn eller varumärke, eller väsentligt ändrar en produkt som redan finns på marknaden. Samma tillverkarbehandling gäller för varje annan fysisk eller juridisk person som väsentligt ändrar en produkt och sedan tillhandahåller den ändrade produkten.
För andra tredjepartsmodifierare följer ansvaret påverkan på cybersäkerheten: tillverkarplikterna gäller den del av produkten som påverkas av ändringen, om inte ändringen påverkar cybersäkerheten hos hela produkten; i det fallet täcker plikterna hela produkten.
En "väsentlig ändring" är en ändring som görs efter att produkten släppts på marknaden och som antingen påverkar produktens överensstämmelse med de väsentliga cybersäkerhetskraven, eller ändrar det avsedda ändamål för vilket produkten ursprungligen bedömdes. Två mönster utlöser detta oftast: omflashning eller ompaketering av en tredjepartsenhet med anpassad firmware, och integrering av en tredjepartsprodukt i ett system på ett sätt som ändrar dess avsedda ändamål.
Varumärkesmärkning under ditt eget namn är inte en utlösare för väsentlig ändring; det är själva definitionen av tillverkare, och gäller från start.
Förvaltare av öppen källkod
En förvaltare av öppen källkod är en juridisk person, annan än en tillverkare, vars syfte är att systematiskt stödja utvecklingen av specifika produkter med öppen källkod avsedda för kommersiell verksamhet och säkerställa deras hållbarhet. I praktiken är förvaltare typiskt stiftelser eller icke-vinstdrivande juridiska personer som upprätthåller ett uppströmsprojekt självt, inte företag som skickar programvara med öppen källkod inuti sina egna produkter.
Plikterna är smalare än tillverkarregimen men ändå konkreta:
- Dokumentera en cybersäkerhetspolicy som främjar säker utveckling av projektet och effektiv sårbarhetshantering av dess utvecklare, uppmuntrar frivillig sårbarhetsrapportering och stödjer informationsdelning inom gemenskapen för öppen källkod.
- Samarbeta med marknadskontrollmyndigheter på motiverad begäran, inklusive genom att tillhandahålla cybersäkerhetspolicyns dokumentation.
Den här regimen gäller inte de flesta företag som skickar programvara med öppen källkod inuti en kommersiell produkt. Om du tar ett bibliotek med öppen källkod, integrerar det i en produkt du marknadsför och släpper den produkten på EU-marknaden under ditt eget namn, är du tillverkare, inte förvaltare.
Beslutsträd: identifiera din efterlevnadsväg
| Om du ... | Är du en ... | Gå till ... |
|---|---|---|
| Utformar eller har låtit tillverka en produkt med digitala element som du släpper på EU-marknaden under ditt namn eller varumärke | Tillverkare | Tillverkarskyldigheter |
| Är EU-etablerad och släpper en produkt på EU-marknaden som bär namn eller varumärke från en icke-EU-person | Importör | Importörsskyldigheter |
| Befinner dig i leveranskedjan (inte tillverkare eller importör) och tillhandahåller en produkt på EU-marknaden utan att påverka dess egenskaper | Distributör | Distributörsskyldigheter |
| Som importör eller distributör säljer under ditt eget namn eller varumärke, eller väsentligt ändrar en produkt som redan släppts på marknaden | Tillverkarplikterna gäller | Fulla tillverkarplikter gäller |
| Som annan tredje part väsentligt ändrar en produkt och tillhandahåller den på marknaden | Tillverkarplikterna gäller | Fulla tillverkarplikter gäller för den berörda delen eller hela produkten |
| Är en icke-EU-tillverkare som släpper produkter på EU-marknaden och utser en EU-mandathavare | Tillverkare, med en auktoriserad representant som bara agerar inom det skriftliga mandatet | Auktoriserad representant |
| Är en juridisk person som systematiskt stödjer ett projekt med öppen källkod som ditt kärnsyfte, inte kommersiell distribution | Förvaltare av öppen källkod | Regimen för förvaltare av öppen källkod |
Om du faller in under mer än en roll gäller den strängaste skyldighetsuppsättningen. Ett företag som utvecklar en produkt, varumärkesmärker den och släpper den på EU-marknaden är tillverkare oavsett vilka underleverantörer som gjorde utformningen eller bygget; en importör eller distributör som väsentligt ändrar en produkt som redan släppts på marknaden behandlas som tillverkare.
