Cyber Resilience Act (CRA) 2026–2027: τι γνωρίζουμε ήδη, τι δεν υπάρχει ακόμη και πώς να προετοιμάσετε ρεαλιστικά το προϊόν — πριν εμφανιστούν τα εναρμονισμένα πρότυπα

Τι γνωρίζουμε σήμερα με βεβαιότητα (και γιατί δεν είναι «θέμα για το 2027»)

Ο Cyber Resilience Act μπορεί να μοιάζει με ένα ακόμη έγγραφο «από τις Βρυξέλλες», που θα μπορούσε να μετατεθεί για αργότερα. Είναι μια φυσική αντίδραση, ιδίως όταν μια εταιρεία λειτουργεί στον ρυθμό των έργων: πρωτότυπο, υλοποίηση, σειριακή παραγωγή, σέρβις. Οι κανονιστικές απαιτήσεις συχνά εμφανίζονται ως «τελική απαίτηση» — κάτι που κλείνει στο τέλος. Το CRA αλλάζει αυτή τη λογική, γιατί δεν αφορά μόνο ό,τι φαίνεται στο προϊόν την ημέρα της πώλησης. Αφορά το αν ο κατασκευαστής μπορεί να διατηρεί την ασφάλεια του προϊόντος στον χρόνο και να αποδείξει ότι το έκανε συνειδητά, όχι κατά τύχη.

Το σημαντικότερο γεγονός είναι απλό, αλλά έχει στρατηγικές συνέπειες: το CRA είναι κανονισμός για προϊόντα, ενταγμένος στον μηχανισμό της αγοράς της ΕΕ (συμπεριλαμβανομένης της σήμανσης CE). Η Ευρωπαϊκή Επιτροπή αναφέρει ρητά ότι τα προϊόντα θα πρέπει να φέρουν σήμανση CE ως ένδειξη συμμόρφωσης με το CRA και ότι η επιβολή ανήκει στις αρχές εποπτείας της αγοράς. Δεν πρόκειται, λοιπόν, για ένα «πρότυπο IT» που μπορεί να αντιμετωπιστεί ως εσωτερικό πρόγραμμα βελτίωσης. Είναι ένα πλαίσιο που επηρεάζει τη δυνατότητα διάθεσης στην αγορά.

Ημερομηνίες που βάζουν τάξη στη σκέψη

Στο ίδιο το κείμενο του κανονισμού (ΕΕ) 2024/2847 φαίνεται η σταδιακή εφαρμογή. Το CRA εφαρμόζεται από τις 11 Δεκεμβρίου 2027, αλλά με σαφείς εξαιρέσεις. Το άρθρο 14 (αναφορά/κοινοποίηση) εφαρμόζεται από τις 11 Σεπτεμβρίου 2026, ενώ το κεφάλαιο για την κοινοποίηση των φορέων αξιολόγησης της συμμόρφωσης (Κεφάλαιο IV) από τις 11 Ιουνίου 2026. Αυτές είναι τρεις ημερομηνίες που αξίζει να αντιμετωπιστούν ως «ορόσημα», γιατί αντιστοιχούν σε τρεις διαφορετικούς τύπους ετοιμότητας: επιχειρησιακή, θεσμική και προϊοντική.

Η Επιτροπή το επικοινωνεί ακόμη πιο απλά: το CRA τέθηκε σε ισχύ στις 10 Δεκεμβρίου 2024, οι βασικές υποχρεώσεις από τις 11 Δεκεμβρίου 2027 και η αναφορά/κοινοποίηση από τις 11 Σεπτεμβρίου 2026. Αν κάποιος στην εταιρεία λέει «έχουμε χρόνο μέχρι το 2027», συνήθως εννοεί τις απαιτήσεις σχεδιασμού και την αξιολόγηση της συμμόρφωσης. Όμως η αναφορά/κοινοποίηση είναι νωρίτερα και αφορά συμβάντα που δεν περιμένουν το χρονοδιάγραμμα.

Αναφορά/κοινοποίηση: υποχρέωση που επιβάλλει διαδικασία (όχι ένα έγγραφο)

Η απαίτηση αναφοράς/κοινοποίησης είναι ένα καλό «τεστ λυδίας», γιατί δείχνει πώς το CRA αντιλαμβάνεται την «κυβερνοασφάλεια του προϊόντος». Δεν είναι δήλωση προθέσεων ούτε «πολιτική». Είναι μια διαδικασία που πρέπει να λειτουργήσει σε συνθήκες πίεσης: όταν εμφανίζεται μια ευπάθεια που αξιοποιείται ενεργά ή ένα σοβαρό περιστατικό.

