Deklaracja Zgodności UE CRA: Szablon i Przewodnik Pisania Krok po Kroku
Jak napisać zgodną z CRA Deklarację Zgodności UE. Zawiera gotowy szablon, listę kontrolną wymaganych elementów i częste błędy do uniknięcia.
W tym artykule
- Podsumowanie
- Czym jest Deklaracja Zgodności UE?
- Czego Wymaga CRA w DoC?
- Kompletny Szablon DoC
- Przewodnik Sekcja po Sekcji
- Kiedy należy nanieść oznakowanie CE w stosunku do Deklaracji Zgodności?
- Czy DoC Wymaga Tłumaczenia?
- Czy każdy model lub wersja produktu wymaga własnej Deklaracji Zgodności?
- Dystrybucja DoC
- Uproszczona Deklaracja Zgodności UE
- Częste Błędy
- Lista Kontrolna Przygotowania DoC
- Warianty Szablonu DoC
- Wymagania Przechowywania
- Często zadawane pytania
- Kolejne kroki
Każdy produkt z elementami cyfrowymi wymaga Deklaracji Zgodności UE zanim będzie mógł legalnie nosić oznakowanie CE. DoC jest Twoim formalnym oświadczeniem, że produkt spełnia wymagania CRA. Ponosisz prawną odpowiedzialność za jej dokładność. Niniejszy przewodnik zapewnia kompletny szablon i wyjaśnia każdy wymagany element.
Podsumowanie
- Deklaracja Zgodności UE (DoC) jest obowiązkowa dla wszystkich produktów CRA i musi być sporządzona przed wprowadzeniem na rynek
- Musi być podpisana przez producenta lub upoważnionego przedstawiciela z siedzibą w UE
- Wymagane elementy określone są w Art. 28 CRA i Załączniku V
- Musi być dostarczona w językach wymaganych przez każde Państwo Członkowskie, w którym produkt jest sprzedawany (Art. 28(2))
- Przechowywać przez co najmniej 10 lat od wprowadzenia na rynek lub przez okres wsparcia, w zależności od tego, co jest dłuższe (Art. 13(13))
- Istotna modyfikacja wymaga nowej DoC, wydanej przez podmiot, który dokonał zmiany
- Szablon jest dostępny poniżej. Dostosuj go do swojego produktu.
Ważne: Podpisanie DoC bez przeprowadzenia oceny zgodności narusza zarówno Art. 13 (do 15 mln € lub 2,5% globalnego rocznego obrotu) jak i Art. 28 (do 10 mln € lub 2% globalnego rocznego obrotu).
Wskazówka: Uwzględnij okres wsparcia produktu (minimum 5 lat) oraz punkt kontaktowy ds. podatności w swojej DoC. Nie jest to wymagane przez Załącznik V, ale poprawia przejrzystość regulacyjną.
Czym jest Deklaracja Zgodności UE?
Deklaracja Zgodności UE to formalny dokument prawny, w którym producent deklaruje, że produkt jest zgodny z obowiązującym prawodawstwem UE. Jest obowiązkowa dla wszystkich produktów z elementami cyfrowymi, zanim będą mogły legalnie nosić oznakowanie CE. Dla produktów CRA musi stwierdzać, że:
- Produkt spełnia zasadnicze wymagania cyberbezpieczeństwa (Załącznik I)
- Ocena zgodności została przeprowadzona
- Producent ponosi odpowiedzialność prawną
Bez podpisanej DoC Twój produkt nie może nosić oznakowania CE i nie może być legalnie wprowadzony na rynek UE.
Czego Wymaga CRA w DoC?
Podstawa Prawna
Art. 28 CRA określa wymagania DoC, odwołując się do struktury w Załączniku V. DoC musi być:
- Sporządzona przed wprowadzeniem produktu na rynek (Art. 13(12))
- Aktualizowana w stosownych przypadkach, gdy zmienia się produkt lub status zgodności (Art. 28(2))
- Dostarczona w językach wymaganych przez każde Państwo Członkowskie, w którym produkt jest wprowadzany na rynek (Art. 28(2))
- Przechowywana przez co najmniej 10 lat od wprowadzenia na rynek lub przez okres wsparcia, w zależności od tego, co jest dłuższe (Art. 13(13))
Uwaga: Art. 28(3) umożliwia producentom podlegającym wielu rozporządzeniom UE sporządzenie jednej łączonej DoC obejmującej wszystkie obowiązujące akty. Patrz wariant szablonu „Wiele Rozporządzeń" poniżej.
