Wiesław Krawczyński

Cyber Resilience Act (CRA)

Przygotuj swoje produkty cyfrowe na nowe wymogi UE

Unia Europejska wprowadza Cyber Resilience Act – rozporządzenie, które diametralnie zmienia podejście do bezpieczeństwa produktów cyfrowych. Nowe przepisy obejmują urządzenia, oprogramowanie i rozwiązania z elementami cyfrowymi wprowadzane na rynek UE.
Dla producentów, importerów i dystrybutorów oznacza to konieczność wdrożenia systemowych zabezpieczeń, zarządzania podatnościami oraz dokumentowania bezpieczeństwa w całym cyklu życia produktu. Brak zgodności może skutkować sankcjami, ograniczeniem sprzedaży lub wycofaniem produktu z rynku.

Sprawdź, czy Twoje produkty spełniają wymagania Cyber Resilience Act.

Umów rozmowę z ekspertem ➤

Porozmawiajmy o ofercie dla Twojej firmy



    Dlaczego warto przygotować się do Cyber Resilience Act?

    Zgodność z nowymi regulacjami UE

    CRA wprowadza wspólne, obowiązujące w całej Unii standardy cyberbezpieczeństwa dla produktów cyfrowych. Odpowiednie przygotowanie pozwala uniknąć kar administracyjnych i barier w dostępie do rynku.

    Ochrona użytkowników i wizerunku firmy

    Nowe przepisy kładą nacisk na eliminowanie podatności, zarządzanie aktualizacjami oraz reagowanie na incydenty. To realne zwiększenie bezpieczeństwa użytkowników i budowanie zaufania do marki.

    Gotowość na kontrole i oceny zgodności

    CRA wymaga posiadania kompletnej dokumentacji technicznej i dowodów spełniania wymogów. Pomagamy przygotować materiały niezbędne do audytów i procesów certyfikacyjnych.

    Przewaga konkurencyjna na rynku

    Organizacje, które wcześniej dostosują swoje produkty do CRA, zyskają silniejszą pozycję rynkową – bezpieczeństwo staje się dziś jednym z kluczowych kryteriów wyboru dostawcy.

    Dla kogo jest wdrożenie Cyber Resilience Act?

    Nasze wsparcie kierujemy do organizacji, które wprowadzają lub planują wprowadzać produkty cyfrowe na rynek UE, w szczególności do:

    • producentów sprzętu i oprogramowania z komponentami cyfrowymi,
    • importerów i dystrybutorów urządzeń cyfrowych,
    • firm technologicznych, startupów i scale-upów (IoT, AI, aplikacje, systemy wbudowane),
    • organizacji przygotowujących się do audytów zgodności i oceny produktów,
    • zespołów R&D i product management odpowiedzialnych za bezpieczeństwo rozwiązań.

    CRA dotyczy zarówno dużych producentów, jak i mniejszych firm technologicznych – liczy się charakter produktu, a nie skala organizacji.

    Jak wygląda proces wdrożenia Cyber Resilience Act?

    Projekt realizujemy w uporządkowany sposób, łącząc wymagania prawne z praktyką techniczną. Proces obejmuje sześć kluczowych etapów:

    1. Analiza wymagań CRA i identyfikacja luk
      Oceniamy, które obowiązki wynikające z CRA mają zastosowanie do Twoich produktów oraz gdzie występują braki względem nowych przepisów.
    2. Ocena ryzyk i podatności bezpieczeństwa
      Identyfikujemy zagrożenia, potencjalne słabości oraz obszary wymagające wzmocnienia w architekturze i procesach.
    3. Opracowanie planu dostosowania
      Przygotowujemy spójną mapę działań obejmującą zmiany techniczne, organizacyjne i procesowe.
    4. Wsparcie we wdrażaniu zabezpieczeń
      Pomagamy w implementacji wymaganych mechanizmów bezpieczeństwa oraz zasad zarządzania podatnościami i aktualizacjami.
    5. Przygotowanie dokumentacji technicznej
      Tworzymy i porządkujemy dokumentację niezbędną na potrzeby audytów, kontroli i certyfikacji zgodnie z CRA.
    6. Testy zgodności i przygotowanie zespołów
      Weryfikujemy gotowość organizacji oraz prowadzimy szkolenia, które pozwalają utrzymać zgodność także po wdrożeniu.

    📄 Możliwe rozszerzenia:

    • szkolenia zespołów projektowych i R&D,
    • wsparcie w kontaktach z jednostkami notyfikowanymi,
    • asysta w procesach certyfikacji i oceny zgodności.
    Dzięki połączeniu usług RODO i cyberbezpieczeństwa zapewniamy kompleksową ochronę danych osobowych – od zgodności prawnej po realne zabezpieczenie systemów informatycznych.
    Porozmawiaj z nami i sprawdź, jak bezpiecznie przygotować swoje produkty do wymagań Cyber Resilience ActPorozmawiaj z ekspertem

    Najczęściej zadawane pytania

    Czym jest Cyber Resilience Act i kiedy zacznie obowiązywać?

    Cyber Resilience Act (CRA) to rozporządzenie UE 2024/2847 wprowadzające jednolite zasady cyberbezpieczeństwa dla produktów z elementami cyfrowymi (PDE) – oprogramowania, urządzeń IoT, sprzętu z firmware, aplikacji mobilnych. CRA weszło w życie 10 grudnia 2024 r., obowiązki dotyczące raportowania aktywnie wykorzystywanych podatności obowiązują od 11 września 2026 r., a pełne stosowanie (w tym oznakowanie CE w zakresie cyber) – od 11 grudnia 2027 r. Producenci mają więc realnie ok. 1,5 roku na pełne dostosowanie.

    Kogo dotyczy CRA?

