CRA i NIS2: Gdzie Regulacje Cyberbezpieczeństwa Nakładają Się dla Firm Produktowych

Produkujesz urządzenia IoT dla sektora energetycznego. Podlegasz zarówno NIS2 (jako operator usług kluczowych), jak i CRA (jako producent produktów). Dwie regulacje, nakładające się wymagania, jeden budżet na zgodność.

Ten przewodnik wyjaśnia, jak CRA i NIS2 współdziałają i jak zarządzać zgodnością z oboma.

CRA vs NIS2: Fundamentalna Różnica

CRA: Regulacja Produktowa

Co reguluje: Produkty z elementami cyfrowymi wprowadzane na rynek UE

Do kogo ma zastosowanie: Producenci, importerzy, dystrybutorzy produktów z elementami cyfrowymi

Fokus: Bezpieczeństwo produktu przez cały cykl życia

• Bezpieczne projektowanie i rozwój
• Obsługa podatności dla produktów
• Aktualizacje bezpieczeństwa dla produktów
• Raportowanie incydentów na poziomie produktu

NIS2: Regulacja Organizacyjna

Co reguluje: Cyberbezpieczeństwo podmiotów kluczowych i ważnych

Do kogo ma zastosowanie: Organizacje w określonych sektorach spełniające progi wielkości

Fokus: Cyberbezpieczeństwo organizacyjne

• Zarządzanie i zarządzanie ryzykiem
• Obsługa incydentów dla usług
• Bezpieczeństwo łańcucha dostaw
• Ciągłość działania

Strefa Nakładania Się

ZAKRES NIS2                           ZAKRES CRA
+----------------------+          +----------------------+
| - Systemy IT         |          | - Produkty, które    |
| - Usługi             |          |   produkujesz        |
| - Operacje           |          | - Produkty, które    |
| - Łańcuch dostaw     |          |   importujesz        |
|   (jako nabywca)     |          | - Produkty, które    |
|                      |          |   dystrybuujesz      |
+----------+-----------+          +-----------+----------+
            \                                /
             \                              /
              +----------------------------+
              |       NAKŁADANIE SIĘ       |
              |                            |
              | - Zarządzanie podatn.      |
              | - Zgłaszanie incydentów    |
              | - Bezp. łańcucha dostaw    |
              | - Ład bezpieczeństwa       |
              +----------------------------+

Kto Stoi Przed Oboma Regulacjami?

Scenariusz 1: Podmiot Kluczowy Produkujący Produkty

Przykład: Firma energetyczna produkująca komponenty smart grid

• Stosuje się NIS2: Podmiot sektora energetycznego powyżej progu
• Stosuje się CRA: Producent produktów z elementami cyfrowymi

Obie regulacje wymagają:

• Zarządzania ryzykiem cyberbezpieczeństwa
• Obsługi podatności
• Raportowania incydentów (do różnych organów, różne wyzwalacze)
• Bezpieczeństwa łańcucha dostaw

Scenariusz 2: Podmiot Ważny Produkujący IoT

Przykład: Firma produkcyjna wytwarzająca przemysłowe czujniki IoT

• Stosuje się NIS2: Podmiot sektora produkcyjnego powyżej progu
• Stosuje się CRA: Producent produktów z elementami cyfrowymi

Scenariusz 3: Dostawca Infrastruktury Cyfrowej

Przykład: Dostawca chmury sprzedający również urządzenia sprzętowe

• Stosuje się NIS2: Dostawca infrastruktury cyfrowej
• Stosuje się CRA: Producent produktów sprzętowych

Scenariusz 4: Producent Produktów Zdrowotnych

Przykład: Firma wyrobów medycznych przylegających (nie urządzeń objętych MDR)

• Stosuje się NIS2: Podmiot sektora zdrowotnego
• Stosuje się CRA: Produkty nie objęte wyłączeniem MDR

Nakładające Się Wymagania

Zarządzanie Podatnościami

Możliwość koordynacji: Ujednolicony program zarządzania podatnościami obejmujący zarówno produkty, jak i systemy organizacyjne.

