Cyber Resilience Act UE: Kompletny harmonogram wdrożenia 2025-2027

Cyber Resilience Act UE (Rozporządzenie 2024/2847) stanowi najważniejszą legislację dotyczącą cyberbezpieczeństwa dla produktów z elementami cyfrowymi (PEC) w Unii Europejskiej. Z egzekwowaniem rozpoczynającym się w 2025 roku i pełną zgodnością wymaganą do grudnia 2027, producenci muszą zrozumieć harmonogram i odpowiednio się przygotować.

Co zmienia się we wrześniu 2026?

Pierwszy ważny termin zgodności przypada na wrzesień 2026, kiedy wchodzą w życie obowiązki zgłaszania podatności. Oznacza to:

• Powiadomienie w ciągu 24 godzin: Każda aktywnie wykorzystywana podatność musi być zgłoszona do ENISA w ciągu 24 godzin od odkrycia
• Szczegółowy raport w ciągu 72 godzin: Kompleksowy raport o podatności ze szczegółami technicznymi
• Aktualizacja w ciągu 14 dni: Raport o postępach w środkach łagodzących
• Raport końcowy: Pełna analiza incydentu w ciągu 30 dni

Przygotowanie workflow zarządzania podatnościami

Aby dotrzymać tych terminów, producenci powinni ustanowić:

1. Monitoring podatności dla wszystkich komponentów oprogramowania w swoich produktach
2. Wewnętrzne procedury eskalacji, które mogą uruchomić się w ciągu godzin, nie dni
3. Szablony powiadomień ENISA gotowe do natychmiastowego użycia
4. SBOM (Software Bill of Materials) do szybkiej identyfikacji dotkniętych produktów

Grudzień 2027: Pełna zgodność

Do grudnia 2027 wszystkie produkty z elementami cyfrowymi sprzedawane w UE muszą spełniać pełne wymagania CRA:

Podstawowe wymagania cyberbezpieczeństwa (Załącznik I)

• Bezpieczeństwo od początku projektu i domyślnie
• Ochrona przed nieautoryzowanym dostępem
• Poufność i integralność danych
• Minimalna powierzchnia ataku
• Bezpieczne mechanizmy aktualizacji

Dokumentacja techniczna (Załącznik VII)

Każdy produkt wymaga kompleksowej dokumentacji technicznej obejmującej:

• Dokumentację oceny ryzyka
• Dowody oceny zgodności
• SBOM z identyfikowalnością na poziomie komponentów
• Procedury obsługi podatności
• Deklarację okresu wsparcia (minimum 5 lat)

Klasyfikacja produktu ma znaczenie

CRA definiuje trzy kategorie produktów z różnymi wymaganiami oceny zgodności:

Zacznij przygotowania teraz

Nawet jeśli pełne egzekwowanie jest w 2027 roku, wymagana praca jest znacząca. Zalecamy producentom rozpoczęcie teraz od:

1. Zinwentaryzuj swoje produkty - Które PEC sprzedajesz w UE?
2. Sklasyfikuj swoje produkty - Domyślna, Ważna czy Krytyczna?
3. Wdróż generowanie SBOM - Zautomatyzowane, dokładne i kompletne

1. Ustanów procesy zarządzania podatnościami - Monitoruj, wykrywaj, zgłaszaj, naprawiaj
2. Dokumentuj wszystko - Przygotowanie dokumentacji technicznej wymaga czasu

Jak CRA Evidence może pomóc

CRA Evidence zapewnia kompletną platformę do zarządzania Twoją drogą do zgodności z CRA:

• Zarządzanie SBOM: Przesyłaj, waliduj i utrzymuj SBOM dla wszystkich swoich produktów
• Śledzenie podatności: Automatyczne skanowanie ze śledzeniem terminów ENISA
• Export dokumentacji technicznej: Generuj pakiety dokumentacji zgodne z Załącznikiem VII
• Ścieżka audytu: Pełna identyfikowalność dla ocen zgodności

Termin grudnia 2027 może wydawać się odległy, ale budowanie zgodnych procesów wymaga czasu. Rozpocznij swoją ocenę gotowości CRA już dziś.

Klasyfikacja: Określ kategorię swojego produktu za pomocą naszego przewodnika po klasyfikacji produktów.

SBOM: Zbuduj swoją infrastrukturę SBOM za pomocą naszego przewodnika po wymaganiach SBOM.

Zgłaszanie: Dowiedz się o regule 24 godzin w naszym przewodniku po zgłaszaniu podatności do ENISA.

Ten artykuł ma charakter wyłącznie informacyjny i nie stanowi porady prawnej. W celu uzyskania szczegółowych wskazówek dotyczących zgodności należy skonsultować się z wykwalifikowanym doradcą prawnym.