Wymagane Elementy
| # | Element | Co uwzględnić | Źródło |
|---|---|---|---|
| 1 | Data wydania | Data podpisania deklaracji. Musi być po zakończeniu oceny zgodności. | Załącznik V, pkt 1 |
| 2 | Identyfikacja producenta | Pełna nazwa prawna, adres pocztowy, dane kontaktowe | Załącznik V, pkt 2 |
| 3 | Oświadczenie o wyłącznej odpowiedzialności | Dokładne sformułowanie: „Niniejsza deklaracja zgodności UE wydana jest na wyłączną odpowiedzialność dostawcy" | Załącznik V, pkt 3 |
| 4 | Identyfikacja produktu | Nazwa, typ, model, numer partii lub seryjny; opcjonalne zdjęcie tam gdzie stosowne | Załącznik V, pkt 4 |
| 5 | Oświadczenie o zgodności | Potwierdzenie, że produkt jest zgodny z Rozporządzeniem (UE) 2024/2847 | Załącznik V, pkt 5 |
| 6 | Zastosowane normy i certyfikacje | Zastosowane normy zharmonizowane; wszelkie wykorzystane europejskie certyfikaty cyberbezpieczeństwa | Załącznik V, pkt 6 |
| 7 | Dane Jednostki Notyfikowanej | Nazwa, numer i numer referencyjny certyfikatu. Tylko jeśli zastosowano moduł oceny przez stronę trzecią. | Załącznik V, pkt 7 |
| 8 | Podpis | Pełne imię i nazwisko, tytuł/funkcja, miejsce, data; podpis odręczny lub kwalifikowany elektroniczny | Załącznik V, pkt 8 |
Uwaga: Numer deklaracji nie jest wymagany przez Załącznik V, ale jest zdecydowanie zalecany dla kontroli wersji i wewnętrznego śledzenia.
Kompletny Szablon DoC
Użyj tego szablonu jako punktu wyjścia. Dostosuj sekcje w nawiasach do swojego produktu.
Uwaga: Sekcja 3 szablonu zawiera prawnie wymagane dosłowne sformułowanie (Załącznik V, pkt 3). Nie parafrazuj go:
„This declaration of conformity is issued under the sole responsibility of the provider."
═══════════════════════════════════════════════════════════════
DEKLARACJA ZGODNOŚCI UE
(Cyber Resilience Act)
═══════════════════════════════════════════════════════════════
Numer deklaracji: [DoC-PRODUKT-RRRR-NNN]
Data wydania: [DD miesiąc RRRR]
───────────────────────────────────────────────────────────────
1. PRODUCENT
───────────────────────────────────────────────────────────────
Nazwa: [Pełna nazwa prawna firmy]
Adres: [Ulica i numer]
[Kod pocztowy, Miejscowość]
[Kraj]
Kontakt: [E-mail / Telefon]
Strona internetowa: [URL]
───────────────────────────────────────────────────────────────
2. IDENTYFIKACJA PRODUKTU
───────────────────────────────────────────────────────────────
Nazwa produktu: [Nazwa produktu]
Model/Typ: [Numer modelu / Oznaczenie typu]
Wersja sprzętowa: [Wersja sprzętowa, jeśli dotyczy]
Wersja programowa: [Wersja oprogramowania/firmware]
Partia/Seria: [Zakres numerów partii lub format numeru seryjnego]
Zdjęcie produktu: [Opcjonalne zdjęcie dla identyfikowalności, tam gdzie stosowne]
Opis produktu:
[Krótki opis produktu i jego przeznaczenia,
wystarczający do jednoznacznej identyfikacji produktu]
───────────────────────────────────────────────────────────────
3. DEKLARACJA
───────────────────────────────────────────────────────────────
Niniejsza deklaracja zgodności UE wydana jest na wyłączną
odpowiedzialność dostawcy.
Opisany powyżej przedmiot deklaracji jest zgodny z
odpowiednim prawodawstwem harmonizacyjnym Unii:
• Rozporządzenie (UE) 2024/2847 Parlamentu Europejskiego
i Rady z dnia 23 października 2024 r. w sprawie
horyzontalnych wymagań cyberbezpieczeństwa dla
produktów z elementami cyfrowymi (Cyber Resilience Act)
[• Inne obowiązujące prawodawstwo, np.:
• Dyrektywa 2014/53/UE (Dyrektywa o Urządzeniach Radiowych)
• Rozporządzenie (UE) 2023/1230 (Rozporządzenie w sprawie maszyn)
• itp.]