Raportowanie Incydentów

Kluczowe rozróżnienie: Podatność w Twoim produkcie może wywołać raportowanie CRA nawet jeśli Twoje usługi nie są dotknięte. Przerwa w usłudze może wywołać raportowanie NIS2 nawet jeśli nie istnieje podatność produktu.

Bezpieczeństwo Łańcucha Dostaw

Możliwość koordynacji: Zintegrowane zarządzanie dostawcami obejmujące zarówno komponenty produktu, jak i dostawców organizacyjnych.

Porównanie Raportowania

Ścieżka Raportowania CRA

PODATNOŚĆ PRODUKTU (aktywnie eksploatowana)
         │
         ▼
    WCZESNE OSTRZEŻENIE 24 GODZINY
    Do: Pojedyncza Platforma Raportowania ENISA
         │
         ▼
    SZCZEGÓŁOWE POWIADOMIENIE 72 GODZINY
    Do: ENISA + odpowiednie CSIRT
         │
         ▼
    RAPORT KOŃCOWY 14 DNI (podatność)
    RAPORT KOŃCOWY 30 DNI (incydent)

Ścieżka Raportowania NIS2

ZNACZĄCY INCYDENT (wpływający na usługi)
         │
         ▼
    WCZESNE OSTRZEŻENIE 24 GODZINY
    Do: Krajowy właściwy organ lub CSIRT
         │
         ▼
    POWIADOMIENIE O INCYDENCIE 72 GODZINY
    Do: Krajowy właściwy organ lub CSIRT
         │
         ▼
    RAPORT KOŃCOWY 1 MIESIĄC
    Do: Krajowy właściwy organ lub CSIRT

Gdy Stosują Się Obie

Pojedyncze zdarzenie może wywołać obie:

Przykład: Zero-day w Twoim produkcie jest aktywnie eksploatowany, wpływając na klientów będących podmiotami kluczowymi (jak firmy energetyczne używające Twojego sprzętu smart grid).

Raportowanie CRA: Ty raportujesz aktywnie eksploatowaną podatność (jesteś producentem)

Raportowanie NIS2: Twoi dotknięci klienci mogą raportować incydent (są podmiotami kluczowymi)

Twoje wewnętrzne raportowanie: Jeśli jesteś również podmiotem kluczowym używającym własnych produktów, możesz musieć raportować według obu

Jak zarządzać jednym programem bezpieczeństwa dla CRA i NIS2

Ujednolicone Zarządzanie Bezpieczeństwem

Zamiast oddzielnych programów zgodności CRA i NIS2:

UJEDNOLICONE ZARZĄDZANIE CYBERBEZPIECZEŃSTWEM

Poziom Zarządu:
- Pojedynczy nadzór nad ryzykiem cyberbezpieczeństwa
- Połączone raportowanie do kierownictwa

Poziom Operacyjny:
- Jeden program zarządzania podatnościami
  ├── Podatności produktu (fokus CRA)
  └── Podatności systemów (fokus NIS2)

- Jedna zdolność odpowiedzi na incydenty
  ├── Incydenty produktu (raportowanie CRA)
  └── Incydenty usług (raportowanie NIS2)

- Jeden program bezpieczeństwa łańcucha dostaw
  ├── Komponenty produktu (SBOM, CRA)
  └── Dostawcy usług (NIS2)

Mapowanie Procesów

Efektywność Dokumentacji

Niektóre dokumenty mogą służyć obu:

Różnice w egzekwowaniu CRA i NIS2

Egzekwowanie CRA

• Organy nadzoru rynku monitorują produkty
• Fokus na zgodności produktu
• Kary do €15M lub 2,5% globalnych obrotów
• Możliwe wycofanie/odwołanie produktu

Egzekwowanie NIS2

• Krajowe właściwe organy nadzorują podmioty
• Fokus na zgodności organizacyjnej
• Kary do €10M lub 2% globalnych obrotów
• Możliwa osobista odpowiedzialność kierownictwa

Podwójna Kara?

Pojedyncze niepowodzenie może teoretycznie wywołać egzekwowanie pod obiema:

Przykład: Słabe zarządzanie podatnościami prowadzi do niełatanego produktu I niełatanych systemów wewnętrznych.

