Source: OJ L 2024/2847, 20.11.2024Current language: SV
- Cyber resilience for products with digital elements
Basic legislative acts
- CRA regulation
Artikel 2 Tillämpningsområde
Summary What does Article 2 of the CRA regulation say?
This is the scope article of the Cyber Resilience Act, defining which products with digital elements fall within its reach and, crucially, which do not.
The broad inclusion criterion is straightforward: if a product has a direct or indirect connection to a device or network, it is in scope.
The article then carves out a series of explicit exclusions, covering products already governed by specific EU sectoral legislation, as well as those developed exclusively for national security or defence purposes.
There is also a mechanism allowing the Commission to further limit or exclude application of the regulation where other Union rules achieve an equivalent or higher level of cybersecurity protection.
Important points:
- Products with digital elements that connect, directly or indirectly, to a device or network are subject to this Regulation.
- Several categories are explicitly excluded, including products covered by the EU medical device regulations, vehicle type-approval rules, aviation certification, and marine equipment rules, as well as products developed solely for national security or defence.
- The Commission is empowered to adopt delegated acts to limit or exclude the application of this Regulation where other Union sectoral rules provide an equivalent or higher level of cybersecurity protection.
Springlex's summary of the article, a reading aid, not a substitute for the legal text.
Denna förordning är tillämplig på alla produkter med digitala element som tillhandahålls på marknaden och vars avsedda ändamål eller rimligen förutsebara användning omfattar en direkt eller indirekt logisk eller fysisk dataanslutning till en enhet eller ett nät.
Förordningen är inte tillämplig på sådana produkter med digitala element som omfattas av följande unionsrättsakter:
Förordning (EU) 2017/745.
Förordning (EU) 2017/746.
Förordning (EU) 2019/2144.
Denna förordning ska inte tillämpas på produkter med digitala element som har certifierats i enlighet med förordning (EU) 2018/1139.
Denna förordning ska inte tillämpas på utrustning som omfattas av Europaparlamentets och rådets direktiv 2014/90/EU(36).
Denna förordnings tillämpning på produkter med digitala element som omfattas av andra unionsregler där krav fastställs avseende alla eller vissa risker som täcks av de väsentliga cybersäkerhetskraven i bilaga I får begränsas eller undantas om
sådana begränsningar eller undantag är förenliga med den allmänna rättsliga ram som är tillämplig på dessa produkter, och
sektorsreglerna ger samma eller en högre skyddsnivå än den som föreskrivs i denna förordning.
Kommissionen ges befogenhet att anta delegerade akter i enlighet med artikel 61 för att komplettera denna förordning genom att specificera om sådana begränsningar eller undantag är nödvändiga, vilka produkter och regler som berörs samt begränsningens omfattning, i förekommande fall.
Denna förordning ska inte tillämpas på reservdelar som tillhandahålls på marknaden för att ersätta identiska komponenter i produkter med digitala element och som tillverkas enligt samma specifikationer som de komponenter som de är avsedda att ersätta.
Denna förordning ska inte tillämpas på produkter med digitala element som utvecklats eller ändrats uteslutande för ändamål som rör nationell säkerhet eller försvarsändamål eller på produkter som utformats specifikt för att behandla säkerhetsskyddsklassificerade uppgifter.
De skyldigheter som fastställs i denna förordning får inte medföra tillhandahållande av information vars utlämnande skulle strida mot väsentliga intressen i fråga om medlemsstaternas nationella säkerhet, allmänna säkerhet eller försvar.
Relevant recitals
Skäl 3 Existing horizontal rules do not directly cover products
Den relevanta unionsrätt som för närvarande gäller omfattar flera uppsättningar övergripande regler som behandlar vissa aspekter av cybersäkerheten från olika synvinklar, inbegripet åtgärder för att förbättra säkerheten i den digitala leveranskedjan. Den befintliga unionsrätten om cybersäkerhet, inbegripet Europaparlamentets och rådets förordning (EU) 2019/881(3) och Europaparlamentets och rådets direktiv (EU) 2022/2555(4) täcker inte på ett direkt sätt obligatoriska krav avseende säkerheten för produkter med digitala element.
