Cybersecurity Act 2: co powinni śledzić producenci CRA

CSA2 nadal jest projektem. COM(2026) 11 final zmieniłby certyfikację, łańcuchy dostaw ICT i mandat ENISA.

Zespół CRA Evidence Opublikowano 19 lutego 2026 Zaktualizowano 8 maja 2026
Karta zapowiedzi artykułu o Cybersecurity Act 2: tytuł po lewej, motyw graficzny po prawej, indygo akcent regulacyjny.
W tym artykule

Cybersecurity Act 2 (CSA2) to nie jest akt o cyberodporności. To odrębna propozycja Komisji, COM(2026) 11 final, opublikowana 20 stycznia 2026 r., która uchyla rozporządzenie (UE) 2019/881 i wprowadza trzy bloki operacyjne: zrewidowane europejskie ramy certyfikacji cyberbezpieczeństwa (Tytuł III), nowe horyzontalne ramy łańcucha dostaw ICT z uprawnieniami do wskazywania państw (Tytuł IV) oraz wzmocniony mandat ENISA (Tytuł II). Trzy miesiące po publikacji akt znajduje się we wczesnym etapie analizy w Parlamencie i Radzie, nie na etapie rozmów trójstronnych.

Dlaczego producent objęty CRA powinien to przeczytać. Certyfikacja w ramach zrewidowanych przepisów to droga, którą Komisja proponuje do wykazania zgodności z CRA, NIS2 i innymi aktami unijnymi, gdy odpowiedni program certyfikacji już istnieje. Ramy łańcucha dostaw przecinają się z obowiązkami wynikającymi z Artykułu 13 CRA dotyczącymi komponentów osób trzecich. Artykuł 100 CSA2 zakazuje podmiotom z państw trzecich objętych wskazaniem działania jako jednostki oceniające zgodność, co bezpośrednio wpływa na to, których jednostek można użyć do oceny zgodności z CRA.

Całe wzajemne oddziaływanie między tym, w jaki sposób można wykorzystać przyszły program oceny postawy cybernetycznej do wykazania zgodności z NIS2, będzie ważnym punktem dyskusji z państwami członkowskimi.

Maika Fohrenbach, DG CONNECT · ENISA Certification Conference, 15 April 2026 (notatki z konferencji)

Najważniejsze informacje

  • CSA2 to projekt Komisji, a nie obowiązujące prawo. COM(2026) 11 final, 122 artykuły, 270 stron, uchyla rozporządzenie (UE) 2019/881 (akt o cyberbezpieczeństwie z 2019 r.). Obecnie w fazie wczesnej analizy w Parlamencie i Radzie.
  • Trzy bloki operacyjne: zrewidowane europejskie ramy certyfikacji cyberbezpieczeństwa (Tytuł III), ramy bezpieczeństwa łańcucha dostaw ICT (Tytuł IV), wzmocniony mandat ENISA (Tytuł II).
  • Zakres ECCF rozszerza się na zarządzane usługi bezpieczeństwa oraz postawę cybernetyczną podmiotów, a nie tylko produkty, usługi i procesy ICT (Artykuł 81; motyw 92).
  • ENISA musi przedstawić projekty programów w ciągu 12 miesięcy od wniosku Komisji (Artykuł 73).
  • Trzy poziomy uzasadnienia zaufania pozostają: basic, substantial, high (motyw 101). Deklaracja zgodności UE używa wyłącznie poziomu basic.
  • Ramy łańcucha dostaw pozwalają Komisji wskazać państwa trzecie stwarzające „poważne i strukturalne ryzyka pozatechniczne" (Artykuł 100). Podmioty z państw wskazanych nie mogą dostarczać kluczowych aktywów ICT, brać udziału w zamówieniach publicznych dotyczących tych aktywów, korzystać z funduszy UE ani prowadzić certyfikacji i oceny zgodności.
  • Wycofanie komponentów telekomunikacyjnych wysokiego ryzyka z sieci mobilnych ma maksymalny okres 36 miesięcy od wejścia w życie (Artykuł 110). Okresy wycofania dla sieci stacjonarnych i satelitarnych ustalają później akty wykonawcze Komisji.
  • Kary na podstawie Artykułu 115 mają zastosowanie do naruszeń Tytułu IV (łańcuch dostaw): 1%, 2% lub 7% rocznego światowego obrotu, w zależności od tego, który przepis został naruszony. Brak płaskiego limitu w EUR. Kary za naruszenia Tytułu III (certyfikacja) ustalają państwa członkowskie, bez ogólnounijnego pułapu (Artykuł 97).
  • Szacowane oszczędności na zgodności dla przedsiębiorstw: 14.6 mld EUR w ciągu pięciu lat w preferowanym wariancie C.2 (Ocena Skutków §4390).
  • Szacowany koszt wymiany sprzętu telekomunikacyjnego: 3.4 do 4.3 mld EUR rocznie przez trzy lata dla sprzętu nieaktualizowalnego od dostawców wysokiego ryzyka (Ocena Skutków §4577, §4.4.1).
122
Artykułów
w COM(2026) 11 final
36 mies.
Limit wycofania w telekomunikacji
sieci mobilne, Artykuł 110
14.6 mld €
Oszczędności na zgodności
w ciągu 5 lat, wariant C.2
3.4–4.3 mld €
Wymiana sprzętu telekomunikacyjnego
rocznie przez 3 lata

