Forordningen om cyberrobusthed – Resumé af lovgivningsteksten

Et software- eller hardwareprodukt og dets fjerndatabehandlingsløsninger, herunder software- eller hardwarekomponenter, der bringes i omsætning separat.

Databehandling på afstand, som softwaren er designet og udviklet til af fabrikanten eller på fabrikantens ansvar, og hvis fravær ville forhindre produktet med digitale elementer i at udføre en af sine funktioner.

Fabrikanten, den bemyndigede repræsentant, importøren, distributøren eller en anden fysisk eller juridisk person, der er underlagt forpligtelser i forbindelse med fremstillingen af produkter med digitale elementer eller tilgængeliggørelsen af produkter med digitale elementer på markedet i overensstemmelse med denne forordning.

En fysisk eller juridisk person, der udvikler eller fremstiller produkter med digitale elementer eller får produkter med digitale elementer designet, udviklet eller fremstillet og markedsfører dem under sit navn eller varemærke, mod eller uden vederlag.

En juridisk person, der ikke er en fabrikant, og som har til formål systematisk og vedvarende at yde støtte til udvikling af specifikke produkter med digitale elementer, der kan betegnes som gratis open source-software og er beregnet til kommercielle aktiviteter, og som sikrer disse produkters levedygtighed.

En fysisk eller juridisk person, der er etableret i Unionen, og som har modtaget en skriftlig fuldmagt fra en fabrikant til at handle på dennes vegne i forbindelse med varetagelsen af specifikke opgaver.

En fysisk eller juridisk person, der er etableret i Unionen, og som bringer et produkt med digitale elementer, der bærer navnet eller varemærket på en fysisk eller juridisk person, der er etableret uden for Unionen, i omsætning.

En fysisk eller juridisk person i forsyningskæden, bortset fra fabrikanten eller importøren, der gør et produkt med digitale elementer tilgængeligt på EU-markedet uden at påvirke dets egenskaber.

Den første tilgængeliggørelse af et produkt med digitale elementer på EU-markedet.

Levering af et produkt med digitale elementer med henblik på distribution eller anvendelse på EU-markedet som led i erhvervsvirksomhed mod eller uden vederlag.

Processen med at kontrollere, om de væsentlige cybersikkerhedskrav i bilag I er opfyldt.

Et overensstemmelsesvurderingsorgan, der er udpeget i overensstemmelse med artikel 43 og anden relevant EU-harmoniseringslovgivning.

En standard vedtaget af en europæisk standardiseringsorganisation på grundlag af en anmodning fra Kommissionen om anvendelse af EU-harmoniseringslovgivningen.

I kapitel I fastsættes forordningens anvendelsesområde, centrale begreber og begreber defineres, og samspillet mellem kreditvurderingsbureauet og anden EU-lovgivning forklares.

Kreditvurderingsbureauet fastsætter regler, som erhvervsdrivende skal overholde, hvis de ønsker at gøre produkter med digitale elementer tilgængelige på EU-markedet. Den fastsætter navnlig væsentlige cybersikkerhedskrav, som fabrikanterne skal overholde i forbindelse med design, udvikling og produktion af deres produkter med digitale elementer samt i den periode, hvor disse produkter forventes at være i brug. Produkter med digitale elementer er omfattet af kreditvurderingsbureauets anvendelsesområde, når de gøres tilgængelige på markedet, og deres tilsigtede formål eller anvendelse, som med rimelighed kan forudses, omfatter en direkte eller indirekte logisk eller fysisk dataforbindelse til en enhed eller et netværk.

Produkter med digitale elementer, der ikke gøres tilgængelige på markedet, dvs. som ikke leveres som led i en kommerciel aktivitet, er ikke omfattet af kreditvurderingsbureauet. Betragtning 18 præciserer yderligere, hvornår gratis og open source-software gøres tilgængelig på markedet.

Desuden er visse produkter med digitale elementer udelukket fra kreditvurderingsbureauets anvendelsesområde, navnlig når de er omfattet af anden EU-lovgivning.