Skäl 9 Consider a wide scope of products
Under vissa omständigheter kan alla produkter med digitala element vilka är integrerade i eller anslutna till ett större elektroniskt informationssystem fungera som en attackvektor för fientliga aktörer. Det innebär att även hårdvara eller programvara som anses vara mindre kritisk kan underlätta en inledande kompromettering av en enhet eller ett nät, vilket gör det möjligt för fientliga aktörer att få priviligierad åtkomst till ett system eller att röra sig lateralt mellan system. Tillverkarna bör därför säkerställa att alla produkter med digitala element utformas och utvecklas i enlighet med de väsentliga cybersäkerhetskrav som fastställs i denna förordning. Denna skyldighet avser både produkter som kan anslutas fysiskt via hårdvarugränssnitt och produkter som ansluts logiskt, t.ex. via nätanslutningsuttag, rör, filer, programmeringsgränssnitt eller andra typer av programvarugränssnitt. I och med att cyberhot kan spridas via olika produkter med digitala element tills de når ett visst mål, exempelvis genom att sammanlänka flera olika attacker mot sårbarheter, bör tillverkarna också säkerställa cybersäkerheten för produkter som endast indirekt ansluts till andra enheter eller nät.
Skäl 14 Without prejudice to national security
Denna förordning bör inte påverka medlemsstaternas ansvar att skydda den nationella säkerheten, i enlighet med unionsrätten. Medlemsstaterna bör kunna låta produkter med digitala element som är upphandlade eller används för ändamål som rör nationell säkerhet- eller försvar omfattas av ytterligare åtgärder, förutsatt att sådana åtgärder är förenliga med medlemsstaternas skyldigheter enligt unionsrätten.
Skäl 15 Scope limited to commercial activity
Denna förordning är tillämplig på ekonomiska aktörer endast med avseende på produkter med digitala element som tillhandahålls på marknaden och därmed levereras för distribution eller användning på unionsmarknaden i samband med kommersiell verksamhet. Tillhandahållande inom ramen för en kommersiell verksamhet kan kännetecknas inte bara av att det tas ut en avgift för en produkt med digitala element utan också av att en avgift tas ut för tekniska stödtjänster när detta inte enbart tjänar till att täcka faktiska kostnader, när syftet är att monetarisera, till exempel genom att tillhandahålla en programvaruplattform som tillverkaren använder för att monetarisera andra tjänster, genom att som ett villkor för användning kräva behandling av personuppgifter för andra syften än uteslutande för att förbättra programvarans säkerhet, kompatibilitet eller interoperabilitet, eller genom att ta emot donationer som överstiger kostnaderna för utformning, utveckling och tillhandahållande av en produkt med digitala element. Att ta emot donationer utan avsikt att göra vinst bör inte betraktas som en kommersiell verksamhet.
Skäl 16 Exemption for public administration entities
Produkter med digitala element som tillhandahålls som en del av tillhandahållandet av en tjänst för vilka en avgift tas ut enbart för att täcka de faktiska kostnader som är direkt kopplade till driften av den tjänsten, såsom kan vara fallet med vissa produkter med digitala element som tillhandahålls av enheter inom offentlig förvaltning, bör inte i sig anses utgöra kommersiell verksamhet vid tillämpningen av denna förordning. Dessutom bör produkter med digitala element som utvecklas eller ändras av en offentlig förvaltningsentitet uteslutande för dess eget bruk inte anses vara tillgängliggjord på marknaden i den mening som avses i denna förordning.