Η Επιτροπή το περιγράφει ξεκάθαρα: ο κατασκευαστής οφείλει να δηλώνει ευπάθειες που αξιοποιούνται ενεργά καθώς και σοβαρά περιστατικά που επηρεάζουν την ασφάλεια του προϊόντος. Απαιτείται «έγκαιρη προειδοποίηση» εντός 24 ωρών από τη στιγμή που αποκτάται γνώση, πλήρης κοινοποίηση εντός 72 ωρών και τελική αναφορά: έως 14 ημέρες μετά τη διαθεσιμότητα διορθωτικού μέτρου για ευπάθειες που αξιοποιούνται ενεργά και εντός ενός μήνα για σοβαρά περιστατικά.

Στην πράξη αυτό σημαίνει ότι ο οργανισμός χρειάζεται κάτι περισσότερο από μια λίστα ελέγχου. Χρειάζεται έναν μηχανισμό που να απαντά σε τρία ερωτήματα: από πού θα μάθουμε ότι υπάρχει πρόβλημα· ποιος θα κρίνει αν πρόκειται ήδη για «ενεργά αξιοποιούμενη» ευπάθεια ή «σοβαρό»· και πώς θα οργανώσουμε τη ροή πληροφόρησης και τη διόρθωση μέσα σε χρόνο που δεν αφήνει περιθώριο για αυτοσχεδιασμούς.

Αν στις εκπαιδεύσεις επικρατεί χάος, συχνά συμβαίνει επειδή το CRA πέφτει στο κενό ανάμεσα στο IT και στο προϊόν. Για το IT, ένα «περιστατικό» μπορεί να είναι ένα συμβάν στην υποδομή. Για τον κατασκευαστή, «περιστατικό» είναι ένα συμβάν που αφορά το προϊόν στον πελάτη, την έκδοση, τη διαμόρφωση, τον τρόπο εγκατάστασης/υλοποίησης. Το CRA επιβάλλει τη σύνδεση αυτών των κόσμων σε μία ενιαία ευθύνη.

Τι καλύπτει το CRA: το προϊόν ως σχέση με το δίκτυο, όχι «μια συσκευή πάνω στο τραπέζι»

Στην πράξη, στις αξιολογήσεις κινδύνου μηχανών μάθαμε ότι ο κίνδυνος δεν είναι χαρακτηριστικό της ίδιας της μηχανής — προκύπτει στη σχέση άνθρωπος–μηχανή. Στο CRA υπάρχει μια παρόμοια μετατόπιση οπτικής: η ασφάλεια δεν «κατοικεί στη συσκευή», αλλά στη σχέση του προϊόντος με το ψηφιακό περιβάλλον, στον τρόπο χρήσης και στην ικανότητα του κατασκευαστή να ανταποκρίνεται.

Η Επιτροπή, συνοψίζοντας το CRA, εφιστά την προσοχή στον ορισμό των «προϊόντων με ψηφιακά στοιχεία» και στο ότι οι υποχρεώσεις αναφοράς/κοινοποίησης αφορούν όλα αυτά τα προϊόντα που διατίθενται στην αγορά της ΕΕ — ακόμη και εκείνα που είχαν τεθεί στην αγορά πριν από τις 11 Δεκεμβρίου 2027. Πρόκειται για κρίσιμη διευκρίνιση, γιατί καταρρίπτει έναν συχνό μύθο: «για τα παλιά προϊόντα δεν έχει σημασία». Η αναφορά/κοινοποίηση — έχει.

Τι ακόμη δεν υπάρχει (εναρμονισμένα πρότυπα) και γιατί αυτό δεν πρέπει να παραλύει

Στις συζητήσεις για το CRA συχνά εμφανίζεται ο ισχυρισμός: «δεν υπάρχουν ακόμη εναρμονισμένα πρότυπα, άρα δεν γίνεται να κάνουμε τίποτα». Ακούγεται λογικό, αλλά κρύβει μια παγίδα. Τα εναρμονισμένα πρότυπα είναι ένα εργαλείο που διευκολύνει την απόδειξη συμμόρφωσης (τεκμήριο συμμόρφωσης), όμως δεν αποτελούν τη μοναδική οδό για να χτιστεί πραγματική ασφάλεια προϊόντος. Και δεν είναι προϋπόθεση για να ξεκινήσει κανείς να σχεδιάζει σωστά.

