Artikel 33 Stödåtgärder för mikroföretag och små och medelstora företag, inbegripet uppstartsföretag

Summary What does Article 33 of the CRA regulation say?

This article is dedicated entirely to supporting smaller businesses in complying with the Cyber Resilience Act.

It sets out a range of measures directed at Member States, the Commission, and notified bodies, all aimed at reducing the burden of compliance for microenterprises and small and medium-sized enterprises.

The article covers practical assistance such as training, dedicated communication channels, regulatory sandboxes for testing innovative products, Commission guidance, advertised financial support, and a simplified technical documentation format — making it a key support article that complements the core obligations placed on manufacturers elsewhere in the regulation.

Important points:

Member States are required to organise awareness-raising activities, establish dedicated communication channels, and support testing and conformity assessment activities, all tailored to the needs of microenterprises and small enterprises.
Member States may establish cyber resilience regulatory sandboxes, providing controlled testing environments for innovative products with digital elements, with access that must be open, fair, and transparent, and with particular facilitation for microenterprises, small enterprises, and start-ups.
Microenterprises and small enterprises may submit their technical documentation in a simplified format specified by the Commission via implementing acts, and notified bodies are required to accept that format for conformity assessment purposes.

Springlex's summary of the article, a reading aid, not a substitute for the legal text.

1. Medlemsstaterna ska, när så är lämpligt, vidta följande åtgärder som är anpassade till mikroföretags och små företags behov:
  1. Anordna särskild informations- och utbildningsverksamhet om tillämpningen av denna förordning.
  2. Inrätta en särskild kanal för kommunikation med mikroföretag och små företag och, när så är lämpligt, lokala myndigheter för att ge råd och besvara frågor om genomförandet av denna förordning.
  3. Stödja provning och bedömning av överensstämmelse, när så är lämpligt även med stöd av Europeiska kompetenscentrumet för cybersäkerhet.
1. Medlemsstaterna får, när så är lämpligt, inrätta regulatoriska sandlådor för cyberresiliens. Sådana regulatoriska sandlådor ska tillhandahålla kontrollerade provmiljöer för innovativa produkter med digitala element för att underlätta utvecklingen, utformningen, valideringen och provningen av dem i syfte att uppfylla kraven i denna förordning under en begränsad tidsperiod innan de släpps ut på marknaden. Kommissionen och, när så är lämpligt, Enisa får tillhandahålla tekniskt stöd, rådgivning och verktyg för inrättande och drift av regulatoriska sandlådor. De regulatoriska sandlådorna ska inrättas under marknadskontrollmyndigheternas direkta tillsyn, vägledning och stöd. Medlemsstaterna ska genom Adco-gruppen informera kommissionen och de andra marknadskontrollmyndigheterna om inrättandet av en regulatorisk sandlåda. De regulatoriska sandlådorna ska inte påverka de behöriga myndigheternas tillsynsbefogenheter och korrigerande befogenheter. Medlemsstaterna ska säkerställa öppen, rättvis och transparent tillgång till regulatoriska sandlådor, och i synnerhet underlätta tillgång för mikroföretag och små företag, inbegripet uppstartsföretag.
1. I enlighet med artikel 26 ska kommissionen ge mikroföretag och små och medelstora företag vägledning om genomförandet av denna förordning.
1. Kommissionen ska tillkännage att ekonomiskt stöd inom ramen för unionens befintliga program är tillgängligt, särskilt för att minska den ekonomiska bördan för mikroföretag och små företag.
1. Mikroföretag och små företag får tillhandahålla alla delar av den tekniska dokumentation som anges i bilaga VII med användning av ett förenklat formulär. För detta ändamål ska kommissionen genom genomförandeakter specificera det förenklade formuläret för teknisk dokumentation med hänsyn till mikroföretagens och småföretagens behov, inbegripet hur de uppgifter som anges i bilaga VII ska tillhandahållas. Om ett mikroföretag eller ett småföretag väljer att tillhandahålla den information som anges enligt bilaga VII på ett förenklat sätt ska det använda det formulär som avses i denna punkt. Anmälda organ ska godta detta formulär för bedömning av överensstämmelse.
2. Dessa genomförandeakter ska antas i enlighet med det granskningsförfarande som avses i artikel 62.2.