Źródła: COM(2026) 11 final (liczba artykułów i stron); towarzysząca Ocena Skutków SWD(2026) 11 final, sekcje 4.3.3 i 4.4.1.

Co rzeczywiście proponuje CSA2

Komisja oprawia projekt wokół czterech celów. Trzy stanowią reformy istniejących instrumentów, jeden jest nowy.

TematCo się zmieniaDlaczego to ważne dla zespołów CRAOdniesienie
Ramy certyfikacjiTytuł III Zakres rozszerzyłby się poza produkty, usługi i procesy ICT, obejmując zarządzane usługi bezpieczeństwa oraz postawę cybernetyczną podmiotów. Przyszłe programy mogą stać się częścią ścieżki dowodowej dla zgodności z CRA. Artykuł 73; 12 miesięcy dla ENISA.
Łańcuch dostaw ICTTytuł IV Oceny ryzyka mogą prowadzić do wskazania państw trzecich oraz wyłączeń dotyczących kluczowych aktywów ICT, zamówień publicznych i finansowania UE. Jednostki oceniające, dostawcy lub źródła komponentów mogą stać się niedostępne dla regulowanych klientów. Artykuły 99-100.
Postawa cybernetycznaUproszczenie NIS2 Program postawy cybernetycznej mógłby wspierać jedną certyfikację dla wielu aktów unijnych. Przydatne do planowania, ale powiązanie z NIS2 nadal zależy od negocjacji. Kierunek polityki, nie ustalone prawo.
Mandat ENISATytuł II ENISA miałaby jaśniejsze role w obszarze programów, zgłoszeń, rezerwy, podatności i poświadczeń. Unijna infrastruktura zgłoszeń i podatności byłaby bardziej scentralizowana. Pojedynczy punkt wejścia; rezerwa UE; EUVD.

Krajobraz programów: gdzie są cztery ścieżki

CSA2 jest tylko częścią unijnego obrazu certyfikacji. Ten skrót oddziela programy już działające lub konsultowane od programu oceny postawy cybernetycznej, który pozostaje propozycją CSA2 i nadal zależy od negocjacji z państwami członkowskimi.

EUCCDziała
Produkty

29 certyfikatów, 28 CAB, wszystkie na CC-1.

EUDI WalletKonsultacje
Usługi + eID

Uruchomiono 3 kwi 2026. Tekst końcowy oczekiwany we wrz.-paź.

EU MSSProjekt v4
Zarządzane usługi bezpieczeństwa

v4 opublikowano 9 kwi 2026. Konsultacje publiczne ruszają w lipcu.

Postawa cybernetycznaNegocjacje
Podmioty · propozycja CSA2

Powiązanie certyfikacji z NIS2 pozostaje otwarte z państwami członkowskimi.

Ramy łańcucha dostaw, krok po kroku

To politycznie najbardziej napięta część projektu. Mechanizm działa sekwencyjnie, każdy krok zakotwiczony w konkretnym artykule. Numery artykułów poniżej odnoszą się do COM(2026) 11 final.