Fabrikantens forpligtelser

Kreditvurderingsbureauets vigtigste forpligtelser er rettet mod fabrikanter, dvs. de fysiske eller juridiske personer, der bringer et produkt med digitale elementer i omsætning under deres navn eller varemærke. Sådanne forpligtelser er fastsat i artikel 13, som suppleres af forskellige bilag (og navnlig bilag I om de væsentlige cybersikkerhedskrav).

Ved udformning, udvikling og fremstilling af produktet med digitale elementer skal fabrikanten sikre, at det opfylder de væsentlige cybersikkerhedskrav. Med henblik herpå skal fabrikanten foretage en cybersikkerhedsrisikovurdering, som danner grundlag for gennemførelsen af de væsentlige krav, og som der skal tages hensyn til i produktets planlægnings-, design-, udviklings-, produktions-, leverings- og vedligeholdelsesfaser.

Hvis fabrikanten integrerer tredjepartskomponenter, skal denne udvise rettidig omhu, således at disse komponenter ikke bringer cybersikkerheden af vedkommendes produkt med digitale elementer i fare.

Cybersikkerhedsrisikovurderingen samt de midler, som fabrikanten vælger til at gennemføre de væsentlige krav (f.eks. standarder eller andre tekniske foranstaltninger), skal indgå i den tekniske dokumentation. Fabrikanten skal opbevare dokumentationen, så den står til rådighed for markedsovervågningsmyndighederne, da de kan anmode om den som led i deres håndhævelsesaktiviteter.

Inden produktet med digitale elementer bringes i omsætning, skal fabrikanten gennemføre den valgte overensstemmelsesvurderingsprocedure (se kapitel III for yderligere oplysninger om overensstemmelsesvurdering) og, hvis det lykkes, udarbejde EU-overensstemmelseserklæringen og anbringe CE-mærkningen på produktet.

Følgende oplysninger bør også gives sammen med produktet med digitale elementer:

• et type-, parti- eller serienummer eller en anden form for angivelse, ved hjælp af hvilken det kan identificeres
• sit navn, registrerede firmanavn eller registrerede varemærke
• postadresse, e-mailadresse eller andre digitale kontaktoplysninger
• hvor det er relevant, det websted, hvor fabrikanten kan kontaktes
• oplysninger og instrukser til brugeren som fastsat i bilag II, herunder slutdatoen for støtteperioden.

Fabrikanten skal fastsætte en supportperiode for sit produkt med digitale elementer, hvor fabrikanten sikrer, at det pågældende produkts sårbarheder håndteres effektivt i overensstemmelse med kravene til håndtering af sårbarheder (se bilag I). Slutdatoen for støtteperioden (herunder måned og år) skal angives klart og forståeligt på købstidspunktet.

Rapporteringsforpligtelser

Efter at produktet er bragt i omsætning, skal fabrikanten underrette aktivt udnyttede sårbarheder og alvorlige hændelser, der har indvirkning på sikkerheden af det produkt, som fabrikanten får kendskab til.

Fabrikanten skal indgive underretninger til enheden for reaktion på IT-sikkerhedshændelser (CSIRT) i den medlemsstat, hvor fabrikanten har sit hovedsæde, og til ENISA inden for følgende frister:

• 24 timer for en meddelelse om tidlig varsling
• 72 timer for hovedmeddelelsen
• en endelig rapport senest 14 dage efter, at en korrigerende eller afbødende foranstaltning er tilgængelig for aktivt udnyttede sårbarheder
• en endelig rapport senest en måned efter 72h-indberetningen om alvorlige hændelser.

Fabrikanten indgiver underretningerne via CRA's fælles indberetningsplatform, der er oprettet og vedligeholdes af Den Europæiske Unions Agentur for Cybersikkerhed, ENISA. Den CSIRT, der oprindeligt modtog underretningen, videreformidler underretningen til CSIRT'erne i andre medlemsstater, på hvis område produktet med digitale elementer er gjort tilgængeligt.

Rapporteringsforpligtelserne finder anvendelse på alle produkter med digitale elementer, der er gjort tilgængelige på EU-markedet, herunder produkter, der allerede er bragt i omsætning inden den 11. december 2027.