Relevant recitals

Skäl 93 Simplified technical documentation

När det gäller mikroföretag och små företag bör, för att säkerställa proportionalitet, de administrativa kostnaderna minskas utan att påverka nivån av cybersäkerhetsskydd för produkter med digitala element som omfattas av denna förordnings tillämpningsområde, eller tillverkarnas lika spelregler. Det är därför lämpligt att kommissionen skapar ett förenklat formulär för teknisk dokumentation med inriktning på mikroföretags och små företags behov. Det förenklade formulär för teknisk dokumentation som antas av kommissionen bör omfatta alla tillämpliga delar av den tekniska dokumentation som anges i denna förordning och specificera hur ett mikroföretag eller ett småföretag kan tillhandahålla de begärda delarna på ett kortfattat sätt, såsom en beskrivning av utformningen, utvecklingen och produktionen av produkten med digitala element. På så sätt skulle formuläret bidra till att minska den administrativa regelbördan genom att ge de berörda företagen rättslig säkerhet om hur omfattande den information som ska lämnas ska vara och vilka uppgifter som ska ingå. Mikroföretag och små företag bör kunna välja att tillhandahålla tillämpliga delar som rör teknisk dokumentation i ett mer omfattande format och att inte använda det förenklade formulär som de har tillgång till.

Skäl 94 Promote innovation for microenterprises and small or medium-sized enterprises

För att främja och skydda innovation är det viktigt att särskild hänsyn tas till intressena hos tillverkare som är mikroföretag eller små eller medelstora företag, särskilt mikroföretags och små företags, inbegripet uppstartsföretags. För detta ändamål skulle medlemsstaterna kunna utveckla initiativ som riktar sig till tillverkare som är mikroföretag eller små företag, inbegripet om utbildning, medvetandehöjande åtgärder, kommunikation, testning av information och tredjepartsbedömning av överensstämmelse, samt inrättande av sandlådor. Översättningskostnader för obligatorisk dokumentation, såsom den tekniska dokumentationen samt den information och de instruktioner till användaren som krävs enligt denna förordning, och kommunikation med myndigheter, kan innebära en betydande kostnad för tillverkarna, särskilt mindre tillverkare. Medlemsstaterna bör därför kunna anse att ett av de språk som fastställs och godtas av dem för relevant dokumentation från tillverkare och för kommunikation med tillverkare är ett språk som ett så stort antal användare som möjligt huvudsakligen förstår.

Skäl 97 Regulatory sandboxes

Syftet med regulatoriska sandlådor bör vara att främja innovation och konkurrenskraft för företag genom att inrätta kontrollerade testmiljöer innan produkter med digitala element släpps ut på marknaden. Regulatoriska sandlådor bör bidra till att förbättra rättssäkerheten för alla aktörer som omfattas av denna förordning och underlätta och påskynda tillträdet till unionsmarknaden för produkter med digitala element, särskilt när de tillhandahålls av mikroföretag och små företag, inbegripet uppstartsföretag.

Skäl 127 Support to microenterprises and SMEs

Det är viktigt att ge stöd till mikroföretag samt små och medelstora företag, inbegripet uppstartsföretag, vid genomförandet av denna förordning och att begränsa de risker i samband med genomförandet som följer av bristande kunskap och expertis på marknaden, samt att underlätta för tillverkarna att fullgöra sina skyldigheter enligt denna förordning. Programmet för ett digitalt Europa och andra relevanta unionsprogram tillhandahåller ekonomiskt och tekniskt stöd som gör att dessa företag kan bidra till tillväxten i unionens ekonomi och till en stärkt gemensam cybersäkerhetsnivå i unionen. Europeiska kompetenscentrumet för cybersäkerhet och nationella samordningscentrum samt europeiska digitala innovationsknutpunkter som inrättas av kommissionen och medlemsstaterna på unionsnivå eller nationell nivå skulle också kunna stödja företag och organisationer inom den offentliga sektorn och bidra till genomförandet av denna förordning. Inom ramen för sina respektive uppdrag och ansvarsområden skulle de kunna ge tekniskt och vetenskapligt stöd till mikroföretag samt små och medelstora företag, till exempel för testningsverksamhet och tredjepartsbedömningar av överensstämmelse. De skulle också kunna främja användningen av verktyg för att underlätta genomförandet av denna förordning.

Skäl 128 Member states to provide guidance and support for microenterprises and SMEs

Dessutom bör medlemsstaterna överväga kompletterande åtgärder som syftar till att ge vägledning och stöd till mikroföretag samt små och medelstora företag, såsom att inrätta regulatoriska sandlådor och särskilda kanaler för kommunikation. För att stärka cybersäkerhetsnivån i unionen får medlemsstaterna också överväga att tillhandahålla stöd för att utveckla kapacitet och färdigheter med anknytning till cybersäkerhet för produkter med digitala element, förbättra ekonomiska aktörers cyberresiliens, särskilt för mikroföretag samt små och medelstora företag, och främja allmänhetens medvetenhet om cybersäkerheten för produkter med digitala element.

Table of contents

Springlex and this text is meant purely as a documentation tool and has no legal effect. No liability is assumed for its content. The authentic version of this act is the one published in the Official Journal of the European Union.