Η Επιτροπή χειρίζεται ρητά το θέμα των προτύπων μέσω της σελίδας «CRA Standardisation» και ενημερώνει ότι έχει εγκρίνει το standardisation request M/606, το οποίο καλύπτει ένα σύνολο 41 προτύπων που υποστηρίζουν το CRA — τόσο οριζόντιων όσο και κάθετων (ανά προϊόν). Αυτό είναι σημαντικό, γιατί δείχνει ότι η ΕΕ κατανοεί το πρόβλημα της αγοράς: χωρίς πρότυπα, οι εταιρείες θα «χτίζουν» τη συμμόρφωση η καθεμία με τον δικό της τρόπο και η εποπτεία της αγοράς θα δυσκολεύεται περισσότερο.

Οριζόντια και κάθετα πρότυπα: τι σημαίνει αυτό για τον κατασκευαστή

Απλουστευμένα:

• τα οριζόντια πρότυπα περιγράφουν το «πώς» να σχεδιάζεται και να διατηρείται η ασφάλεια του προϊόντος ανεξάρτητα από την κατηγορία (διαδικασίες, μέθοδοι, προσέγγιση βάσει κινδύνου),
• τα κάθετα πρότυπα εξειδικεύουν τις απαιτήσεις για συγκεκριμένες κλάσεις προϊόντων (εκεί όπου οι κίνδυνοι και οι αρχιτεκτονικές είναι τυπικοί).

Αυτή η διάκριση έχει πρακτικές συνέπειες. Αν αναπτύσσεις ένα βιομηχανικό προϊόν, όπου μέρος του περιβάλλοντος είναι «OT» και ο κύκλος ζωής είναι μακρύς, θα χρειαστείς πρότυπα που δεν έχουν γραφτεί με γνώμονα μια εφαρμογή SaaS. Και ακριβώς γι’ αυτό τα κάθετα πρότυπα έχουν σημασία: βοηθούν να περάσεις από το επίπεδο των γενικών αρχών στο τι πρέπει να ελέγχεται σε πραγματικές αρχιτεκτονικές.

Χρονοδιάγραμμα εργασιών: τα πρότυπα θα έρχονται σταδιακά, όχι «σε ένα πακέτο πριν το 2027»

Η Επιτροπή, στα υλικά για την εφαρμογή του CRA, δείχνει ότι το CRA υλοποιείται σταδιακά και ότι τα πρότυπα θα στηρίζουν αυτή τη διαδικασία με την πάροδο του χρόνου. Σε επίπεδο δεδομένων που είναι σήμερα βέβαια: έχουμε ένα τυπικά εγκριθέν κανονιστικό κείμενο και έχουμε ενεργοποιημένο τον μηχανισμό τυποποίησης (M/606).

Για την πράξη, το πιο σημαντικό είναι να κατανοηθεί μία πρόταση: ακόμη κι όταν ένα πρότυπο εκπονηθεί από τους οργανισμούς τυποποίησης, το «τεκμήριο συμμόρφωσης» με νομική έννοια εμφανίζεται μόνο όταν η παραπομπή στο πρότυπο δημοσιευθεί ως εναρμονισμένο πρότυπο στην Επίσημη Εφημερίδα της ΕΕ. Αυτή είναι η κοινή «μηχανική» της ενωσιακής προσέγγισης στην εναρμόνιση: τα πρότυπα είναι η γέφυρα ανάμεσα στο δίκαιο και την πρακτική της μηχανικής, αλλά η γέφυρα πρέπει να «αναγνωριστεί» επίσημα από την ΕΕ.

Από την πλευρά του κατασκευαστή αυτό σημαίνει ότι τα έτη 2026–2027 θα είναι μια περίοδος κατά την οποία ορισμένες εταιρείες θα λειτουργούν με βάση τις δικές τους μεθόδους απόδειξης συμμόρφωσης (βάσει κινδύνου + τεκμήρια), ενώ άλλες θα χαρτογραφούν ήδη τις απαιτήσεις τους πάνω στα πρότυπα που θα αρχίζουν να εμφανίζονται. Και αυτό είναι απολύτως φυσιολογικό.

