Artikel 7 Viktiga produkter med digitala element

Summary What does Article 7 of the CRA regulation say?

This article establishes the concept of "important products with digital elements" — a distinct, higher-risk classification that triggers stricter conformity assessment obligations under Article 32.

It defines which products fall into this category by reference to Annex III, splits them into two classes based on the nature and severity of their cybersecurity risk, and gives the Commission the power to update that list over time.

A key clarification is also made: embedding an important product into a larger product does not automatically elevate the host product into the same classification.

Important points:

If your product has the core functionality of a category listed in Annex III, it is classified as an important product and must follow the stricter conformity assessment procedures set out in Article 32(2) and (3).
The Commission is empowered to amend Annex III — adding, reclassifying, or removing product categories — with a minimum 12-month transitional period before new conformity assessment obligations apply to newly added or reclassified products.
The Commission is required to adopt an implementing act by 11 December 2025 specifying the technical descriptions of the product categories listed in Annexes III and IV.

Springlex's summary of the article, a reading aid, not a substitute for the legal text.

1. Produkter med digitala element som har kärnfunktionen hos en produktkategori som anges i bilaga III till denna förordning ska anses vara viktiga produkter med digitala element och ska omfattas av de förfaranden för bedömning av överensstämmelse som avses i artikel 32.2 och 32.3. Integreringen av en produkt med digitala element som har kärnfunktionen hos en produktkategori som anges i bilaga III ska inte i sig medföra att den produkt i vilken den är integrerad omfattas av de förfaranden för bedömning av överensstämmelse som avses i artikel 32.2 och 32.3.
1. De kategorier av produkter med digitala element som avses i punkt 1 i denna artikel, indelade i klasserna I och II enligt bilaga III, uppfyller minst ett av följande kriterier:
  1. Produkten med digitala element utför i första hand funktioner som är kritiska för cybersäkerheten för andra produkter, nät eller tjänster, inbegripet säkerställande av autentisering och åtkomst, intrångsdetektion och intrångsskydd, säkerhet vid slutnoder eller nätskydd.
  2. Produkten med digitala element utför en funktion som medför en betydande risk för negativa effekter i fråga om dess intensitet och förmåga att störa, kontrollera eller orsaka skada på ett stort antal andra produkter eller på användarnas hälsa, säkerhet eller skydd genom direkt manipulering, såsom en central systemfunktion, inbegripet nätförvaltning, konfigurationsstyrning, virtualisering eller behandling av personuppgifter.
1. Kommissionen ges befogenhet att anta delegerade akter i enlighet med artikel 61 för att ändra bilaga III genom att införa en ny kategori inom varje klass i förteckningen över kategorier av produkter med digitala element och specificera dess definition, flytta en kategori av produkter från en klass till en annan eller stryka en befintlig kategori från förteckningen. När kommissionen bedömer behovet av en ändring av förteckningen i bilaga III ska den ta hänsyn till de cybersäkerhetsrelaterade funktionerna eller funktionen och nivån på den cybersäkerhetsrisk som produkterna med digitala element utgör enligt de kriterier som avses i punkt 2 i den här artikeln.
2. De delegerade akter som avses i första stycket i denna punkt ska, när så är lämpligt, föreskriva en övergångsperiod på minst tolv månader, särskilt när en ny kategori av viktiga produkter med digitala element läggs till i klass I eller II eller flyttas från klass I till II enligt bilaga III, innan de relevanta förfaranden för bedömning av överensstämmelse som avses i artikel 32.2 och 32.3 börjar tillämpas, såvida inte en kortare övergångsperiod är motiverad av tvingande skyndsamhetskäl.
1. Senast den 11 december 2025 ska kommissionen anta en genomförandeakt som specificerar den tekniska beskrivningen av kategorierna av produkter med digitala element i klasserna I och II enligt bilaga III och den tekniska beskrivningen av kategorierna av produkter med digitala element enligt bilaga IV. Denna genomförandeakt ska antas i enlighet med det granskningsförfarande som avses i artikel 62.2.

