Rammeverk for digitale produkters og tjenesters robusthet: teknisk beskrivelse av kategoriene viktig og kritisk

Rammeverk for digitale produkters og tjenesters robusthet: teknisk beskrivelse av kategoriene viktig og kritisk

Kommisjonens gjennomføringsforordning (EU) 2025/2392 av 28. november 2025 om en teknisk beskrivelse av kategoriene for viktige og kritiske produkter med digitale elementer i henhold til europaparlaments- og rådsforordning (EU) 2024/2847

Commission Implementing Regulation (EU) 2025/2392 of 28 November 2025 on the technical description of the categories of important and critical products with digital elements pursuant to Regulation (EU) 2024/2847 of the European Parliament and of the Council
Handelsforenklinger

EØS-notat offentliggjort 13.3.2026

Tidligere

  • Utkast til forordning lagt fram av Kommisjonen 13.3.2025 med tilbakemeldingsfrist 10.4.2025
  • Kommisjonsforordning publisert i EU-tidende 1.12.2025

Bakgrunn

(fra departementets EØS-notat, sist oppdatert 4.3.2026)

Sammendrag av innhold

Inneholder tre tekniske vedlegg med fullstendige kategoribeskrivelser: 

  • Annex I: Important Products – Class I
  • Annex II: Important Products – Class II
  • Annex III: Critical Products

Introduksjon av core functionality principle: 
Produktets hovedfunksjon avgjør klassifisering, ikke sekundære eller innebygde funksjoner. 
 

Fastsetter hvilke produkter som krever: 

  • selvsertifisering,
  • tredjeparts konformitetsvurdering,
  • eller mulig EUcybersertifisering

Merknader
Rettslige konsekvenser

Forordningen har EØSrelevans, noe som følger av at hovedforordningen (CRA) er vurdert som EØSrelevant og skal innlemmes.

Rettsakten er EØSgjennomføringsklar, og kan tas inn i EØSavtalen uten behov for særlige tilpasninger

Forordningen er en gjennomføringsforordning som vil være direkte anvendelig i norsk rett når CRA er innlemmet i EØSavtalen. 

Økonomiske og administrative konsekvenser

Ingen vesentlige administrative endringer, tilsynsmyndighet avhengig av sektor må forholde seg til nye tekniske klassifiseringer

Sakkyndige instansers merknader

Rettsakten behandles i spesialutvalget for indre marked hvor alle departementer er representert.

  • Norge kan støtte rettsakten som nødvendig for å sikre konsistent praktisering av CRA.
  • Viktig å følge utviklingen av harmoniserte standarder for å sikre at virksomheter får klare rammer for etterlevelse.
  • Rettsakten gir betydelig klarhet og forutsigbarhet for produsenter.
  • Harmonisering reduserer regulatorisk usikkerhet og styrker cybersikkerheten i det indre marked.
  • Vurderes som samfunnsøkonomisk nyttig. 

Vurdering

Det vurderes at en regulering som fastsetter horisontale krav til digitale produkter og tilleggstjenester, herunder CRA,  vil bidra til økt cybersikkerhet i Norge som i resten av EU/EØS. Norge har ikke nasjonale regler som ivaretar de utfordringene som er skissert knyttet til cybersikkerhet. En regulering på EU/EØS nivå vurderes som hensiktsmessig. Gjennomføringsforordningen gir klarhet og forutsigbarhet for produsenter og harmonisering reduserer regulatorisk usikkerhet som styrker cybersikkerhet i det indre marked. 

Andre opplysninger

Det anses som sansynlig at gjennomføringsforordningen vil kunne behandles under hutrigprosedyre etter at CRA er implementert i norsk rett.

Status

Gjennomføringsforordningen ble vedtatt i EU 28. november 2025

Gjennomføringsforordningen er under vurdering i EØS-/EFTA-statene

Progresjon
  1. EU-forslag
  2. EU-forslag vedtatt og publisert
    EØS/EFTA-landene vurderer EØS-relevans og -innlemmelse
  3. EØS/EFTA og EU diskuterer
  4. EØS-komitebeslutning vedtatt
  5. Ferdigbehandlet