    CRA obejmuje wszystkich, którzy wprowadzają na rynek UE produkty z elementami cyfrowymi: producentów sprzętu, producentów oprogramowania (w tym SaaS-ów dystrybuowanych jako produkt), producentów IoT, importerów, dystrybutorów, deweloperów aplikacji mobilnych. Dotyczy zarówno dużych producentów, jak i mniejszych firm technologicznych – decyduje charakter produktu, a nie skala organizacji. Wyłączone są m.in. produkty objęte odrębnymi regulacjami (medyczne, motoryzacyjne, lotnicze) oraz oprogramowanie open-source rozwijane niekomercyjnie.

    Jakie są kary za naruszenie CRA?

    Maksymalne kary za naruszenie kluczowych wymogów (zasady cyberbezpieczeństwa, raportowanie podatności, dokumentacja techniczna) wynoszą 15 mln euro lub 2,5% rocznego światowego obrotu – decyduje wyższa kwota. Za naruszenia formalne (np. brak deklaracji zgodności, błędne oznakowanie CE) kary do 10 mln euro lub 2% obrotu. Dodatkowo organy nadzoru rynku mogą nakazać wycofanie produktu z rynku, zakaz sprzedaży lub publiczne ogłoszenie naruszenia. To często boli bardziej niż kara finansowa.

    Co to jest SBOM i czy jest wymagany przez CRA?

    SBOM (Software Bill of Materials) to formalna lista wszystkich komponentów, bibliotek, frameworków i zależności użytych w oprogramowaniu, wraz z wersjami i licencjami. CRA wymaga utrzymywania SBOM dla każdego produktu z elementami cyfrowymi przez cały cykl życia. SBOM umożliwia szybkie identyfikowanie podatności (np. log4j, OpenSSL) i jest fundamentem zarządzania podatnościami. Standardy: SPDX, CycloneDX, SWID. Bez SBOM nie da się realnie spełnić obowiązku monitorowania i raportowania podatności.

    Jakie obowiązki w zakresie raportowania podatności wprowadza CRA?

    Producent ma obowiązek bezzwłocznego informowania ENISA i właściwego CSIRT o aktywnie wykorzystywanej podatności (exploited vulnerability) – wczesne ostrzeżenie w ciągu 24 godzin od jej wykrycia. Pełne zgłoszenie z oceną wpływu w ciągu 72 godzin. Raport końcowy z opisem przyczyn, działań naprawczych i informacji dla użytkowników w ciągu 14 dni od udostępnienia łatki. Niezależnie producent musi informować użytkowników o krytycznych podatnościach i udostępniać aktualizacje przez okres wsparcia produktu (minimum 5 lat).

    Czy CRA dotyczy SaaS-ów i aplikacji webowych?

    Co do zasady CRA dotyczy produktów wprowadzanych na rynek UE – więc nie obejmuje SaaS-ów świadczonych jako usługa zdalna z chmury (te są regulowane przez NIS2). CRA obejmuje natomiast aplikacje, które są dystrybuowane jako produkt – instalowane lokalnie, przez sklepy aplikacji, jako kontenery, biblioteki czy SDK. Granica bywa rozmyta i wymaga analizy konkretnego modelu dystrybucji. W razie wątpliwości warto przeprowadzić ocenę regulacyjną – błędna klasyfikacja może oznaczać brak zgodności.

    Czym jest „klasa istotności” produktu w CRA?

    CRA wprowadza trzy klasy produktów. Klasa standardowa (większość PDE) – samocertyfikacja, deklaracja zgodności producenta. Klasa istotna (klasy I i II – m.in. menedżery haseł, antywirusy, systemy kontroli dostępu, hypervisory, IoT przemysłowe) – wymaga zastosowania zharmonizowanych norm lub certyfikacji ENISA. Klasa krytyczna (HSM-y, smart cards, niektóre IoT do infrastruktury krytycznej) – wymaga obowiązkowej certyfikacji ENISA według schematów EUCC. Klasyfikacja decyduje o ścieżce zgodności i kosztach.

    Co musi zrobić producent, żeby uzyskać oznakowanie CE w zakresie CRA?

    Sześć kluczowych kroków: wbudowanie cyberbezpieczeństwa w cykl projektowy (security by design), przeprowadzenie oceny ryzyka cyberbezpieczeństwa, wdrożenie wymagań zasadniczych z Załącznika I (m.in. brak domyślnych haseł, szyfrowanie, mechanizmy aktualizacji, minimalizacja powierzchni ataku), opracowanie dokumentacji technicznej (Załącznik VII), wdrożenie procesu zarządzania podatnościami i raportowania, wystawienie deklaracji zgodności UE i naniesienie oznakowania CE. Dla klasy istotnej i krytycznej wymagana jest dodatkowo zewnętrzna ocena lub certyfikacja.

    Jak długo producent musi wspierać produkt zgodnie z CRA?

    Producent musi zapewniać aktualizacje bezpieczeństwa przez cały okres przewidywanego użytkowania produktu, ale nie krócej niż 5 lat od wprowadzenia na rynek (chyba że produkt z natury jest krótszy – np. jednorazowy gadżet IoT, ale wtedy musi to być jasno oznaczone). Okres wsparcia musi być jednoznacznie zakomunikowany użytkownikom przed zakupem. Brak udostępnienia łatki na podatność krytyczną w okresie wsparcia jest naruszeniem CRA i może skutkować karą oraz wycofaniem produktu z rynku.

    LinkedIn
    RODO
    Cyberbezpieczeństwo
    Doradztwo RODO
    Audytel S.A.
    ul. ks. I. Skorupki 5
    00-546 Warszawa
    NIP 779-21-69-697
    REGON 634288697
    Regulamin
    Polityka Prywatności
    +48 22 537 50 50
    biuro@rodoradar.pl