───────────────────────────────────────────────────────────────
4. OCENA ZGODNOŚCI
───────────────────────────────────────────────────────────────
Zastosowana procedura oceny zgodności:
[Proszę wybrać:]
☐ Moduł A (Wewnętrzna Kontrola Produkcji)
Na podstawie Załącznika VIII Rozporządzenia (UE) 2024/2847
☐ Moduł B + C (Badanie Typu UE + Zgodność z Typem)
Na podstawie Załącznika VIII Rozporządzenia (UE) 2024/2847
Jednostka Notyfikowana: [Nazwa], Nr [XXXX]
Certyfikat Badania Typu UE: [Numer certyfikatu]
Data: [Data certyfikatu]
☐ Moduł H (Pełne Zapewnienie Jakości)
Na podstawie Załącznika VIII Rozporządzenia (UE) 2024/2847
Jednostka Notyfikowana: [Nazwa], Nr [XXXX]
Certyfikat Systemu Zapewnienia Jakości: [Numer certyfikatu]
Data: [Data certyfikatu]
☐ Europejski System Certyfikacji Cyberbezpieczeństwa (Art. 27(9))
Certyfikat wydany w ramach systemu przyjętego zgodnie z
Rozporządzeniem (UE) 2019/881 (Ustawa o cyberbezpieczeństwie)
Nazwa systemu: [Nazwa]
Numer certyfikatu: [Numer]
Poziom uzasadnionego zaufania: [Znaczny / Wysoki]
───────────────────────────────────────────────────────────────
5. ZASTOSOWANE NORMY I SPECYFIKACJE
───────────────────────────────────────────────────────────────
Zastosowane normy zharmonizowane:
[Wymienić wszystkie zastosowane normy zharmonizowane z pełnymi odnośnikami]
• EN [XXXXX]:20XX - [Tytuł normy]
• EN [XXXXX]:20XX - [Tytuł normy]
Inne zastosowane specyfikacje techniczne:
[Wymienić inne zastosowane normy lub specyfikacje]
• ISO/IEC [XXXXX]:20XX - [Tytuł normy]
• [Inne specyfikacje]
Zastosowane certyfikacje cyberbezpieczeństwa (jeśli dotyczy):
[Wymienić europejskie certyfikaty cyberbezpieczeństwa zgodnie z Załącznikiem V, pkt 6]
• [Nazwa systemu - Numer referencyjny certyfikatu]
───────────────────────────────────────────────────────────────
6. INFORMACJE DODATKOWE (Specyficzne dla CRA)
───────────────────────────────────────────────────────────────
Okres Wsparcia:
Aktualizacje bezpieczeństwa będą dostarczane do: [DD miesiąc RRRR]
(Minimum 5 lat od daty wprowadzenia na rynek)
Pierwsze wprowadzenie na rynek UE: [DD miesiąc RRRR]
Kontakt ds. Cyberbezpieczeństwa:
W sprawie zgłoszeń podatności i zapytań dotyczących bezpieczeństwa:
E-mail: [security@firma.com]
Strona: [https://firma.com/security]
security.txt: [https://firma.com/.well-known/security.txt]
Dokumentacja Techniczna:
Dokumentacja techniczna jest dostępna na żądanie dla
właściwych organów pod adresem wskazanym powyżej.
───────────────────────────────────────────────────────────────
7. PODPIS
───────────────────────────────────────────────────────────────
Podpisano w imieniu:
[Pełna nazwa prawna firmy]
_________________________________
[Imię i nazwisko]
[Tytuł/Funkcja]
Miejsce: [Miejscowość, Kraj]
Data: [DD miesiąc RRRR]
═══════════════════════════════════════════════════════════════
KONIEC DEKLARACJI
═══════════════════════════════════════════════════════════════
Przewodnik Sekcja po Sekcji
1. Identyfikacja Dokumentu
Numer Deklaracji: Nie wymagany przez Załącznik V, ale zdecydowanie zalecany. Zalecany format: DoC-[KodProduktu]-[Rok]-[Sekwencja]. Przykład: DoC-SSP3000-2027-001
Data Wydania: Data podpisania deklaracji. Musi być po zakończeniu oceny zgodności.
2. Identyfikacja Producenta
Kto podpisuje DoC?