Det er også muligt for enhver fysisk eller juridisk person at underrette om sårbarheder, cybertrusler, hændelser og nærvedhændelser på frivillig basis gennem CRA's fælles indberetningsplatform.

Bemyndiget repræsentant

Fabrikanten kan ved skriftlig fuldmagt udpege en bemyndiget repræsentant til at udføre nogle af fabrikantens opgaver. Disse kan f.eks. omfatte opgaver i forbindelse med samarbejde med markedsovervågningsmyndighederne.

Importør

Importøren er en fysisk eller juridisk person, der er etableret i Unionen, og som bringer et produkt med digitale elementer, der er fremstillet uden for Unionen, i omsætning. Importøren skal sikre, at produktet er i overensstemmelse med kreditvurderingsbureauet, bl.a. ved at sikre, at fabrikanten har opfyldt de produktrelaterede væsentlige cybersikkerhedskrav og har indført processer til at opfylde forpligtelserne vedrørende håndtering af sårbarheder. at de relevante overensstemmelsesvurderingsprocedurer er blevet gennemført at den tekniske dokumentation er udarbejdet og at produktet er forsynet med CE-mærkning.

Importøren har også specifikke forpligtelser, når denne finder eller har grund til at tro, at et produkt med digitale elementer ikke er i overensstemmelse med kreditvurderingsbureauet, samt når vedkommende bliver opmærksom på en sårbarhed (f.eks. ved ikke at bringe det pågældende produkt i omsætning, før det igen er bragt i overensstemmelse med kravene, underretning af fabrikanten om sådanne sårbarheder). Den er også forpligtet til at samarbejde med markedsovervågningsmyndighederne for at eliminere de cybersikkerhedsrisici, som et produkt med digitale elementer, som den har bragt i omsætning, udgør.

Distributør

Distributøren er en fysisk eller juridisk person i forsyningskæden, bortset fra fabrikanten eller importøren, der gør et produkt med digitale elementer tilgængeligt på markedet uden at påvirke dets egenskaber. Distributøren skal kontrollere, at produkter med digitale elementer er forsynet med CE-mærkning, og at fabrikanter og importører har opfyldt visse forpligtelser, herunder at have tilføjet deres kontaktoplysninger på produktet, vedlagt oplysninger og instruktioner til brugerne og angivet supportperioden.

Distributøren har også specifikke forpligtelser, når denne finder eller har grund til at tro, at et produkt med digitale elementer ikke er i overensstemmelse med kreditvurderingsbureauet, samt når vedkommende bliver opmærksom på en sårbarhed (f.eks. ved ikke at gøre produktet tilgængeligt, før det igen er bragt i overensstemmelse med kravene, underretning af fabrikanten om sådanne sårbarheder). Den er også forpligtet til at samarbejde med markedsovervågningsmyndighederne for at fjerne de cybersikkerhedsrisici, der er forbundet med et produkt med digitale elementer, som den har gjort tilgængeligt på markedet.

Open source-programmører

I betragtning af betydningen for cybersikkerheden af mange produkter med digitale elementer, der kan betegnes som gratis open source-software, og som offentliggøres, men ikke gøres tilgængelige på markedet i henhold til kreditvurderingsbureauet, indfører artikel 24 forpligtelser for open source-softwareforvaltere. Der er tale om juridiske personer, der systematisk yder vedvarende støtte til udvikling af specifik gratis open source-software, der er beregnet til kommercielle aktiviteter, og som sikrer disse softwareprodukters levedygtighed.

Open source-softwareforvaltere skal have en cybersikkerhedspolitik for at fremme udviklingen af et sikkert produkt og effektiv håndtering af sårbarheder. at samarbejde med markedsovervågningsmyndighederne og træffe passende korrigerende foranstaltninger at indberette aktivt udnyttede sårbarheder, i det omfang de er involveret i udviklingen af produkter med digitale elementer, og alvorlige hændelser, i det omfang de påvirker net- og informationssystemer, der stilles til rådighed af open source-softwareforvaltere til udvikling af sådanne produkter.