  1. Ocena ryzyka (Artykuł 99). Komisja lub co najmniej trzy państwa członkowskie mogą wystąpić o skoordynowaną ocenę ryzyka łańcucha dostaw ICT. Ocenę finalizuje się w ciągu sześciu miesięcy. Przewidziano procedurę nadzwyczajną w przypadkach uzasadniających natychmiastową interwencję.
  2. Wskazanie państwa (Artykuł 100). Gdy państwo trzecie stwarza „poważne i strukturalne ryzyka pozatechniczne" dla łańcuchów dostaw ICT, Komisja może je wskazać. Podmioty mające siedzibę w takim państwie lub kontrolowane przez nie nie mogą dostarczać komponentów ICT do kluczowych aktywów ICT, brać udziału w powiązanych zamówieniach publicznych, korzystać z programów finansowania UE ani działać jako jednostki oceniające zgodność.
  3. Środki łagodzące (Artykuły 101 do 103). Komisja może aktem wykonawczym wymagać od podmiotów w sektorach o wysokim znaczeniu krytycznym stosowania określonych środków łagodzących, w tym zakazów stosowania komponentów od wskazanych dostawców wysokiego ryzyka.
  4. Identyfikacja kluczowych aktywów ICT (Artykuły 102 i 103). Komisja w drodze aktu wykonawczego określa, które aktywa ICT są uznawane za „kluczowe" w danym sektorze. Załącznik II już z góry definiuje kluczowe aktywa ICT dla mobilnych, stacjonarnych i satelitarnych sieci łączności elektronicznej.
  5. Wykazy dostawców wysokiego ryzyka (Artykuł 104). Komisja publikuje wykazy dostawców wysokiego ryzyka na podstawie ocen siedziby, własności i kontroli, po konsultacji z zainteresowanymi dostawcami i właściwymi organami. Artykuły 105 do 107 określają procedurę wyłączeń oraz publiczny rejestr decyzji o wyłączeniach.
Telekomunikacja jako pierwszy sektor

Załącznik II z góry definiuje kluczowe aktywa ICT dla mobilnych, stacjonarnych i satelitarnych sieci łączności elektronicznej. Wycofanie komponentów dostawców wysokiego ryzyka z sieci mobilnych ma maksymalny okres 36 miesięcy od wejścia w życie (Artykuł 110). Okresy wycofania dla sieci stacjonarnych i satelitarnych pozostawiono aktom wykonawczym Komisji. Ocena Skutków szacuje jednorazowy koszt wymiany na 3.4 do 4.3 mld EUR rocznie przez trzy lata dla sprzętu nieaktualizowalnego, wyliczony na podstawie poziomów inwestycji UE w 5G od 2019 r. oraz udziału aktywów wysokiego ryzyka na poziomie 32 do 40% (IA §4577, §4.4.1).

Kary: limity procentowe, brak płaskiej kwoty w EUR

Struktura kar to jedno z miejsc, gdzie odczyty CSA2 często są błędne. Artykuł 115 ustala maksymalne poziomy kar za naruszenia Tytułu IV (ramy łańcucha dostaw). Limit jest wyłącznie procentem rocznego światowego obrotu; nie ma płaskiego pułapu w EUR.

Naruszony przepisMaksymalna karaŹródło
Artykuł 103 ust. 2 lit. a · współpraca z Komisją1% rocznego światowego obrotuArtykuł 115 ust. 5
Artykuł 103 ust. 2 lit. b–g · obowiązki dotyczące środków łagodzących2% rocznego światowego obrotuArtykuł 115 ust. 6
Artykuł 103 ust. 1 · podstawowe obowiązki łagodzące; Artykuł 111 · zakazy w telekomunikacji7% rocznego światowego obrotuArtykuł 115 ust. 7
Tytuł III · naruszenia ram certyfikacjiUstalane przez każde państwo członkowskie; „skuteczne, proporcjonalne i odstraszające"; brak ogólnounijnego pułapuArtykuł 97

Próg 7% najbardziej bezpośrednio dotyczy operatorów telekomunikacyjnych, ponieważ obejmuje Artykuł 111 (zakaz instalowania lub integrowania komponentów ICT od dostawców wysokiego ryzyka, specyficzny dla telekomunikacji).

Gdzie to się przecina z CRA

CSA2 nie zmienia CRA. Zmienia natomiast trzy rzeczy wokół niego.

Należyta staranność wobec komponentów na podstawie Artykułu 13

Artykuł 13 CRA już wymaga od producentów dochowania należytej staranności wobec komponentów osób trzecich. CSA2 podnosi koszt błędu. Jeśli produkt zawiera komponenty od dostawcy później wskazanego jako wysokie ryzyko, a klient działa w sektorze objętym Załącznikiem I lub II dyrektywy (UE) 2022/2555 (NIS2), klient może zostać zobowiązany aktem wykonawczym do wymiany tych komponentów. To kaskadowo wpływa na plan rozwoju produktu. Praktyczne podejście do należytej staranności wobec komponentów CRA znajduje się w przewodniku po weryfikacji importera.