- Producent: podmiot, który zaprojektował, wytworzył lub wprowadza produkt na rynek pod własną nazwą
- LUB upoważniony przedstawiciel z siedzibą w UE, działający na podstawie pisemnego upoważnienia
Jeśli producent nie ma siedziby w UE, wyznaczenie upoważnionego przedstawiciela jest wymagane. Dodaj:
Upoważniony Przedstawiciel: [Nazwa, Adres]
działający w imieniu: [Nazwa Producenta, Adres]
3. Identyfikacja Produktu
Bądź wystarczająco szczegółowy dla identyfikowalności:
- Podawaj numery modeli, nie tylko nazwy produktów
- Określaj numery wersji dla sprzętu i oprogramowania osobno
- Wskaż zakres numerów partii lub seryjnych
Przykład:
Nazwa produktu: SmartSense Pro Industrial Sensor
Model/Typ: SSP-3000
Wersja sprzętowa: Rev C (PCB v3.2)
Wersja programowa: Firmware 2.4.1
Partia/Seria: Numery seryjne SSP3K-2027-XXXXXX
4. Ocena Zgodności
To, którego modułu musisz użyć, zależy od klasyfikacji Twojego produktu. Skorzystaj z tej tabeli, aby się zorientować:
| Moduł | Kiedy ma zastosowanie | Jednostka Notyfikowana? |
|---|---|---|
| Moduł A (Wewnętrzna Kontrola Produkcji) | Produkty domyślne; Klasa I z normami zharmonizowanymi | Nie |
| Moduł B+C (Badanie Typu UE) | Wszystkie produkty; obowiązkowy dla Klasy II (chyba że H); obowiązkowy dla Klasy I bez norm zharmonizowanych | Tak |
| Moduł H (Pełne Zapewnienie Jakości) | Wszystkie produkty; alternatywa dla B+C dla Klasy I i II | Tak |
| EUCC / System certyfikacji cyberbezpieczeństwa | Produkty posiadające europejski certyfikat cyberbezpieczeństwa na poziomie uzasadnionego zaufania ≥ znacznym (Art. 27(9)) | Nie jest wymagana dodatkowa ocena przez stronę trzecią |
Uwaga: W przypadku produktów Krytycznych (Załącznik IV) badanie typu UE musi być przeprowadzone przez wyspecjalizowaną Jednostkę Notyfikowaną. Patrz Przewodnik Decyzyjny Oceny Zgodności CRA, aby poznać pełną logikę wyboru.
Skorzystaj z tego schematu blokowego, aby zidentyfikować swoją ścieżkę:
flowchart TD
A["Jaka jest klasa Twojego produktu?"] --> B["Domyślna\n(nie Załącznik III/IV)"]
A --> C["Klasa I\n(Załącznik III)"]
A --> D["Klasa II\n(Załącznik III)"]
A --> E["Krytyczna\n(Załącznik IV)"]
B --> F["Moduł A, B+C lub H\nTwój wybór"]
C --> G{"Normy zharmonizowane\nw pełni zastosowane?"}
G -->|Tak| H["Moduł A dostępny\nlub B+C / H"]
G -->|Nie| I["Moduł B+C lub H\nJednostka Notyfikowana wymagana"]
D --> J["Moduł B+C lub H\nJednostka Notyfikowana wymagana"]
E --> K["Badanie typu UE\nwyspecjalizowana Jednostka Notyfikowana"]
5. Zastosowane Normy
Normy Zharmonizowane: Publikowane w Dzienniku Urzędowym UE; tworzą domniemanie zgodności; podawaj pełne odnośniki (numer, rok, tytuł).
Format:
EN 303 645:2020 - Cyberbezpieczeństwo dla Internetu Rzeczy dla konsumentów: Wymagania podstawowe
Jeśli nie istnieją normy zharmonizowane: Podaj: „Nie zastosowano norm zharmonizowanych. Zgodność wykazana przez [opisz podejście]."
Certyfikacje Cyberbezpieczeństwa (Załącznik V, pkt 6): Jeśli podczas oceny zgodności korzystano z europejskiego certyfikatu cyberbezpieczeństwa, wymień go tutaj podając nazwę systemu i numer referencyjny certyfikatu.
6. Dodatkowe Informacje Specyficzne dla CRA
Ta sekcja nie jest wymagana przez Załącznik V, ale jej uwzględnienie poprawia przejrzystość regulacyjną:
Okres Wsparcia: Podaj, kiedy kończą się aktualizacje bezpieczeństwa. Musi wynosić co najmniej 5 lat od wprowadzenia na rynek (Art. 13(8)).
Kontakt ds. Cyberbezpieczeństwa: Gdzie należy przesyłać zgłoszenia podatności, w tym odnośnik do pliku security.txt.
Uwaga: Data końca okresu wsparcia musi także być widoczna w punkcie sprzedaży zgodnie z Art. 13(19). Uwzględnienie jej w DoC jest dobrą praktyką, ale nie zastępuje komunikacji w punkcie sprzedaży.