Open source-softwareforvaltere pålægges ikke sanktioner for overtrædelser af kreditvurderingsbureauet.

Kapitel III indeholder yderligere bestemmelser om, hvordan produkter med digitale elementer kan drage fordel af en retlig formodning om overensstemmelse, hvis der anvendes harmoniserede europæiske standarder. hvordan EU-overensstemmelseserklæringen (og den forenklede udgave heraf) ser ud hvordan CE-mærkningen anbringes indholdet af den tekniske dokumentation, der skal udarbejdes og om de gældende overensstemmelsesvurderingsprocedurer.

Som nævnt ovenfor skal fabrikanten gennemføre en overensstemmelsesvurderingsprocedure for at kontrollere, at hans produkt opfylder de væsentlige krav, før han kan underskrive EU-overensstemmelseserklæringen, anbringe CE-mærkningen og bringe produktet i omsætning.

Generelt kan fabrikanten vælge mellem en selvvurderingsprocedure (den såkaldte interne kontrolprocedure baseret på modul A), en tredjepartsoverensstemmelsesvurderingsprocedure via et bemyndiget organ eller, hvor det er muligt og relevant, en europæisk cybersikkerhedscertificeringsordning. Sådanne ordninger må kun anvendes til at påvise overensstemmelse med kreditvurderingsbureauet, hvis Europa-Kommissionen har præciseret denne mulighed. Hvis et produkt med digitale elementer har kernefunktionaliteten i en vigtig eller kritisk produktkategori, kan fabrikanten dog ikke få tilladelse til at gøre brug af selvvurderingsproceduren. Produktkategorierne af vigtige og kritiske produkter med digitale elementer er opført i bilag III og IV, og deres tekniske beskrivelser er medtaget i en særskilt retsakt, der er vedtaget i overensstemmelse med kreditvurderingsbureauet.

Når et produkt er et vigtigt produkt med digitale elementer i klasse I, kan fabrikanten kun gøre brug af selvevalueringsproceduren, hvis han har anvendt harmoniserede standarder, fælles specifikationer (hvis de foreligger) eller gjort brug af en europæisk cybersikkerhedscertificeringsordning (hvis de foreligger og er relevante). ellers skal den underkastes en tredjepartsvurdering via et bemyndiget organ.

Fabrikanter af vigtige produkter i klasse II og kritiske produkter skal gennemgå en tredjepartsvurdering eller, hvor det er muligt og relevant, gøre brug af en europæisk cybersikkerhedscertificeringsordning.

Som en undtagelse kan fabrikanter af vigtige produkter med digitale elementer i klasse I og II, der er gratis og open source-software, gøre brug af selvevaluering, forudsat at de gør den tekniske dokumentation tilgængelig for offentligheden.

Overensstemmelsesvurderingsorganer er organer, der udfører overensstemmelsesvurderingsaktiviteter. For at gennemføre overensstemmelsesvurderingsprocedurer i overensstemmelse med kreditvurderingsbureauet skal en medlemsstat underrette Kommissionen og de øvrige medlemsstater om organer, der er bemyndiget til at foretage overensstemmelsesvurderinger. Anmeldelsen sendes via informationssystemet for anmeldte og udpegede organisationer efter den nye metode.

Et overensstemmelsesvurderingsorgan, der ønsker at blive notificeret, skal opfylde krav vedrørende en række aspekter, f.eks. at det er oprettet i henhold til national ret og har status som juridisk person. være uafhængige af de produkter, de vurderer, og upartiske have personale med den nødvendige tekniske kompetence.

Medlemsstaterne skal senest den 11. juni 2026 udpege bemyndigende myndigheder med ansvar for at indføre og gennemføre de nødvendige procedurer for vurdering, udpegelse og notifikation af overensstemmelsesvurderingsorganer. Medlemsstaterne kan vælge akkreditering for at vurdere sådanne organers kompetence. Bemyndigende myndigheder må kun notificere overensstemmelsesvurderingsorganer, der opfylder de gældende krav.