Skäl 25 Exemptions for medical devices
I Europaparlamentets och rådets förordning (EU) 2017/745(9) fastställs regler om medicintekniska produkter och i Europaparlamentets och rådets förordning (EU) 2017/746(10) fastställs regler om medicintekniska produkter för in vitro-diagnostik. De förordningarna behandlar cybersäkerhetsrisker enligt särskilda tillvägagångssätt som också behandlas i den här förordningen. Närmare bestämt fastställs i förordningarna (EU) 2017/745 och (EU) 2017/746 väsentliga krav för medicintekniska produkter som fungerar genom ett elektroniskt system eller som själva utgörs av programvara. Viss icke-inbyggd programvara och ett livscykelperspektiv täcks också av dessa förordningar. Dessa krav innebär att tillverkarna ska utveckla och bygga sina produkter genom att tillämpa riskhanteringsprinciper och genom att fastställa krav på it-säkerhetsåtgärder, samt motsvarande förfaranden för bedömning av överensstämmelse. Vidare finns det sedan december 2019 särskilda riktlinjer för cybersäkerheten för medicintekniska produkter, som ger tillverkarna av medicintekniska produkter, däribland för in vitro-diagnostik, vägledning för hur alla berörda väsentliga krav som anges i bilaga I till dessa förordningar ska uppfyllas när det gäller cybersäkerhet. Produkter med digitala element på vilka någon av dessa förordningar är tillämpliga bör därför inte omfattas av den här förordningen.
Skäl 26 Exemptions for national security
Produkter med digitala element som utvecklas eller ändras uteslutande för ändamål som rör nationell säkerhet eller försvar eller produkter som är särskilt utformade för att behandla säkerhetsskyddsklassificerade uppgifter omfattas inte av denna förordnings tillämpningsområde. Medlemsstaterna uppmanas att säkerställa samma eller en högre skyddsnivå för dessa produkter som för de produkter som omfattas av denna förordnings tillämpningsområde.
Skäl 27 Exemptions for vehicles
Genom Europaparlamentets och rådets förordning (EU) 2019/2144(11) fastställs krav för typgodkännande av fordon och deras system och komponenter, som innebär att vissa cybersäkerhetskrav införs, inbegripet när det gäller användning av ett certifierat ledningssystem för cybersäkerhet och uppdateringar av programvara, som täcker organisationers policyer och processer för cybersäkerhetsrisker under hela livscykeln för fordon, utrustning och tjänster i enlighet med tillämpliga Förenta nationernas (FN) föreskrifter om tekniska specifikationer och cybersäkerhet, i synnerhet FN-föreskrift nr 155 – Enhetliga bestämmelser om godkännande av fordon med avseende på cybersäkerhet och ledningssystem för cybersäkerhet(12), och föreskrivs särskilda förfaranden för bedömning av överensstämmelse. På luftfartsområdet är huvudsyftet för Europaparlamentets och rådets förordning (EU) 2018/1139(13) att fastställa och upprätthålla en hög och enhetlig säkerhetsnivå inom den civila luftfarten i unionen. Förordningen ger en ram för väsentliga krav på luftvärdighet för luftfartsprodukter, delar och utrustning, inbegripet programvara som inbegriper skyldigheten att skydda sig mot informationssäkerhetshot. Certifieringsförfarandena enligt förordning (EU) 2018/1139 säkerställer den assuransnivå som eftersträvas i den här förordningen. Produkter med digitala element som omfattas av förordning (EU) 2019/2144 och produkter som certifierats i enlighet med förordning (EU) 2018/1139 bör därför inte omfattas av de väsentliga cybersäkerhetskrav och förfaranden för bedömning av överensstämmelse som fastställs i den här förordningen.