7. Podpis
Kto może podpisać: Osoba upoważniona do prawnego zobowiązania producenta. Typowo: CEO, Dyrektor, Kierownik Jakości lub Kierownik Spraw Regulacyjnych.
Wymagania: Pełne imię i nazwisko oraz tytuł/funkcja; miejsce i data (data musi być po zakończeniu oceny); podpis odręczny lub kwalifikowany elektroniczny.
Kiedy należy nanieść oznakowanie CE w stosunku do Deklaracji Zgodności?
W przypadku produktów fizycznych umieść oznakowanie CE widocznie, czytelnie i trwale na produkcie przed wprowadzeniem go na rynek (Art. 30(1)).
W przypadku produktów wyłącznie programowych (Art. 30(3)) oznakowanie CE umieszcza się:
- Bezpośrednio na Deklaracji Zgodności UE, lub
- Na stronie internetowej produktu, w sekcji łatwo i bezpośrednio dostępnej dla użytkowników
Uwaga: Oznakowanie CE musi być umieszczone przed wprowadzeniem produktu na rynek, a nie po. W przypadku produktów programowych upewnij się, że DoC lub sekcja strony internetowej jest dostępna przed rozpoczęciem jakiejkolwiek dystrybucji.
Czy DoC Wymaga Tłumaczenia?
Tak. Art. 28(2) wymaga, aby DoC była udostępniana w językach wymaganych przez każde Państwo Członkowskie, w którym produkt jest wprowadzany na rynek.
W praktyce:
- Sprzedaż wyłącznie w Niemczech → wymagana jest DoC w języku niemieckim
- Sprzedaż w całej UE → konieczne będzie przygotowanie wersji w wielu językach
- Wszystkie wersje językowe należy przechowywać w pliku technicznym
Uproszczona deklaracja zgodności UE (Załącznik VI) oraz adres URL wskazujący na pełną DoC muszą być również dostępne w wymaganych językach. Sam adres URL musi pozostać stabilny i dostępny.
Czy każdy model lub wersja produktu wymaga własnej Deklaracji Zgodności?
Jedna DoC na Typ Produktu
Każdy odrębny model lub typ produktu wymaga generalnie własnej DoC.
Można objąć jedną DoC, gdy:
- Produkty są wariantami tego samego typu
- Ta sama ocena zgodności ma zastosowanie do wszystkich wariantów
- Zastosowano te same normy
Przykład:
Nazwa produktu: SmartSense Pro Industrial Sensor
Model/Typ: SSP-3000 (wszystkie warianty)
- SSP-3000-WiFi
- SSP-3000-LoRa
- SSP-3000-Cellular
Kiedy Modyfikacja Wymaga Nowej DoC?
Ostrzeżenie: Istotna modyfikacja (jakakolwiek zmiana wpływająca na zgodność produktu z zasadniczymi wymaganiami CRA zgodnie z Załącznikiem I, Część I, lub zmieniająca przeznaczenie produktu) powoduje obowiązek wydania nowej DoC (Art. 28). Podmiot dokonujący istotnej modyfikacji staje się producentem zmodyfikowanego produktu i musi wydać nową DoC. Dotyczy to zarówno pierwotnego producenta wprowadzającego istotne aktualizacje, jak i strony trzeciej, która modyfikuje i odsprzedaje produkt.
| Scenariusz | Nowa DoC wymagana? |
|---|---|
| Nowa wersja sprzętowa wpływająca na charakterystykę bezpieczeństwa | Tak, istotna modyfikacja |
| Aktualizacja firmware wprowadzająca nowe interfejsy lub nowe wektory zagrożeń | Tak, zmieniony profil ryzyka cyberbezpieczeństwa |
| Aktualizacja firmware zmieniająca przeznaczenie produktu | Tak, istotna modyfikacja |
| Łatka bezpieczeństwa (ta sama architektura, brak nowego ryzyka, redukuje CVE) | Zależy od przypadku |
| Zmiana zastosowanych norm zharmonizowanych lub certyfikatu oceny zgodności | Tak |
| Zmiana kosmetyczna, wyłącznie dokumentacyjna lub lokalizacyjna | Nie |
| Strona trzecia dokonuje istotnej modyfikacji produktu i wprowadza go na rynek | Tak, strona trzecia wydaje nową DoC jako nowy producent |
W przypadku iteracyjnych wydań oprogramowania przez producenta: jeśli aktualizacja nie stanowi istotnej modyfikacji, istniejąca DoC pozostaje ważna. Musisz być w stanie wykazać to organom nadzoru rynku. Przeprowadzenie oceny ryzyka cyberbezpieczeństwa zgodnie z Art. 13(2) jest wyraźnym mechanizmem zalecanym w tym celu przez wytyczne.