Når notifikationen er indgivet i overensstemmelse med artikel 43, anses overensstemmelsesvurderingsorganet for at være et bemyndiget organ. Den sikrer, at overensstemmelsesvurderinger foretages på en forholdsmæssigt afpasset måde, således at de erhvervsdrivende ikke pålægges unødvendige byrder. De udøver deres aktiviteter under behørig hensyntagen til virksomhedernes størrelse, navnlig for så vidt angår mikrovirksomheder og små og mellemstore virksomheder, herunder i forbindelse med gebyrer.

Hver medlemsstat skal udpege en eller flere markedsovervågningsmyndigheder, der er ansvarlige for at sikre en effektiv håndhævelse af kreditvurderingsbureauet.

Procedurerne vedrørende markedsovervågning er fastsat både i kapitel V og i forordning (EU) 2019/1020 om markedsovervågning og produktoverensstemmelse, som finder anvendelse på produkter med digitale elementer, der er omfattet af kreditvurderingsbureauets anvendelsesområde.

Markedsovervågningsmyndighederne kan yde vejledning og rådgivning til erhvervsdrivende, herunder fabrikanter, om gennemførelsen af kreditvurderingsbureauet med støtte fra Kommissionen og, hvor det er relevant, CSIRT'er og ENISA.

De kan gøre brug af en række procedurer, både på nationalt plan og på europæisk plan, til at evaluere produkter med digitale elementer, der udgør en betydelig cybersikkerhedsrisiko, og til at sikre, at de relevante erhvervsdrivende træffer korrigerende eller restriktive foranstaltninger. Markedsovervågningsmyndighederne skal holde Kommissionen og de øvrige medlemsstater underrettet om de foranstaltninger, de anmoder de erhvervsdrivende om at træffe. Markedsovervågningsmyndighederne i forskellige medlemsstater samarbejder med hinanden og kan gennemføre fælles aktiviteter og samtidige koordinerede kontrolaktioner (f.eks. kontrolaktioner) af bestemte produkter med digitale elementer.

Der nedsættes også en administrativ samarbejdsgruppe (ADCO) bestående af repræsentanter for de forskellige markedsovervågningsmyndigheder med henblik på en ensartet anvendelse af kreditvurderingsbureauet.

Kapitel VI giver Kommissionen beføjelse til at vedtage yderligere retsakter (delegerede retsakter og gennemførelsesretsakter) for at supplere kreditvurderingsbureauet eller fastsætte ensartede betingelser for dets anvendelse (f.eks. ved yderligere at præcisere visse begreber). Læs mere om gennemførelsesretsakter og delegerede retsakter.

Kommissionen har allerede vedtaget to yderligere retsakter, nemlig:

• Kommissionens delegerede forordning (EU) 2025/1535 af 29. juli 2025 om supplerende regler til Europa-Parlamentets og Rådets forordning (EU) 2024/2847 for så vidt angår udelukkelse fra anvendelsen af nævnte forordning for visse produkter med digitale elementer, der er omfattet af anvendelsesområdet for Europa-Parlamentets og Rådets forordning (EU) nr. 168/2013
• Kommissionens gennemførelsesforordning (EU) 2025/2392 af 28. november 2025 om den tekniske beskrivelse af kategorierne af vigtige og kritiske produkter med digitale elementer i henhold til Europa-Parlamentets og Rådets forordning (EU) 2024/2847

Kapitel VII fastsætter regler om fortrolighed, som alle parter, der er involveret i anvendelsen af kreditvurderingsbureauet, skal overholde, samt om sanktioner for overtrædelser, der skal fastsættes på nationalt plan.

Navnlig kan fabrikanter, der betragtes som mikrovirksomheder eller små virksomheder, ikke pålægges bøder for manglende overholdelse af fristen på 24 timer for indberetning af sårbarheder og alvorlige hændelser. og open source-softwareforvaltere for eventuelle overtrædelser af kreditvurderingsbureauet.

