הנציבות האירופית פרסמה לפני ימים אחדים טיוטת הנחיות (Draft Guidance) ליישום חוק החוסן בסייבר של האיחוד האירופי (Cyber Resilience Act – CRA). 

החוק, שהתקבל ב-10 בדצמבר 2024, קובע דרישות אבטחת סייבר למוצרים עם רכיבים דיגיטליים המשווקים בשוק האירופי, החל ממוניטורים לתינוקות ושעונים חכמים ועד למערכות תעשייתיות ותוכנות עצמאיות. לפי החוק, חובות הדיווח על פגיעויות (Vulernabilities) ואירועים ייכנסו לתוקף בעוד כחצי שנה בעוד שיתר החובות בחוק יחולו מ-11 בדצמבר 2027. הפרסום המוקדם של ההנחיות נועד לאפשר לחברות להיערך מראש.

ההנחיות, מונות כ-70 עמודים ומלוות בדוגמאות מעשיות רבות. ההנחיות עצמן אינן מחייבות משפטית, אך הן משקפות את פרשנות הנציבות לחוק ונועדו לתמוך ביישום אחיד ברחבי האיחוד. טעם נוסף לפרסום ההנחיות הוא הוראה בחוק, שמחייבת את הנציבות לפרסם הנחיות כאלה, כיד להקל על ארגונים קטנים ובינוניים.

ההנחיות מתמקדות במספר נושאים מרכזיים. בתחום היקף התחולה, הן מבהירות מתי מוצר נחשב כ"הונח בשוק" (placed on the market) לרבות תוכנות עצמאיות המופצות בערוצים דיגיטליים. לגבי תוכנה, ההנחיות קובעות כי כל העותקים של גרסה מסוימת נחשבים כמונחים בשוק ברגע שהגרסה הופכת זמינה לראשונה, ללא תלות במועד ההורדה בפועל. בנוסף, ההנחיות מספקות הבהרות לגבי מוצרים מורכבים, קוד מקור, ומוצרים שתוכננו לפני כניסת החוק, תוך הכרה בכך שאין צורך בעיצוב מחדש של המוצר כאשר הערכת סיכונים מוכיחה שמוצר קיים כבר עומד בדרישות.

פרק נרחב במיוחד מוקדש לתוכנה חופשית וקוד פתוח. הנחיות כוללות תרשים זרימה ודוגמאות רבות שנועדו לסייע לקהילת הקוד הפתוח להבין מתי תוכנה כזו נכנסת לתחולת החוק. העיקרון המנחה הוא שתוכנה חופשית שאינה ממוסחרת (Monetized) ואינה משווקת במסגרת פעילות מסחרית אינה נחשבת כמונחת בשוק, ולכן אינה כפופה לחובות המלאות של החוק. עם זאת, ישויות משפטיות המספקות תמיכה קבועה לתוכנות כאלה עשויות להיחשב "נאמני קוד פתוח" (Open-Source Software Stewards) ולהיות כפופות לחובות מצומצמות. ההנחיות גם מבהירות כי תרומות קוד שנאספות על בסיס וולונטרי, ללא התניית גישה למוצר, אינן הופכות תוכנה לממוסחרת.

נושא מרכזי נוסף הוא "שינוי מהותי" (substantial modification). ההנחיות מפרטות מתי עדכון תוכנה נחשב לשינוי מהותי המחייב הערכת תאימות מחודשת להוראות החוק, תוך הבחנה בין עדכוני אבטחה שוטפים (שאינם מהווים שינוי מהותי) לבין שינויים המשנים את ייעוד המוצר או מכניסים סיכוני סייבר חדשים.
ההנחיות מטפלות גם בנושא "פתרונות עיבוד נתונים מרחוק" ומבהירות מתי שירותי ענן ורכיבי back-end נחשבים חלק מהמוצר הכפוף לחוק. הכלל הוא שתוכנה שפותחה על ידי היצרן או באחריותו, ושהיעדרה ימנע מהמוצר הכולל לבצע אחת מהפונקציות שלו, נחשבת לפתרונות עיבוד נתונים מרחוק ולכן כפופה לחוק. שירותי צד שלישי כדוגמת SaaS אינם נחשבים פתרונות עיבוד נתונים מרחוק אך היצרן נדרש לנהוג בהם כרכיבים משולבים במוצר הכולל שלו, ולבצע להם בדיקת נאותות.

ההנחיות גם עוסקות בתקופות תמיכה, וקובעות כי ככלל, היא תהיה חמש שנים לפחות, אלא אם המוצר צפוי לשימוש לתקופה קצרה יותר. עם זאת, ההנחיות מדגישות כי חמש שנים אינן ברירת המחדל לכל המוצרים, וכי על יצרנים לקבוע את תקופת התמיכה ההולמת בהתחשב בקריטריונים שנקבעו בחוק. לגבי מוצרי תוכנה מתפתחים, היצרן רשאי להפסיק את תיקון הפגיעויות בגרסאות קודמות כאשר המשתמשים יכולים לעבור לגרסה העדכנית ללא עלות נוספת.

ההנחיות גם מפרטות את סיווג מוצרים כ"חשובים" או "קריטיים" – סיווג המשליך על הדרישות שהחוק מחיל על המוצר. יצרנים צריכים לקבוע את הסיווג של המוצר שלהם על בסיס פונקציונליות ליבה, וההנחיות מחדדות כי עצם השילוב של רכיב שהוא עצמו מסווג כמוצר חשוב או קריטי אינו הופך את המוצר כולו לחשוב או קריטי. כך למשל, טלפון חכם המשלב מערכת הפעלה אינו נחשב למוצר בעל פונקציונליות ליבה של מערכת הפעלה. 

ההנחיות מרחיבות גם על אודות תהליכי הערכת תאימות, חובות דיווח על פגיעויות מנוצלות (Exploited Vulnerabilities) ואירועי אבטחה חמורים (התראה ראשונית תוך 24 שעות, דיווח מורחב תוך 72 שעות). הנציבות מזמינה הערות לטיוטה עד ל-31 במרץ 2026. מקור: הודעת נציבות האיחוד האירופי.