Dystrybucja DoC
Z produktem (Art. 13(20)): Art. 13(20) wymaga dostarczenia:
- Pełnej DoC z Załącznika V, lub
- Uproszczonej deklaracji zgodności UE zawierającej dokładny adres internetowy, pod którym można znaleźć pełną DoC
Nie ma obowiązku dołączania obu dokumentów.
Na żądanie:
- Musi być dostarczona organom nadzoru rynku
- Powinna być dostarczona klientom na żądanie
Uproszczona Deklaracja Zgodności UE
Art. 13(20) umożliwia producentom dostarczenie z produktem uproszczonej deklaracji zgodności UE zamiast pełnego dokumentu z Załącznika V. Forma uproszczona jest zdefiniowana w Załączniku VI i składa się z dokładnie dwóch zdań:
Niniejszym [nazwa producenta] oświadcza, że produkt z elementami cyfrowymi
typu [oznaczenie] jest zgodny z Rozporządzeniem (UE) 2024/2847.
Pełny tekst deklaracji zgodności UE jest dostępny pod następującym adresem
internetowym: [URL]
Jest to szczególnie przydatne w przypadku:
- Produktów programowych, gdzie dołączanie pełnego dokumentu prawnego do każdej dystrybucji jest niepraktyczne
- Produktów sprzętowych z ograniczoną przestrzenią na opakowaniu
- Każdego produktu, którego pełna DoC jest dostępna online
Wymagania:
- Pełna DoC z Załącznika V musi istnieć i być publicznie dostępna pod wskazanym adresem URL
- Uproszczona deklaracja musi zawierać adres URL (Art. 13(20))
- Pełna DoC pozostaje obowiązkowa w pliku technicznym i dla żądań organów
Dobre praktyki dotyczące adresu URL:
- Używaj stabilnego adresu URL. Nie zmieniaj go po wprowadzeniu produktów do dystrybucji
- Dostępny bez rejestracji lub logowania
- Strona powinna umożliwiać pobranie lub wydrukowanie DoC
Częste Błędy
| Błąd | Dlaczego ma znaczenie | Rozwiązanie |
|---|---|---|
| Brakujące wymagane elementy (np. nie podano modułu oceny zgodności) | DoC jest niezgodna | Korzystaj z listy kontrolnej przed podpisaniem; weryfikuj każdy element z Załącznika V |
| Podpisuje niewłaściwy podmiot (importer lub dystrybutor podpisuje zamiast producenta) | DoC jest prawnie nieważna | Tylko producent (lub upoważniony przedstawiciel z mandatem) może podpisać |
| Nieaktualne odniesienia do norm (podane wycofane lub zastąpione normy) | Domniemanie zgodności jest utracone | Regularnie przeglądaj zastosowane normy; aktualizuj DoC gdy normy się zmieniają |
| Brak kontroli wersji (istnieje wiele wersji DoC bez jasnego wskazania aktualnej) | Ryzyko w trakcie audytu i egzekwowania | Przypisuj numery deklaracji; archiwizuj zastąpione wersje |
| Podpisanie przed zakończeniem oceny (DoC datowana przed zakończeniem działań oceny) | Narusza Art. 28 | Zakończ wszystkie działania oceny najpierw; data DoC musi być po ocenie |
| Niewłaściwy język (DoC wyłącznie w języku angielskim przy sprzedaży w Państwie Członkowskim nieposługującym się angielskim) | Niezgodna dla tego rynku | Przetłumacz DoC na każdy wymagany język Państwa Członkowskiego (Art. 28(2)) |
| Brak aktualizacji po istotnej modyfikacji (oryginalna DoC nadal w użyciu po istotnej zmianie) | DoC obejmuje wersję, dla której nigdy nie była oceniana | Wydaj nową DoC przy każdej istotnej modyfikacji |
Lista Kontrolna Przygotowania DoC
Przed Sporządzeniem
| Element | Status |
|---|---|
| Ocena zgodności zakończona | ☐ |
| Raporty z testów dostępne | ☐ |
| Plik techniczny przygotowany | ☐ |
| Lista norm sfinalizowana | ☐ |
| Okres wsparcia określony | ☐ |
| Wymagania językowe potwierdzone dla wszystkich docelowych Państw Członkowskich | ☐ |
Zawartość Dokumentu
| Element | Status |
|---|---|