• CRA: Niezgodność z wymaganiami obsługi podatności
• NIS2: Niezgodność ze środkami zarządzania ryzykiem

W praktyce: Regulatorzy powinni się koordynować. Wykazanie ujednoliconej zgodności pomaga.

Interakcja Harmonogramów Zgodności

Harmonogram NIS2

• Październik 2024: Termin transpozycji NIS2
• 2024-2025: Implementacja państw członkowskich
• Trwające: Wymagana zgodność

Harmonogram CRA

• Wrzesień 2026: Rozpoczynają się obowiązki raportowania
• Grudzień 2027: Wymagana pełna zgodność
• Trwające: Obowiązki cyklu życia produktu

Skoordynowane Podejście

2024                    2025                    2026                    2027
│                       │                       │                       │
▼                       ▼                       ▼                       ▼
┌───────────────────────────────────────────────────────────────────────┐
│ NIS2: Zgodność organizacyjna wymagana przez cały okres               │
└───────────────────────────────────────────────────────────────────────┘
                                                │                       │
                                                ▼                       ▼
                                        ┌───────────────────────────────┐
                                        │ CRA: Raportow. │ CRA: Pełna  │
                                        └───────────────────────────────┘

ZALECENIE:
Zbuduj teraz ujednolicony program cyberbezpieczeństwa obsługujący obie.
Nie buduj oddzielnych programów zgodności CRA i NIS2.

Praktyczna Lista Kontrolna Koordynacji

Integracja Zarządzania

LISTA KONTROLNA ZARZĄDZANIA PODWÓJNĄ REGULACJĄ

ORGANIZACYJNA:
[ ] Pojedyncza struktura zarządzania cyberbezpieczeństwem
[ ] Nadzór na poziomie zarządu obejmuje bezp. produktu i usług
[ ] Połączona strategia cyberbezpieczeństwa
[ ] Ujednolicona alokacja budżetu

ZARZĄDZANIE RYZYKIEM:
[ ] Zintegrowana ocena ryzyka (produkty + usługi)
[ ] Połączony rejestr ryzyka
[ ] Ujednolicony proces traktowania ryzyka
[ ] Pojedynczy framework raportowania ryzyka

ZARZĄDZANIE PODATNOŚCIAMI:
[ ] Jeden kanał przyjmowania podatności
[ ] Połączony proces triażu
[ ] Zintegrowany workflow naprawczy
[ ] Ujednolicone metryki i raportowanie

ODPOWIEDŹ NA INCYDENTY:
[ ] Połączony plan odpowiedzi na incydenty
[ ] Jasny routing dla raportowania CRA vs NIS2
[ ] Zintegrowane procedury komunikacji
[ ] Ujednolicony przegląd po incydencie

Integracja Raportowania

MACIERZ RAPORTOWANIA PODWÓJNEJ REGULACJI

Typ Zdarzenia                         Raportuj Pod
─────────────────────────────────────────────────────────────
Podatność prod. (nie eksploatowana)  Żadne (tylko proces CVD)
Podatność prod. (eksploatowana)      CRA → ENISA
Incydent usługi (bez produktu)       NIS2 → Organ krajowy
Oba (podatność prod. → usługa)       Oba (koordynuj)
─────────────────────────────────────────────────────────────

Wewnętrzna Eskalacja:
1. Zespół bezpieczeństwa ocenia zdarzenie
2. Określ: Wpływ na produkt? Wpływ na usługę?
3. Skieruj do odpowiedniej ścieżki raportowania
4. Koordynuj jeśli stosują się obie

Integracja Łańcucha Dostaw

UJEDNOLICONE BEZPIECZEŃSTWO ŁAŃCUCHA DOSTAW

Dla Komponentów Produktu (fokus CRA):
- SBOM utrzymywany
- Monitorowanie podatności komponentów
- Kwestionariusz bezpieczeństwa dostawcy
- Due diligence techniczne

Dla Dostawców Usług (fokus NIS2):
- Ocena ryzyka dostawcy
- Wymagania bezpieczeństwa w umowach
- Ciągłe monitorowanie
- Klauzule powiadomienia o incydentach

ZINTEGROWANE PODEJŚCIE:
- Pojedynczy system zarządzania dostawcami
- Połączony framework oceny ryzyka
- Ujednolicone umowne wymagania bezpieczeństwa
- Skoordynowany program monitorowania