Relevant recitals

Skäl 10 Important and critical products

Genom att cybersäkerhetskrav fastställs för utsläppandet på marknaden av produkter med digitala element är syftet att dessa produkters cybersäkerhet ska förbättras för både konsumenter och företag. Dessa krav kommer också att säkerställa att cybersäkerhet tas i beaktande genom leveranskedjorna som helhet, för att göra slutprodukterna med digitala element och deras komponenter säkrare. Detta innefattar krav för utsläppandet på marknaden av konsumentprodukter med digitala element vilka är avsedda för sårbara konsumenter, exempelvis leksaker och babyövervakningssystem. Konsumentprodukter med digitala element som i denna förordning kategoriseras som viktiga produkter med digitala element utgör en högre cybersäkerhetsrisk genom att de utför en funktion som medför en betydande risk för negativa effekter i fråga om intensitet och förmåga att skada hälsan, tryggheten eller säkerheten för användarna av sådana produkter, och bör genomgå ett striktare förfarande för bedömning av överensstämmelse. Detta är tillämpligt på sådana produkter som smarta hemprodukter med säkerhetsfunktioner, inbegripet smarta dörrlås, babyövervakningssystem och larmsystem, uppkopplade leksaker och kroppsburen medicinsk teknik. De striktare förfaranden för bedömning av överensstämmelse som andra produkter med digitala element som i denna förordning kategoriseras som viktiga eller kritiska produkter med digitala element måste genomgå kommer dessutom att bidra till att förhindra att konsumenterna kan komma att påverkas negativt av utnyttjandet av sårbarheter.

Skäl 43 Important products

Produkter med digitala element bör anses vara viktiga om de negativa konsekvenserna av utnyttjandet av potentiella sårbarheter i produkten kan vara allvarliga på grund av, bland annat, cybersäkerhetsrelaterade funktioner eller en funktion som medför en betydande risk för negativa effekter i fråga om dess intensitet och förmåga att störa, kontrollera eller orsaka skada på ett stort antal andra produkter eller på användarnas hälsa, säkerhet eller skydd genom direkt manipulering, såsom en central systemfunktion, inbegripet nätförvaltning, konfigurationsstyrning, virtualisering eller behandling av personuppgifter. I synnerhet kan sårbarheter i produkter med digitala element som har en cybersäkerhetsrelaterad funktion, såsom starthanterare, medföra att säkerhetsproblem sprids i hela leveranskedjan. Allvarlighetsgraden i en cybersäkerhetsincident kan också öka när produkten primärt utför en central systemfunktion, inbegripet nätförvaltning, konfigurationsstyrning, virtualisering eller behandling av personuppgifter.

Skäl 44 Class I and II of important products

Vissa kategorier av produkter med digitala element bör omfattas av striktare förfaranden för bedömning av överensstämmelse, med bevarande av proportionaliteten. Därför bör viktiga produkter med digitala element delas in i två klasser som återspeglar produktkategoriernas cybersäkerhetsrisknivå. En incident som involverar viktiga produkter med digitala element som omfattas av i klass II skulle kunna få större negativa konsekvenser än en incident som involverar viktiga produkter med digitala element i klass I, exempelvis på grund av produkternas cybersäkerhetsrelaterade funktion eller utförandet av en annan funktion som medför en betydande risk för negativa effekter. Som en indikation på sådana större negativa effekter skulle produkter med digitala element som omfattas av klass II antingen kunna utföra en cybersäkerhetsrelaterad funktion eller en annan funktion som medför en betydande risk för negativa effekter som är högre än för dem som förtecknas i klass I, eller uppfylla båda ovannämnda kriterier. Viktiga produkter med digitala element som omfattas av klass II bör därför omfattas av ett striktare förfarande för bedömning av överensstämmelse.

Skäl 45 Core functionality of important products

Viktiga produkter med digitala element som avses i denna förordning bör förstås som produkter som har kärnfunktionen hos en kategori av viktiga produkter med digitala element som anges i denna förordning. I denna förordning anges exempelvis kategorier av produkter med digitala element som genom sina kärnfunktioner definieras som brandväggar eller intrångsdetektions- eller intrångsskyddssystem i klass II. Därmed bör brandväggar och intrångsdetektions- eller intrångsskyddssystem genomgå en obligatorisk tredjepartsbedömning av överensstämmelse. Detta är inte fallet för andra produkter med digitala element som inte kategoriseras som viktiga produkter med digitala element som kan integrera brandväggar eller intrångsdetektions- eller intrångsskyddssystem. Kommissionen bör anta en genomförandeakt för att specificera den tekniska beskrivningen av de kategorier av viktiga produkter med digitala element som omfattas av klasserna I och II som anges i denna förordning.

Table of contents

Springlex and this text is meant purely as a documentation tool and has no legal effect. No liability is assumed for its content. The authentic version of this act is the one published in the Official Journal of the European Union.