Gjennomføringsforordningen om tekniske produktkategorier under CRA

Kommisjonsgjennomføringsforordning (EU) 2025/2392 av 28. november 2025 om de tekniske beskrivelsene av kategoriene av viktige og kritiske produkter med digitale elementer i henhold til forordning (EU) 2024/2847 (Cyber Resilience Act)

Commission Implementing Regulation (EU) 2025/2392 of 28 November 2025 on the technical description of the categories of important and critical products with digital elements pursuant to Regulation (EU) 2024/2847 of the European Parliament and of the Council

EØS-notat | 10.04.2026 | EØS-notatbasen

Sakstrinn

Faktanotat
Foreløpig posisjonsnotat
Posisjonsnotat
Gjennomføringsnotat

Opprettet 02.03.2026

Spesialutvalg: Indre marked

Dato sist behandlet i spesialutvalg: 11.03.2026

Hovedansvarlig(e) departement(er): Digitaliserings- og forvaltningsdepartementet

Vedlegg/protokoll i EØS-avtalen: Vedlegg II. Tekniske forskrifter, standarder, prøving og sertifisering

Kapittel i EØS-avtalen: XIX. Generelle bestemmelser innen området tekniske handelshindringer

Status

Gjennomføringsforordningen ble vedtatt i EU 28. november 2025

Gjennomføringsforordningen er under vurdering i EØS-/EFTA-statene

Sammendrag av innhold

Inneholder tre tekniske vedlegg med fullstendige kategoribeskrivelser:

Annex I: Important Products – Class I
Annex II: Important Products – Class II
Annex III: Critical Products

Introduksjon av core functionality principle:
Produktets hovedfunksjon avgjør klassifisering, ikke sekundære eller innebygde funksjoner.

Fastsetter hvilke produkter som krever:

selvsertifisering,
tredjeparts konformitetsvurdering,
eller mulig EUcybersertifisering

Merknader
Rettslige konsekvenser

Forordningen har EØSrelevans, noe som følger av at hovedforordningen (CRA) er vurdert som EØSrelevant og skal innlemmes.

Rettsakten er EØSgjennomføringsklar, og kan tas inn i EØSavtalen uten behov for særlige tilpasninger

Forordningen er en gjennomføringsforordning som vil være direkte anvendelig i norsk rett når CRA er innlemmet i EØSavtalen.

Økonomiske og administrative konsekvenser

Ingen vesentlige administrative endringer, tilsynsmyndighet avhengig av sektor må forholde seg til nye tekniske klassifiseringer

Sakkyndige instansers merknader

Rettsakten behandles i spesialutvalget for indre marked hvor alle departementer er representert.

Norge kan støtte rettsakten som nødvendig for å sikre konsistent praktisering av CRA.
Viktig å følge utviklingen av harmoniserte standarder for å sikre at virksomheter får klare rammer for etterlevelse.
Rettsakten gir betydelig klarhet og forutsigbarhet for produsenter.
Harmonisering reduserer regulatorisk usikkerhet og styrker cybersikkerheten i det indre marked.
Vurderes som samfunnsøkonomisk nyttig.

Vurdering

Det vurderes at en regulering som fastsetter horisontale krav til digitale produkter og tilleggstjenester, herunder CRA, vil bidra til økt cybersikkerhet i Norge som i resten av EU/EØS. Norge har ikke nasjonale regler som ivaretar de utfordringene som er skissert knyttet til cybersikkerhet. En regulering på EU/EØS nivå vurderes som hensiktsmessig. Gjennomføringsforordningen gir klarhet og forutsigbarhet for produsenter og harmonisering reduserer regulatorisk usikkerhet som styrker cybersikkerhet i det indre marked.

Andre opplysninger

Det anses som sansynlig at gjennomføringsforordningen vil kunne behandles under hutrigprosedyre etter at CRA er implementert i norsk rett.

Nøkkelinformasjon

Institusjon:	Kommisjonen
Type rettsakt:	Forordning
KOM-nr.:
Rettsaktnr.:	(EU) 2025/2392
Basis rettsaktnr.:	(EU) 2024/2847
Celexnr.:	32025R2392

EFTA-prosessen

Dato mottatt standardskjema:	03.12.2025
Frist returnering standardskjema:	25.03.2026
Dato returnert standardskjema:
EØS-relevant:	Ja
Akseptabelt:	Ja
Tekniske tilpasningstekster:	Nei
Materielle tilpasningstekster:	Nei
Art. 103-forbehold:	Ja

Norsk regelverk

Endring av norsk regelverk:	Ja
Høringsstart:
Høringsfrist:
Frist for gjennomføring:

Fylker og kommuner

Berører fylker og kommuner i vesentlig grad.

Lenker

EU-tidende