EU-korrigeringen från juli 2025 förtydligar att säkerhetsuppdateringar endast krävs under supportperioden. SME är undantagna från böter för vissa missade deadlines.
Sårbarhetshantering endast under supportperioden
I artikel 13 paragraf 8 korrigerade korrigeringen ett redaktionellt men avgörande fel. Ursprungligen hänvisade texten till "[…] under den förväntade produktlivstiden och supportperioden […]". Det lyder nu korrekt:
"[…] under supportperioden […]"
Detta gör det klart: skyldigheten att addressera sårbarheter existerar endast under supportperioden som definieras av tillverkaren, inte utöver den perioden.
Detta förtydligande är särskilt viktigt för långlivade produkter inom sektorer som industri, maskinteknik eller medicinteknik. Tillverkare får definiera supportperiodens längd själva - med hänsyn till avsett syfte, användarförväntningar och jämförbara produkter. De är inte skyldiga att tillhandahålla säkerhetsuppdateringar utöver produktens realistiska livstid.
Inga sanktioner för vissa rapporteringsförpliktelser för små företag
Ännu mer praktiskt relevant är ändringen av artikel 64 paragraf 10. Inledningsmeningens ändrades enligt följande:
Från: "Som undantag från paragraferna 3 till 9 […]"
Till: "Som undantag från paragraferna 2 till 9 […]"
Varför spelar detta roll? Paragraf 2 i Cyber Resilience Act innehåller de hårdaste sanktionerna: böter på upp till 15 miljoner EUR eller 2,5% av global omsättning för brott mot centrala tillverkarförpliktelser (till exempel säker utveckling, sårbarhetshantering, riskanalys).
Med denna förändring är det nu klart: dessa sanktioner gäller inte för mikro- eller småföretag när de endast missar följande deadlines:
- Artikel 14(2)(a): deadline för inlämning av tidig varning om aktivt utnyttjad sårbarhet
- Artikel 14(4)(a): deadline för inlämning av tidig varning om allvarlig säkerhetsincident
Dessutom är underhållare av programvara med öppen källkod i princip undantagna från alla sanktioner enligt artikel 64 paragraferna 2 till 9.
Praktiska implikationer
Cyber Resilience Act ställer höga krav på tillverkare av produkter med digitala element - från IoT-enheter till industriella installationer. De senaste ändringarna ger viktiga förtydliganden:
- Förpliktelser att addressera sårbarheter gäller endast under den utlovade supportens varaktighet. Detta förhindrar orealistiska krav.
- Mikro- och småföretag får mer tid och utrymme att bygga processer för rapportering av sårbarheter - utan att omedelbart möta böter.
- Förändringarna förhindrar inte sanktioner för allvarliga pliktbrott, men de säkerställer att enkla förbiseenden i nya rapporteringsprocesser inte straffas oproportionerligt.
Slutsats
Korrigeringen från 2 juli 2025 är mer än redaktionell precision - den skapar rättssäkerhet, särskilt för medelstora tillverkare och startups. Ändringarna visar att EU-kommissionen tar proportionalitet i implementeringen av Cyber Resilience Act på allvar.
Förtydligandena ger större rättssäkerhet men väcker också nya gränsfrågor. Om du vill förstå vilka förpliktelser som gäller för ditt företag och var det finns handlingsutrymme, kan detta förtydligas i ett icke-bindande samtal.