EU:s rättelse från juli 2025 förtydligar att säkerhetsuppdateringar endast krävs under supportperioden. Mikro- och småföretag är undantagna från böter för vissa missade deadlines.
Sårbarhetshantering endast under supportperioden
I artikel 13(8) korrigerade rättelsen ett redaktionellt men avgörande fel. Den ursprungliga texten hänvisade till "[...] under den förväntade produktlivslängden och supportperioden [...]". Det läser nu korrekt:
> "[...] under supportperioden [...]"
Detta gör det tydligt: skyldigheten att adressera sårbarheter existerar endast under den supportperiod som definieras av tillverkaren, inte utöver den.
Detta förtydligande spelar roll särskilt för långlivade produkter, till exempel inom industri, maskinteknik eller medicinsk teknologi. Tillverkare kan själva definiera längden på supportperioden - med hänsyn till produktens avsedda syfte, användarförväntningar och jämförbara produkter. De är inte skyldiga att tillhandahålla säkerhetsuppdateringar utöver produktens realistiska livslängd.
Inga sanktioner för vissa rapporteringsskyldigheter för små företag
Ännu mer praktiskt relevant är förändringen i artikel 64(10). Den inledande meningen ändrades enligt följande:
> Från: "I motsats till paragraferna 3 till 9 [...]" > > Till: "I motsats till paragraferna 2 till 9 [...]"
Varför spelar det roll? Paragraf 2 av Cyber Resilience Act fastställer de hårdaste sanktionerna: böter upp till 15 miljoner EUR eller 2,5% av global omsättning för brott mot centrala tillverkarskyldigheter (t.ex. säker utveckling, sårbarhetshantering, riskanalys).
Med ändringen är det nu klart: dessa sanktioner gäller inte mikro- eller småföretag när de endast misslyckas med att uppfylla följande deadlines:
- Artikel 14(2)(a): deadline för att skicka in en tidig varning om en aktivt utnyttjad sårbarhet
- Artikel 14(4)(a): deadline för att skicka in en tidig varning om en allvarlig säkerhetsincident
Dessutom: underhållare av open-source-mjukvara är i princip undantagna från alla sanktioner i artikel 64(2) till (9).
Praktiska konsekvenser
Cyber Resilience Act ställer höga krav på tillverkare av produkter med digitala element - från IoT-enheter till industriella anläggningar. De senaste ändringarna ger viktiga förtydliganden:
- Skyldigheter att adressera sårbarheter gäller endast under den utlovade supportens varaktighet. Det undviker orealistiska krav.
- Mikro- och småföretag får mer tid och utrymme att sätta upp processer för rapportering av sårbarheter - utan omedelbar exponering för böter.
- Ändringarna förhindrar inte sanktioner för grova pliktförsummelser, men de säkerställer att mindre fel i nya rapporteringsprocesser inte straffas oproportionerligt.
Slutsats
Rättelsen från 2 juli 2025 är mer än redaktionell precision - den skapar rättsäkerhet, särskilt för medelstora tillverkare och start-ups. Förändringarna gör klart att Europeiska kommissionen tar proportionalitet i genomförandet av Cyber Resilience Act på allvar.