Skäl 28 Limitations and exemptions with regards to future legislation
Genom denna förordning fastställs övergripande cybersäkerhetsregler som inte är sektorsspecifika eller specifika för vissa produkter med digitala element. Sektors- eller produktspecifika unionsregler kan dock införas, med krav som omfattar alla eller vissa risker som täcks av de väsentliga cybersäkerhetskraven enligt denna förordning. I sådana fall får tillämpningen av denna förordning på sådana produkter med digitala element som omfattas av andra unionsregler, där krav fastställs avseende alla eller vissa risker som täcks av de väsentliga cybersäkerhetskrav som anges i denna förordning, begränsas eller uteslutas när en begränsning eller ett uteslutande är förenligt med den allmänna rättsliga ram som är tillämplig på dessa produkter och när sektorsreglerna ger minst samma skyddsnivå som denna förordning. Kommissionen bör ges befogenhet att anta delegerade akter för att komplettera denna förordning genom att identifiera sådana produkter och regler. För befintlig unionsrätt på vilken denna typ av begränsning eller uteslutande bör tillämpas, omfattar denna förordning särskilda bestämmelser som klargör dess förhållande till den unionsrätten.
Skäl 29 Exemptions for spare parts
För att säkerställa att produkter med digitala element som tillhandahålls på marknaden kan repareras ändamålsenligt och deras hållbarhet förlängas bör ett undantag göras för reservdelar. Undantaget bör omfatta både reservdelar som har till syfte att reparera befintliga produkter som tillhandahålls före den dag då denna förordning börjar tillämpas och reservdelar som redan har genomgått ett förfarande för bedömning av överensstämmelse enligt denna förordning.
Skäl 30 Relation to the radio equipment directive (RED)
I kommissionens delegerade förordning (EU) 2022/30(14) anges att ett antal väsentliga krav som anges i artikel 3.3 d, e och f i Europaparlamentets och rådets direktiv 2014/53/EU(15) avseende skada på nät och missbruk av nätresurser, personuppgifter och integritet samt bedrägeri ska tillämpas på viss radioutrustning. I kommissionens genomförandebeslut C(2022) 5637 av den 5 augusti 2022 om en standardiseringsbegäran till Europeiska standardiseringskommittén och Europeiska kommittén för elektroteknisk standardisering fastställs krav för utarbetandet av särskilda standarder som ytterligare specificerar hur de tre väsentliga kraven bör hanteras. De väsentliga cybersäkerhetskrav som anges i denna förordning omfattar alla aspekter av de väsentliga krav som avses i artikel 3.3 d, e och f i direktiv 2014/53/EU. De väsentliga cybersäkerhetskrav som anges i denna förordning är dessutom anpassade till syftena för kraven på särskilda standarder som omfattas av den standardiseringsbegäran. När kommissionen upphäver eller ändrar delegerad förordning (EU) 2022/30 med följden att den upphör att gälla för vissa produkter som omfattas av denna förordning, bör kommissionen och de europeiska standardiseringsorganisationerna, i samband med förberedelserna och utarbetandet av harmoniserade standarder för att underlätta genomförandet av denna förordning, ta hänsyn till det standardiseringsarbete som utförts inom ramen för genomförandebeslut C(2022)5637. Under övergångsperioden för tillämpningen av den här förordningen bör kommissionen ge vägledning till tillverkare som omfattas av den här förordningen och som också omfattas av delegerad förordning (EU) 2022/30 för att underlätta påvisandet av efterlevnaden av de båda förordningarna.
Springlex and this text is meant purely as a documentation tool and has no legal effect. No liability is assumed for its content. The authentic version of this act is the one published in the Official Journal of the European Union.
Definition
cyberhot
(En. cyber threat)
Definition
komponent
(En. component)
Definition
cybersäkerhet
(En. cybersecurity)
Definition
programvara
(En. software)
Definition
tillverkare
(En. manufacturer)
Definition
sårbarhet
(En. vulnerability)
Definition
hårdvara
(En. hardware)
Definition
produkt med digitala element
(En. product with digital elements)
Definition
fjärrbehandling av data
(En. remote data processing)
Definition
bedömning av överensstämmelse
(En. conformity assessment)
Definition
personuppgifter
(En. personal data)
Definition
elektroniskt informationssystem
(En. electronic information system)
Footnote 3
Footnote 36
Footnote 9
Footnote 14
Footnote 4
Footnote 15
Footnote 11
Footnote 10
Footnote 13
Footnote 12