«Έλλειψη προτύπων» δεν σημαίνει «έλλειψη υποχρέωσης» — σημαίνει μεγαλύτερη βαρύτητα στα τεκμήρια

Εδώ προκύπτει μια ουσιαστική συνέπεια: όταν δεν υπάρχουν πρότυπα που να δίνουν την πιο απλή διαδρομή για την απόδειξη συμμόρφωσης, αυξάνεται η σημασία αυτού που στην ελεγκτική πρακτική είναι πάντα καθοριστικό: ένα συνεκτικό ίχνος λήψης αποφάσεων.

Ποιους κινδύνους αξιολογήσαμε; Ποια σενάρια θεωρήσαμε ρεαλιστικά; Πώς επιλέξαμε τα μέτρα προστασίας; Πώς διαχειριζόμαστε τις ευπάθειες; Για πόσο διάστημα υποστηρίζουμε το προϊόν; Πώς ενημερώνουμε τον πελάτη; Το CRA δεν απαιτεί από τον κατασκευαστή να «μαντεύει τα μελλοντικά EN-πρότυπα». Απαιτεί να μπορεί να δείξει ότι οι αποφάσεις του δεν ήταν τυχαίες, αλλά βασισμένες στον κίνδυνο και στο state of the art.

Πώς να προετοιμάσεις ρεαλιστικά ένα προϊόν για το CRA (οδικός χάρτης για κατασκευαστή και ολοκληρωτή)

Η μεγαλύτερη αξία του CRA είναι ότι επιβάλλει ωριμότητα: η κυβερνοασφάλεια παύει να είναι «πρόσθετο» του προϊόντος και γίνεται εγγενές χαρακτηριστικό του. Μόνο που η ωριμότητα δεν γεννιέται από δηλώσεις. Γεννιέται από μια διαδικασία αρκετά ακριβή ώστε να λειτουργεί στην πράξη και αρκετά απλή ώστε η μηχανική να μην αρχίσει να την παρακάμπτει.

Στην εκτίμηση κινδύνου μηχανών, οι καλύτερες σχεδιαστικές αποφάσεις εμφανίζονται όταν σταματάμε να ρωτάμε «ποιοι κίνδυνοι έχει η μηχανή» και αρχίζουμε να ρωτάμε «σε ποιες εργασίες και καταστάσεις εκτίθεται ο άνθρωπος». Στο CRA, αντίστοιχα: σταματάμε να ρωτάμε «ποιες ευπάθειες έχει το προϊόν» και αρχίζουμε να ρωτάμε «υπό ποιες συνθήκες το προϊόν γίνεται εκτεθειμένο και τι μπορεί να κάνει τότε ο κατασκευαστής». Αυτή η μετατόπιση βάζει τάξη στη δουλειά.

Βήμα 1: Όρισε το προϊόν ως σύστημα (και όχι ως συσκευή)

Ξεκίνα ορίζοντας τι είναι, στη δική σου περίπτωση, το «προϊόν με ψηφιακά στοιχεία». Όχι μόνο το hardware και το firmware, αλλά και ό,τι συχνά παραλείπεται επειδή «δεν χωράει στο κουτί»: εξαρτήματα, βιβλιοθήκες, μηχανισμοί ενημερώσεων, υπηρεσίες χωρίς τις οποίες το προϊόν δεν επιτελεί τη λειτουργία του. Στο CRA αυτό είναι κρίσιμο, γιατί η ευθύνη του κατασκευαστή αφορά αυτό που διατίθεται στην αγορά ως προϊόν — όχι μόνο αυτό που παρήγαγε το τμήμα μηχανολογίας.

Είναι επίσης το πρώτο σημείο όπου οι ολοκληρωτές πρέπει να είναι ειλικρινείς με τον εαυτό τους: αν ενσωματώνεις εξαρτήματα και τα παραμετροποιείς με τρόπο που δημιουργεί «τελικό προϊόν» στα μάτια του πελάτη, τότε δεν είσαι απλώς «υλοποιητής». Είσαι συνδιαμορφωτής του κινδύνου και συνδιαμορφωτής της ευθύνης.