Przypadki graniczne z podwójnym zakresem wymagające precyzyjnego określenia

Systemy Sterowania Przemysłowego

IACS (Industrial Automation and Control Systems) stoją przed szczególną złożonością:

• CRA: Jeśli produkujesz IACS dla podmiotów kluczowych (NIS2), to Important Class II
• NIS2: Jeśli operujesz IACS jako podmiot kluczowy, są w zakresie

Podwójne wymaganie: Produkt musi spełniać CRA; operacje muszą spełniać NIS2.

Usługi Chmurowe + Produkty

Dostawcy chmury sprzedający urządzenia sprzętowe:

• NIS2: Operacje usług chmurowych
• CRA: Sprzedawane urządzenia sprzętowe

Przykład: Urządzenie firewall dostawcy chmury musi być zgodne z CRA; ich operacje usług chmurowych muszą być zgodne z NIS2.

Przylegające do Zdrowia

Producenci wyrobów medycznych mogą mieć:

• Niektóre produkty pod MDR (wyłączone z CRA)
• Niektóre produkty pod CRA (nie objęte MDR)
• Organizację pod NIS2 (podmiot sektora zdrowotnego)

Wymagane staranne określenie zakresu: Zmapuj każdy produkt do mającej zastosowanie regulacji.

FAQ dotyczące CRA i NIS2 dla producentów

Kiedy jedno zdarzenie wyzwala zarówno obowiązki raportowania CRA, jak i NIS2?

Gdy aktywnie eksploatowana podatność w Twoim produkcie powoduje jednocześnie znaczący incydent wpływający na Twoje usługi. Raportowanie CRA jest wyzwalane przez eksploatowaną podatność produktu: składasz wczesne ostrzeżenie do ENISA w ciągu 24 godzin, następnie powiadomienie w ciągu 72 godzin. Raportowanie NIS2 jest wyzwalane osobno, jeśli Twoje usługi zostaną zakłócone: składasz raport do krajowego właściwego organu lub CSIRT w tym samym harmonogramie 24/72 godzin. Oba raporty dotyczą różnych przedmiotów. CRA koncentruje się na produkcie i podatności. NIS2 koncentruje się na wpływie na usługę i Twojej reakcji. Oba mogą być wymagane dla tego samego zdarzenia pierwotnego.

Kto składa raport, jeśli producent jest jednocześnie podmiotem kluczowym?

Składasz oba raporty, i składasz je osobno. Jako producent produktu zgłaszasz eksploatowaną podatność do ENISA na podstawie CRA. Jako podmiot kluczowy zgłaszasz incydent usługi do krajowego właściwego organu lub CSIRT na podstawie NIS2. Oba zgłoszenia są niezależne: różne formularze, różni odbiorcy, w niektórych przypadkach różne terminy. Przypisz konkretną osobę odpowiedzialną za każdą ścieżkę raportowania zanim dojdzie do incydentu. Nie zakładaj, że jeden raport zaspokaja wymogi drugiego.

Czy jeden rejestr ryzyka może służyć zarówno CRA, jak i NIS2?

Tak, jeśli oddziela ryzyka produktowe od ryzyk organizacyjnych. Zorganizuj rejestr tak, aby ryzyka na poziomie produktu (podatności komponentów, awarie aktualizacji, luki w zgodności) były wyraźnie oddzielone od ryzyk organizacyjnych (ciągłość usług, awarie zarządzania, zakłócenia łańcucha dostaw). Oba zestawy ryzyk mogą znajdować się w tym samym dokumencie i korzystać ze wspólnej metodologii oceny. Czego nie można łączyć, to sposobu postępowania: postępowanie z ryzykiem CRA prowadzi do kontroli produktu i aktualizacji dokumentacji technicznej; postępowanie z ryzykiem NIS2 prowadzi do środków organizacyjnych i zmian polityk. Utrzymuj wpisy jako odrębne, aby każdy audyt mógł znaleźć to, czego potrzebuje.

Jak powinna różnić się należyta staranność wobec dostawców komponentów i usługodawców?