Jednostki oceniające zgodność nie mogą pochodzić z państw wskazanych

Artykuł 100 ust. 2 zakazuje podmiotom z państw trzecich objętych wskazaniem prowadzenia oceny zgodności. Jeśli planowane jest wykorzystanie jednostki, której struktura własności lub kontroli mogłaby ją postawić po niewłaściwej stronie przyszłej decyzji o wskazaniu, sam wybór jednostki staje się częścią ryzyka łańcucha dostaw. Wybór modułu, gdy programy zakotwiczone w CSA są jeszcze projektowane, omawia przewodnik po decyzji o ocenie zgodności.

Pojedynczy punkt wejścia dla zgłaszania incydentów

Projekt Komisji nakłada na ENISA obowiązek utrzymania i rozszerzenia istniejącej Pojedynczej Platformy Zgłaszania (platformy ustanowionej na podstawie Artykułu 16 ust. 1 CRA, rozporządzenia (UE) 2024/2847) w pojedynczy punkt wejścia konsolidujący zgłaszanie incydentów w ramach NIS2, CRA, DORA i innych aktów unijnych. To jest rozszerzenie istniejącego narzędzia CRA, a nie nowy wynalazek CSA2. Producenci projektujący już swój przepływ zgłoszeń CRA powinni od początku projektować go jako niezależny od regulacji.

Postawa cybernetyczna a zgodność z CRA, uczciwie

Program oceny postawy cybernetycznej to sztandarowy mechanizm, którym Komisja argumentuje, że zasada „jedna certyfikacja, wiele regulacji" jest osiągalna. To kierunek polityki, a nie ustalony przepis. Dwie kwestie nie są jeszcze uzgodnione: czy państwa członkowskie zaakceptują w negocjacjach powiązanie certyfikacji z NIS2 oraz w jaki sposób rozporządzenie wykonawcze zapewniające maksymalną harmonizację będzie współistnieć z krajowymi transpozycjami NIS2. To samo pytanie dotyczy tego, czy przyszły program CSA zakotwiczony w CRA zwolni producentów z odrębnych ocen modułów Załącznika VIII, czy też będzie istniał obok nich. Śledzimy to w notatkach z konferencji ENISA.

Co pozostaje otwarte, czego nie ma na osi czasu

Czy CSA2 zostanie przyjęte przed pełnym rozpoczęciem stosowania CRA?

Pełne rozpoczęcie stosowania CRA jest ustalone na 11 grudnia 2027 r. CSA2 zostało opublikowane 20 stycznia 2026 r. w zwykłej procedurze ustawodawczej (2026/0011 (COD)). Trzy miesiące po publikacji akt znajduje się na etapie komisji i grupy roboczej Rady. Rozmowy trójstronne są jeszcze odległe o miesiące. Przyjęcie przed pełnym rozpoczęciem stosowania CRA jest możliwe, ale niepewne, a Ocena Skutków nie zobowiązuje się do żadnej daty.

Najczęściej Zadawane Pytania

Czy CSA2 to to samo co akt o cyberodporności?

Nie. CRA (rozporządzenie (UE) 2024/2847) reguluje wymagania w zakresie cyberbezpieczeństwa dla produktów z elementami cyfrowymi wprowadzanych na rynek UE. CSA2 (COM(2026) 11 final) rewiduje unijne ramy certyfikacji cyberbezpieczeństwa, tworzy horyzontalne ramy łańcucha dostaw ICT i wzmacnia mandat ENISA. To odrębne instrumenty. CSA2 nie zmienia obowiązków ani terminów CRA. Zmienia natomiast drogi certyfikacji oraz zasady dotyczące dostawców, z których producent objęty CRA może lub musi korzystać. Harmonogram wdrażania CRA znajduje się w naszym harmonogramie wdrażania CRA 2025-2027.

Kiedy CSA2 wejdzie w życie?

Projekt opublikowano 20 stycznia 2026 r. w zwykłej procedurze ustawodawczej. Trzy miesiące po publikacji akt znajduje się we wczesnym etapie analizy w Parlamencie i Radzie. Rozmowy trójstronne są w najlepszym razie odległe o miesiące, a przyjęcie zależy od wyników negocjacji. Komisja nie zobowiązała się do żadnej daty. Postępy można śledzić w narzędziu EUR-Lex dla procedury 2026/0011 (COD) oraz w naszej relacji z ENISA Certification Conference 2026.