Kreditvurderingsbureauet trådte i kraft den 10. december 2024. Dens vigtigste bestemmelser finder anvendelse fra den 11. december 2027. Kapitel IV om notifikation af overensstemmelsesvurderingsorganer finder anvendelse fra den 11. juni 2026, mens rapporteringsforpligtelserne i artikel 14 finder anvendelse fra den 11. september 2026.

EU-typeafprøvningsattester og afgørelser om godkendelse, der er udstedt vedrørende cybersikkerhedskrav, forbliver gyldige indtil den 11. juni 2028, medmindre de udløber inden denne dato.

Produkter med digitale elementer, der er bragt i omsætning inden den 11. december 2027, er kun omfattet af kreditvurderingsbureauet, hvis de fra denne dato er genstand for en væsentlig ændring. Rapporteringsforpligtelserne finder anvendelse på alle produkter med digitale elementer, der er gjort tilgængelige på EU-markedet, herunder produkter, der allerede er bragt i omsætning inden den 11. december 2027.

Bilag I indeholder en liste over de væsentlige cybersikkerhedskrav og er opdelt i to afsnit.

Del I vedrører egenskaberne ved produkter med digitale elementer: Når fabrikanter bringer et produkt med digitale elementer i omsætning, sikrer de, at det er designet, udviklet og fremstillet i overensstemmelse med sådanne krav.

Del II vedrører kravene til håndtering af sårbarheder: Fabrikanterne sikrer, når de bringer et produkt med digitale elementer i omsætning, og i supportperioden, at sårbarheder i det pågældende produkt, herunder dets komponenter, håndteres effektivt og i overensstemmelse med sådanne krav.

Læs hele bilag I

Fabrikanterne skal sikre, at produkter med digitale elementer ledsages af de oplysninger og anvisninger til brugeren, der skal gives på et for brugere og markedsovervågningsmyndigheder letforståeligt sprog. De skal være klare, forståelige, forståelige og læselige. De skal muliggøre sikker installation, drift og anvendelse af produkter med digitale elementer.

Læs hele bilag II

Når et produkt med digitale elementer har den centrale funktionalitet i en produktkategori, der er fastsat i bilag III og IV, betragtes det som et vigtigt eller kritisk produkt med digitale elementer og er omfattet af de tilsvarende overensstemmelsesvurderingsprocedurer.

Læs bilag III for at finde ud af, hvilke produkter der er vigtige

Læs bilag IV for at finde ud af, hvilke produkter der er kritiske

Læs de tekniske beskrivelser af sådanne produkter

Hvis produktet med digitale elementers overensstemmelse med de væsentlige cybersikkerhedskrav er blevet dokumenteret ved den gældende overensstemmelsesvurderingsprocedure, udarbejder fabrikanten EU-overensstemmelseserklæringen. Bilag V og VI indeholder en model for en sådan angivelse, herunder en forenklet udgave.

Se bilag V for EU-overensstemmelseserklæringen.

Se bilag VI for den forenklede EU-overensstemmelseserklæring.

Inden et produkt med digitale elementer bringes i omsætning, skal fabrikanterne udarbejde den tekniske dokumentation og efterfølgende opbevare den, så den står til rådighed for markedsovervågningsmyndighederne. Bilag VI indeholder de elementer, som den tekniske dokumentation som minimum skal indeholde.

Læs bilag VII

Inden et produkt med digitale elementer bringes i omsætning, skal fabrikanterne gennemføre eller få gennemført de valgte overensstemmelsesvurderingsprocedurer, jf. artikel 32.

I bilag VIII specificeres de forskellige procedurer, som fabrikanten kan benytte afhængigt af artikel 32. Det drejer sig om:

• den interne kontrolprocedure (baseret på modul A)
• EU-typeafprøvningsproceduren (baseret på modul B) efterfulgt af typeoverensstemmelse på grundlag af intern produktionskontrol (baseret på modul C)
• en overensstemmelsesvurdering baseret på fuld kvalitetssikring (baseret på modul H), jf. bilag VIII.

Læs bilag VIII

Ofte stillede spørgsmål giver også en forenklet forklaring af de forskellige overensstemmelsesvurderingsmoduler.