Βήμα 2: Κάνε την εκτίμηση κινδύνου CRA έτσι ώστε να είναι εργαλείο λήψης αποφάσεων

Δεν πρόκειται για μια «μήτρα» σε διαφάνειες. Πρόκειται για αξιολόγηση κινδύνου που οδηγεί σε αποφάσεις σχεδιασμού και είναι επαναλήψιμη.

Στην πράξη, μια καλή προσέγγιση στο CRA ξεκινά από μια απλή ερώτηση: ποια είναι τα πραγματικά σενάρια κακής χρήσης στο περιβάλλον του πελάτη και όχι μόνο στο εργαστήριο; Ποιος έχει πρόσβαση για σέρβις; Πώς είναι δομημένο το δίκτυο; Πόσο συχνά κάνουμε ενημερώσεις; Ποιες είναι οι συνέπειες μιας διακοπής λειτουργίας; Στη βιομηχανία αυτές οι ερωτήσεις είναι πιο άβολες απ’ ό,τι στο IT, γιατί οι απαντήσεις συχνά είναι: «δεν μπορούμε να ενημερώνουμε κάθε εβδομάδα» ή «δεν έχουμε τηλεμετρία». Και ακριβώς γι’ αυτό πρέπει να τεθούν. Το CRA είναι νόμος, αλλά οι επιπτώσεις του είναι σχεδιαστικές.

Βήμα 3: Χτίσε το «vulnerability handling» ως παραγωγική διαδικασία, όχι ως αντίδραση σε κρίση

Οι απαιτήσεις αναφοράς που περιγράφει η Επιτροπή (24h/72h/14 ημέρες/μήνας) είναι αμείλικτες για έναν οργανισμό που δεν έχει διαδικασία. Αν θέλεις να είσαι έτοιμος για τις 11 Σεπτεμβρίου 2026, πρέπει να αντιμετωπίσεις το «vulnerability handling» ως μέρος του κύκλου ζωής του προϊόντος και όχι ως «δουλειά της ομάδας ασφάλειας».

Αυτό σημαίνει:

• ένα ενιαίο κανάλι παραλαβής αναφορών (CVD policy + επικοινωνία),
• διαλογή με υπεύθυνο και σαφή κριτήρια,
• μηχανισμό δημιουργίας και διάθεσης ενημερώσεων ασφάλειας,
• μοντέλο επικοινωνίας προς τους πελάτες που δεν βασίζεται στον αυτοσχεδιασμό,
• ετοιμότητα για αναφορά (ποιος αναφέρει, με ποια δεδομένα, πόσο γρήγορα).

Όλα αυτά ακούγονται σαν «οργανωτική» δουλειά. Στην πράξη είναι δουλειά προϊόντος, γιατί αφορά εκδόσεις, συμβατότητα, αρχιτεκτονική ενημερώσεων και στρατηγική υποστήριξης.

Βήμα 4: Επίλεξε την περίοδο υποστήριξης ως επιχειρηματική απόφαση, όχι ως ελάχιστη απαίτηση

Αν τα προϊόντα σου ζουν στη βιομηχανία 10–15 χρόνια, τότε η περίοδος υποστήριξης είναι στρατηγική. Το CRA επιβάλλει η υποστήριξη να μην είναι υπόσχεση χωρίς αντίκρισμα. Αυτό σημαίνει ότι η περίοδος υποστήριξης πρέπει να προκύπτει από ανάλυση: για πόσο θα χρησιμοποιείται το προϊόν, πώς είναι η αλυσίδα εφοδιασμού των εξαρτημάτων, για πόσο θα μπορείς να παρέχεις διορθώσεις. Στην πράξη, η περίοδος υποστήριξης αρχίζει να «τραβά» ολόκληρο το οικοσύστημα: συμβάσεις με προμηθευτές, διαθεσιμότητα build environment, συντήρηση toolchains, ακόμη και αποφάσεις για το αν το προϊόν θα έχει απομακρυσμένες λειτουργίες ή θα είναι απομονωμένο.

Αν αντιμετωπίσεις την περίοδο υποστήριξης ως τυπική διαδικασία, το αργότερο το 2027 θα βρεθείς σε σύγκρουση: ο πελάτης περιμένει υποστήριξη, ενώ εσύ δεν θα έχεις πλέον ούτε πόρους ούτε εξαρτήσεις για να την παρέχεις. Το CRA δεν δημιουργεί αυτό το πρόβλημα — απλώς το αποκαλύπτει.