Czy CSA2 zmienia obowiązki lub terminy CRA?

Nie. Obowiązki zgłaszania na podstawie CRA rozpoczynają się we wrześniu 2026 r., a pełne rozpoczęcie stosowania pozostaje 11 grudnia 2027 r. CSA2, jeśli zostanie przyjęte, wprowadzi dodatkowe drogi certyfikacji, które mogłyby później posłużyć do wykazania zgodności z CRA. Wprowadzi również zasady łańcucha dostaw wpływające na to, z których jednostek oceniających zgodność i z których dostawców producent może legalnie korzystać. Do czasu przyjęcia CSA2 producent planuje zgodnie z CRA w obecnym kształcie. Zobacz przewodnik po decyzji o ocenie zgodności.

Czy jedna europejska certyfikacja cyberbezpieczeństwa obejmie jednocześnie CRA, NIS2 i DORA?

To deklarowany kierunek polityki Komisji. Nie jest to ustalony przepis. Fohrenbach (DG CONNECT) na konferencji ENISA 15 April 2026 określiła powiązanie między certyfikacją postawy cybernetycznej a zgodnością z NIS2 jako „przedmiot negocjacji" z państwami członkowskimi. W przypadku przyszłych programów CSA dopasowanie do istniejącego prawodawstwa projektuje się od etapu wniosku; w przypadku EUCC pracę wykonuje się po fakcie. Producent traktuje to jako kierunek polityki, a nie jako fakt, na którym można dziś budować plan zgodności.

Czym jest program oceny postawy cybernetycznej?

Proponowany w ramach CSA2 program, który pozwala podmiotom (a nie produktom) certyfikować ich ogólne środki zarządzania ryzykiem cyberbezpieczeństwa (motywy 92 do 94 COM(2026) 11 final). To sztandarowe zastosowanie rozszerzenia zakresu ECCF na podmioty. Komisja oprawia to jako drogę dla podmiotów objętych NIS2 do wykazania zgodności z obowiązkami zarządzania ryzykiem, z maksymalną harmonizacją poprzez rozporządzenie wykonawcze nakładające się na krajowe transpozycje NIS2. Mechanizmy, które zapewniłyby solidność tego rozwiązania w 27 państwach członkowskich, pozostają otwartymi punktami negocjacji.

Mój produkt zawiera komponenty od dostawcy spoza UE. Czy producent powinien działać w sprawie ram łańcucha dostaw już teraz?

Tak, na dwa konkretne sposoby, z których żaden nie zależy od przyjęcia CSA2. Po pierwsze, mapować kraj pochodzenia komponentów w SBOM-ach. CRA już oczekuje tego na podstawie Artykułu 13; CSA2 podnosi konsekwencje braku tego mapowania. Po drugie, przy sprzedaży do telekomunikacji lub do dowolnego sektora objętego Załącznikiem I lub II NIS2, zidentyfikuj ekspozycję na dostawców, którzy mogliby zostać wskazani, i rozpocznij plan alternatywnego źródła. Strategii oceny zgodności CRA nie przeprojektowuje się wokół CSA2, dopóki nie zostanie ono przyjęte. Zobacz przewodnik po generowaniu SBOM oraz przewodnik po weryfikacji importera.

Czy CSA2 wpływa na EUCC i czy EUCC pomaga w CRA?

CSA2 utrzymuje EUCC i inne przyjęte programy w mocy. Niezależnie od tego Komisja zadeklarowała zamiar określenia, przed końcem 2026 r., w jaki sposób EUCC może posłużyć do wykazania zgodności z CRA. ENISA prowadzi 18 pilotaży w sprawie domniemania zgodności EUCC z CRA (Fohrenbach, DG CONNECT, ENISA Certification Conference, 15 April 2026). Najistotniejsze prace nad programem zbliżonym do CRA i odnoszącym się do produktów do dziś omawia nasz przegląd programu EUDI Wallet.

Jakie są kary na podstawie CSA2?