| Przypisany unikalny numer deklaracji | ☐ |
| Nazwa i adres producenta poprawne | ☐ |
| Produkt w pełni zidentyfikowany (model, wersja, partia/seria) | ☐ |
| CRA wymienione prawidłowo: „Rozporządzenie (UE) 2024/2847" | ☐ |
| Inne obowiązujące prawodawstwo wymienione (jeśli dotyczy) | ☐ |
| Moduł oceny zgodności podany | ☐ |
| Dane Jednostki Notyfikowanej uwzględnione (jeśli dotyczy) | ☐ |
| Wszystkie zastosowane normy wymienione z pełnymi odnośnikami | ☐ |
| Data końca okresu wsparcia uwzględniona | ☐ |
| Dane kontaktowe ds. cyberbezpieczeństwa uwzględnione | ☐ |
Podpis
| Element | Status |
|---|---|
| Podpisujący upoważniony do zobowiązania producenta | ☐ |
| Pełne imię i nazwisko oraz tytuł/funkcja podane | ☐ |
| Miejsce i data podane (data po zakończeniu oceny) | ☐ |
| Podpis obecny (odręczny lub kwalifikowany elektroniczny) | ☐ |
Dystrybucja
| Element | Status |
|---|---|
| Kopia towarzyszy produktowi (fizyczna lub cyfrowy link) | ☐ |
| Kopia w pliku technicznym | ☐ |
| Dostępna na żądania organów | ☐ |
| Wersje śledzone i archiwizowane | ☐ |
| Wersje językowe przygotowane dla wszystkich docelowych Państw Członkowskich | ☐ |
| Oznakowanie CE umieszczone przed dystrybucją | ☐ |
Warianty Szablonu DoC
Dla Modułu A (Samoocena)
4. OCENA ZGODNOŚCI
Zastosowana procedura oceny zgodności:
☑ Moduł A (Wewnętrzna Kontrola Produkcji)
Na podstawie Załącznika VIII Rozporządzenia (UE) 2024/2847
Producent zweryfikował, że produkt spełnia wymagania
zasadnicze poprzez wewnętrzną ocenę udokumentowaną
w pliku technicznym.
Dla Modułu B+C (Strona Trzecia)
4. OCENA ZGODNOŚCI
Zastosowana procedura oceny zgodności:
☑ Moduł B + C (Badanie Typu UE + Zgodność z Typem)
Na podstawie Załącznika VIII Rozporządzenia (UE) 2024/2847
Badanie Typu UE wykonane przez:
Jednostka Notyfikowana: TÜV Rheinland LGA Products GmbH
Numer Jednostki Notyfikowanej: 0197
Numer Certyfikatu: EU-TYPE-2027-12345
Data Certyfikatu: 15 stycznia 2027
Producent zapewnia zgodność produkcji z certyfikowanym
typem (Moduł C) poprzez wewnętrzne kontrole produkcji.
Dla Wielu Rozporządzeń (Art. 28(3))
Gdy produkt podlega zarówno CRA jak i innym prawodawstwu UE, dopuszczalna jest jedna łączona DoC na podstawie Art. 28(3):
3. DEKLARACJA
Przedmiot deklaracji opisany powyżej jest zgodny z odpowiednim
prawodawstwem harmonizacyjnym Unii:
• Rozporządzenie (UE) 2024/2847 (Cyber Resilience Act)
• Dyrektywa 2014/53/UE (Dyrektywa o Urządzeniach Radiowych)
Jednostka Notyfikowana: [Nazwa], Nr [XXXX]
Certyfikat: [Numer]
• Dyrektywa 2014/35/UE (Dyrektywa Niskonapięciowa)
Wymagania Przechowywania
| Co przechowywać | Okres przechowywania | Gdzie |
|---|---|---|
| Podpisana DoC (lub uwierzytelniona kopia) | 10 lat od wprowadzenia na rynek lub przez okres wsparcia, w zależności od tego, co jest dłuższe (Art. 13(13)) | Plik techniczny; dostępny dla organów na żądanie |
| Historia wersji i zastąpione DoC | Wraz z aktualną DoC | Plik techniczny |
| Dokumentacja pomocnicza przywołana w DoC | Wraz z DoC | Plik techniczny |
Często zadawane pytania
Czy jedna Deklaracja Zgodności może obejmować produkty sprzedawane we wszystkich państwach członkowskich UE?
Ten sam dokument może obejmować całą UE, ale musi być przetłumaczony na język lub języki wymagane przez każde państwo członkowskie, na którego rynek produkt jest wprowadzany (artykuł 28(2)). Zasadnicza treść jest identyczna; zmienia się jedynie wersja językowa. Przechowuj wszystkie tłumaczenia w dokumentacji technicznej.