Βήμα 5: Βάλε τάξη στην αλυσίδα εφοδιασμού: η συζήτηση με τους προμηθευτές είναι μέρος της συμμόρφωσης

Στο CRA δεν υπάρχει «μαγεία» που θα κάνει τα εξωτερικά στοιχεία ασφαλή. Αν η συσκευή σου βασίζεται σε βιβλιοθήκες, μονάδες επικοινωνίας, λειτουργικό σύστημα, SDK ή εξαρτήματα υλικού, τότε ο κίνδυνός σου εξαρτάται άμεσα από την ποιότητα των πρακτικών του προμηθευτή.

Γι’ αυτό αξίζει ήδη από τώρα να ανοίξεις τη συζήτηση για πράγματα που δεν ακούγονται σαν marketing, αλλά σαν μηχανική:

• αν ο προμηθευτής μπορεί να ενημερώνει για ευπάθειες με προβλέψιμο τρόπο,
• ποιος είναι ο χρόνος απόκρισής του,
• αν διαθέτει διαδικασία δημοσίευσης διορθώσεων,
• αν μπορεί να συντηρεί το στοιχείο για περίοδο που είναι συνεπής με τη δική σου περίοδο υποστήριξης.

Εδώ είναι που το CRA αγγίζει πραγματικά την επιχείρηση: ένας προμηθευτής που δεν μπορεί να διαχειριστεί ευπάθειες δεν είναι «φθηνότερος». Είναι ρυθμιστικός κίνδυνος.

Βήμα 6: Χτίσε την τεκμηρίωση ως συνεκτικό ίχνος: νόμος → κίνδυνος → απόφαση → τεκμήριο

Στους ελέγχους συμμόρφωσης κερδίζει πάντα η συνοχή. Αν από την αξιολόγηση κινδύνου προκύπτει ότι μια συγκεκριμένη διεπαφή είναι κρίσιμη και η τεκμηρίωση δεν περιγράφει πώς την προστατεύεις· αν δηλώνεις ότι οι ενημερώσεις είναι ασφαλείς, αλλά δεν μπορείς να δείξεις πώς διασφαλίζεις την ακεραιότητα των πακέτων· αν λες ότι έχεις διαδικασία διαχείρισης ευπαθειών, αλλά δεν μπορείς να δείξεις πώς κάνεις διαλογή στις αναφορές — τότε αυτό δεν είναι «έλλειψη χαρτιών». Είναι έλλειψη τεκμηρίου ότι η διαδικασία λειτουργεί.

Στο CRA, με την απουσία εναρμονισμένων προτύπων, αυτό το ίχνος είναι ιδιαίτερα σημαντικό. Γιατί θα αποτελεί τη βάση της συζήτησης με την αρχή εποπτείας της αγοράς, με έναν εταιρικό πελάτη και, σε ορισμένες κατηγορίες προϊόντων, επίσης με τον φορέα αξιολόγησης συμμόρφωσης. Και εξίσου σημαντικό: θα αποτελεί τη βάση της εσωτερικής σταθερότητας. Η ομάδα ξέρει γιατί κάνουμε κάτι, όχι μόνο «ότι πρέπει».

Επίλογος: το CRA ως νέα σχεδιαστική απαίτηση, όχι ως «έργο συμμόρφωσης»

Αν έπρεπε να αφήσω μία σκέψη που να δένει και τα τρία μέρη: το CRA δεν είναι πρόβλημα που λύνεται στο τέλος. Είναι ένα πλαίσιο που αλλάζει τον τρόπο σκέψης για το προϊόν. Όπως το ISO 12100 διδάσκει ότι ο κίνδυνος προκύπτει στη σχέση άνθρωπος–μηχανή, έτσι και το CRA διδάσκει ότι η κυβερνοασφάλεια προκύπτει στη σχέση προϊόν–περιβάλλον–κύκλος ζωής του κατασκευαστή.

Τα εναρμονισμένα πρότυπα θα έρθουν και θα απλοποιήσουν ορισμένες διαδρομές. Όμως η απουσία τους δεν είναι λόγος αδράνειας. Είναι λόγος να εστιάσεις σε αυτό που το CRA αξιολογεί πάντα: στις αποφάσεις, στα τεκμήρια και στην ικανότητα δράσης στην πραγματικότητα — όχι στην παρουσίαση.