Vanliga fallgropar
| Fallgrop | Varför den faller |
|---|---|
| "Vi finns bara på ett lokalt nätverk, så CRA gäller inte." | Klausulen om indirekt anslutning fångar allt som når ett anslutbart system via ett nav, en telefon eller en gateway. |
| "Vi sätter eget varumärke på OEM-produkten, så vi är distributören." | Att sälja under eget namn eller varumärke gör dig till tillverkare från start, inte till en presumerad tillverkare. |
| "Vi använder bibliotek med öppen källkod i vår produkt, så vi kvalificerar oss som förvaltare." | Förvaltare upprätthåller uppströmsprojekt som sitt kärnsyfte; konsumenter nedströms av programvara med öppen källkod är tillverkare för den produkt de skickar. |
| "Vår marknadsplats förmedlar bara icke-EU-säljare, så vi har inga plikter." | En marknadsplats som håller EU-lager eller äger annonsen korsar in på importörsterritorium och ärver verifierings- och bevarandeplikterna. |
Vanliga frågor
Min produkt finns bara på ett lokalt nätverk. Omfattas CRA fortfarande?
Förmodligen ja. Omfattningstestet täcker varje indirekt anslutning: en produkt omfattas om den ansluter via ett större system som självt är anslutbart. En sensor på ett lokalt nav, en Bluetooth-kringutrustning som parar sig med en telefon eller en PLC bakom en industriell gateway hamnar alla inom omfattningen via den enhet de ansluter till. Det smala fall där CRA inte gäller är en produkt utan programvara, utan firmware och utan väg till någon annan enhet eller något nätverk över huvud taget.
Jag driver en SaaS-tjänst. Gäller CRA mig?
Generellt nej. SaaS sitter under NIS2, inte under CRA, som gäller en programvaru- eller hårdvaruprodukt som släpps på marknaden. En ren molnvärdad tjänst uppfyller inte den definitionen. Undantaget är en fjärrdatabehandlingslösning som tillhandahålls av tillverkaren: en molnkomponent som är nödvändig för att produkten ska kunna utföra sina funktioner omfattas som en del av den produkten. SaaS som också skickar en installerbar klient (en skrivbords- eller mobilapp, en SDK, en lokal agent) sätter den installerbara delen i omfattning.
Vi säljer vidare omodifierad hårdvara under vårt eget varumärke. Tillverkare eller distributör?
Tillverkare. Den som marknadsför en produkt under sitt eget namn eller varumärke är tillverkaren, oavsett vem som utformade eller byggde den. Att varumärkesmärka en OEM-produkt är läroboksexemplet, och du ärver den fulla skyldighetsuppsättningen för tillverkare. Det här är inte vägen via presumerad tillverkare; du är tillverkaren från start.
Vi använder bibliotek med öppen källkod i vår produkt. Är vi förvaltare?
Nej. Förvaltare är typiskt stiftelser eller icke-vinstdrivande juridiska personer som systematiskt stödjer ett projekt med öppen källkod som sitt kärnsyfte. Ett företag som tar ett bibliotek med öppen källkod, integrerar det i en kommersiell produkt och släpper den produkten på EU-marknaden är tillverkare för den produkten. Den lättare regimen är för enheten som upprätthåller uppströmsprojektet, inte för konsumenter nedströms.
Ett icke-EU-företag säljer direkt till EU-konsumenter via vår marknadsplats. Vem är ansvarig?
Det beror på kedjan. CRA låter den icke-EU-baserade tillverkaren utse en auktoriserad representant genom skriftligt mandat, men importörsfrågan beror på vem som släpper produkten på EU-marknaden och vilken aktör som är EU-etablerad. En marknadsplats som bara förmedlar och inte själv släpper produkter på marknaden är generellt inte importören; om marknadsplatsen äger annonsen eller fullföljer beställningen från EU-lager, korsar den in på importörsterritorium. Kontrollera det faktiska transaktionsflödet innan du avgör.