W przypadku komponentów produktu objętych CRA, należyta staranność ma charakter techniczny: potrzebujesz SBOM obejmującego komponent, dowodów monitorowania podatności przez dostawcę oraz zobowiązania umownego do powiadamiania Cię o eksploatowalnych podatnościach w określonym oknie czasowym. W przypadku usługodawców objętych NIS2, należyta staranność ma charakter organizacyjny: oceniasz ich ład bezpieczeństwa, zdolność reagowania na incydenty, ciągłość działania oraz to, czy spełniają środki bezpieczeństwa NIS2 mające zastosowanie do Twojego sektora. Oba typy mogą korzystać ze wspólnego szablonu kwestionariusza, ale kryteria oceny i klauzule umowne są różne.

Jakie dowody należy zachować, aby wykazać skoordynowaną zgodność z obydwoma systemami?

Zachowaj trzy rzeczy. Po pierwsze, dokument mapowania pokazujący, które wewnętrzne procesy służą któremu obowiązkowi regulacyjnemu, tak aby audytor mógł prześledzić każde wymaganie CRA lub NIS2 do konkretnej kontroli. Po drugie, zapisy incydentów pokazujące, że obie ścieżki raportowania zostały prawidłowo uruchomione, gdy zdarzenia kwalifikowały się, z sygnaturami czasowymi i potwierdzeniami odbioru. Po trzecie, raporty zarządu lub kierownictwa obejmujące zarówno bezpieczeństwo produktu, jak i bezpieczeństwo organizacyjne w ramach jednej struktury zarządzania, pokazujące, że nadzór jest ujednolicony. Jeśli jesteś audytowany zgodnie z CRA i NIS2 w tym samym roku, te dowody są tym, co wykazuje, że prowadzisz jeden program, a nie dwa niezwiązane ze sobą.

Jak krajowe różnice w implementacji NIS2 wpływają na producenta działającego w wielu krajach?

NIS2 jest dyrektywą, a nie rozporządzeniem, co oznacza, że każde państwo członkowskie UE transponuje ją do prawa krajowego. Podstawowe obowiązki (zarządzanie ryzykiem, zgłaszanie incydentów, bezpieczeństwo łańcucha dostaw) są spójne, ale właściwy organ, progi sektorowe, a czasem struktura kar różnią się w zależności od kraju. Producent działający w Niemczech, Francji i Polsce musi ustalić, który krajowy organ nadzoruje każdy podmiot, zarejestrować się we właściwym organie w każdej jurysdykcji i kierować zgłoszenia incydentów NIS2 do właściwego krajowego CSIRT. CRA, w przeciwieństwie do tego, jest rozporządzeniem i stosuje się jednolicie w całej UE. Jeśli sprzedajesz produkt w dowolnym kraju UE, obowiązują te same wymagania CRA.

Kolejne kroki

Zacznij od potwierdzenia, czy Twoja firma jest jednocześnie producentem produktów i podmiotem kluczowym lub ważnym w rozumieniu NIS2. Skorzystaj z przewodnika klasyfikacji produktów, aby przypisać każdy produkt do jego klasy CRA. Następnie oddzielnie zmapuj ryzyka produktowe i ryzyka usługowe w jednym rejestrze, który utrzymuje je jako odrębne. Zdefiniuj wewnętrzne wyzwalacze raportowania dla CRA w porównaniu z NIS2 i przypisz konkretną osobę odpowiedzialną za każdą ścieżkę. Ujednolicaj przepływy pracy dotyczące dostawców i przyjmowania informacji o podatnościach, tak aby oba typy dostawców przechodziły przez jeden proces. Pełny przegląd terminów CRA znajdziesz w harmonogramie wdrażania CRA. Następnie przeprowadź wspólne ćwiczenie symulacyjne (tabletop exercise) symulujące incydent produktowy, który wpływa również na Twoje usługi: ujawni to luki w Twojej reakcji na podwójny zakres, zanim zrobi to prawdziwe zdarzenie.

Ten artykuł służy wyłącznie celom informacyjnym i nie stanowi porady prawnej. W celu uzyskania szczegółowych wskazówek dotyczących zgodności, skonsultuj się z wykwalifikowanym doradcą prawnym.