Czy Deklaracja Zgodności CRA wymaga notarialnego poświadczenia lub oficjalnej certyfikacji?
Nie. DoC jest podpisywana przez producenta lub upoważnionego przedstawiciela. Wystarczy podpis odręczny lub kwalifikowany podpis elektroniczny (w rozumieniu rozporządzenia (UE) 910/2014). Notarialne poświadczenie nie jest wymagane, chyba że konkretne państwo członkowskie wymaga tego do celów nadzoru rynku.
Co się dzieje, gdy organy nadzoru rynku stwierdzą, że DoC jest niekompletna lub niedokładna?
Sankcje na mocy artykułu 64 mogą wynieść 10 milionów euro lub 2 % globalnego rocznego obrotu za niezgodną lub fałszywą DoC (naruszenie artykułu 28). W Polsce NASK i CERT Polska pełnią kluczową rolę w cyberbezpieczeństwie produktów. Organy nadzoru mogą nakazać działania naprawcze, a w poważnych przypadkach wycofać produkty z rynku.
Czy produkt programowy może używać uproszczonej Deklaracji Zgodności UE zamiast pełnego dokumentu Załącznika V?
Tak. Artykuł 13(20) pozwala producentom dołączać do produktu jedynie uproszczoną Deklarację Zgodności UE (Załącznik VI), pod warunkiem że pełny dokument Załącznika V jest publicznie dostępny pod stabilnym adresem URL. Uproszczona forma składa się z dwóch zdań: oświadczenia producenta o zgodności i adresu URL. Pełny dokument Załącznika V musi nadal istnieć i być dostępny dla organów na żądanie.
Jak długo należy przechowywać Deklarację Zgodności CRA?
Co najmniej 10 lat od daty wprowadzenia produktu na rynek lub przez czas trwania okresu wsparcia, w zależności od tego, co jest dłuższe (artykuł 13(13)). Dla produktu z 15-letnim okresem wsparcia DoC i dokumentacja techniczna muszą być przechowywane przez 15 lat.
Kto jest uprawniony do podpisania Deklaracji Zgodności CRA?
Producent lub upoważniony przedstawiciel mający siedzibę w UE, jeśli producent nie ma siedziby w UE. Sygnatariusz musi być uprawniony do prawnego zobowiązania producenta: zazwyczaj jest to CEO, Dyrektor Generalny lub Dyrektor ds. Regulacji. Importer lub dystrybutor nie może podpisać, chyba że stał się producentem przez dokonanie istotnej modyfikacji produktu.
Kolejne kroki
- Sklasyfikuj produkt (Domyślny, Ważny Klasy I/II lub Krytyczny) korzystając z Przewodnika klasyfikacji produktów CRA.
- Potwierdź moduł oceny zgodności za pomocą Przewodnika decyzyjnego oceny zgodności CRA.
- Zakończ ocenę zgodności i zbierz wszystkie raporty z testów przed sporządzeniem DoC.
- Sporządź DoC na podstawie powyższego szablonu. Przypisz numer deklaracji i zweryfikuj każdy element z Załącznika V.
- Przetłumacz DoC na języki wymagane przez każde Państwo Członkowskie, w którym produkt jest wprowadzany na rynek (Art. 28(2)).
- Podpisz i datuj dokument po zakończeniu oceny. Nanieś oznakowanie CE przed wprowadzeniem na rynek.
- Złóż podpisaną DoC w pliku technicznym wraz z raportami z testów i SBOM. Zobacz Kompletny przewodnik po dokumentacji technicznej CRA (Załącznik VII).
- Opublikuj pełną DoC pod stabilnym adresem URL, jeśli planujesz dostarczać z produktem uproszczoną formę z Załącznika VI.
- Przechowuj DoC przez co najmniej 10 lat od wprowadzenia na rynek lub przez okres wsparcia, w zależności od tego, co jest dłuższe (Art. 13(13)).
Ten artykuł ma charakter wyłącznie informacyjny i nie stanowi porady prawnej. W celu uzyskania konkretnych wskazówek dotyczących zgodności skonsultuj się z wykwalifikowanym doradcą prawnym.
Powiązane artykuły
Czy CRA dotyczy Twojego produktu?
Odpowiedz na 6 prostych pytań, aby dowiedzieć się, czy Twój produkt podlega pod Cyber Resilience Act UE. Uzyskaj wynik w mniej niż 2 minuty.
Gotowy na osiągnięcie zgodności z CRA?
Zacznij zarządzać swoimi SBOM-ami i dokumentacją zgodności z CRA Evidence.