Artykuł 115 ustala limity kar za naruszenia Tytułu IV (łańcuch dostaw) jako procent rocznego światowego obrotu, bez płaskiego limitu w EUR: 1% za naruszenia obowiązku współpracy z Artykułu 103 ust. 2 lit. a, 2% za pozostałe naruszenia obowiązków dotyczących środków łagodzących z Artykułu 103 ust. 2 oraz 7% za naruszenia podstawowych obowiązków łagodzących z Artykułu 103 ust. 1 i zakazów specyficznych dla telekomunikacji z Artykułu 111. Naruszenia Tytułu III (ramy certyfikacji) są karane przez państwa członkowskie bez ogólnounijnego pułapu; Artykuł 97 wymaga jedynie, aby kary były „skuteczne, proporcjonalne i odstraszające".

Następne Kroki

Co zrobić w tym kwartale

  1. Przeczytaj stronę projektu Komisji dotyczącą COM(2026) 11 final wraz z towarzyszącą oceną skutków.
  2. Przy sprzedaży do telekomunikacji (sieci mobilne, stacjonarne lub satelitarne) zidentyfikuj ekspozycję na komponenty dostawców wysokiego ryzyka z Załącznika II i rozpocznij 36-miesięczny plan wymiany już teraz, warunkowo na przyjęcie aktu.
  3. Mapuj kraj pochodzenia komponentów w SBOM-ach. CRA już tego oczekuje na podstawie Artykułu 13; CSA2 podnosi koszt błędu. Przewodnik po generowaniu SBOM.
  4. Nie przeprojektowuj strategii oceny zgodności CRA wokół przyszłego programu oceny postawy cybernetycznej ani powiązania EUCC z CRA. Pozostań na ścieżce modułu Załącznika VIII. Przewodnik po decyzji o ocenie zgodności.
  5. Śledź rozmowy trójstronne oraz kamień milowy EUCC z CRA na koniec 2026 r. poprzez naszą relację z ENISA Certification Conference 2026.

Niniejszy artykuł ma charakter wyłącznie informacyjny i nie stanowi porady prawnej. W celu uzyskania szczegółowych wskazówek dotyczących zgodności należy skonsultować się z wykwalifikowanym doradcą prawnym. Źródła pierwotne: COM(2026) 11 final wraz z załącznikami, towarzysząca Ocena Skutków SWD(2026) 11 final, dostępne w bibliotece European Commission Digital Strategy.

CRA Zgodność Łańcuch Dostaw Certification
Share

Powiązane artykuły

Powrót do wszystkich artykułów

Czy CRA dotyczy Twojego produktu?

Odpowiedz na 6 prostych pytań, aby dowiedzieć się, czy Twój produkt podlega pod Cyber Resilience Act UE. Uzyskaj wynik w mniej niż 2 minuty.

Sprawdź teraz

Gotowy na osiągnięcie zgodności z CRA?

Zacznij zarządzać swoimi SBOM-ami i dokumentacją zgodności z CRA Evidence.

Rozpocznij 14-dniowy bezpłatny okres próbny

Szczegółowe omówienie zagadnień CRA

Evergreen guides covering the specific requirements, processes, and roles defined by the Cyber Resilience Act.

Deklaracja zgodności UE

Co musi zawierać Deklaracja zgodności, kto ją podpisuje i kiedy jest wymagana.

Przeczytaj przewodnik →
Ocena zgodności

Jak działa ocena zgodności w ramach CRA i kiedy wymagana jest jednostka notyfikowana.

Przeczytaj przewodnik →
Dokumentacja techniczna

Co musi zawierać dokumentacja techniczna CRA (Załącznik VII sekcja po sekcji) i jak producenci powinni ją strukturyzować.

Przeczytaj przewodnik →
Klasyfikacja produktów

Jak CRA klasyfikuje produkty według poziomu ryzyka i co każda kategoria oznacza dla obowiązków.

Przeczytaj przewodnik →
Wymagania SBOM

Czego CRA wymaga w zakresie SBOM i jak BSI TR-03183 definiuje kryteria jakości.

Przeczytaj przewodnik →
Zgłaszanie podatności

Jak działa wymóg powiadamiania ENISA w ciągu 24 godzin i co liczy się jako aktywnie wykorzystywana podatność.

Przeczytaj przewodnik →
Obowiązki importera

Czego artykuł 19 wymaga od importerów i jak weryfikować zgodność producenta.

Przeczytaj przewodnik →
Planowanie okresu wsparcia

Co oznacza obowiązek okresu wsparcia CRA dla aktualizacji zabezpieczeń i planowania końca życia.

Przeczytaj przewodnik →
View full CRA compliance guide