CRA dla niemieckich producentów: BSI, CERT-Bund i CE

Profil kraju dla niemieckich producentów wg CRA: BSI jako organ nadzoru rynku i notyfikujący, CERT-Bund, akredytacja DAkkS.

Zespół CRA Evidence Opublikowano 11 czerwca 2026
Profil kraju CRA dla niemieckich producentów przedstawiający krajowy łańcuch instytucjonalny: CERT-Bund jako punkt kontaktowy ds. zgłoszeń podatności i incydentów, BSI mający pełnić rolę organu nadzoru rynku i notyfikującego, DAkkS odpowiedzialna za akredytację
W tym artykule

Niemieccy producenci podlegają tym samym obowiązkom CRA co wszyscy inni producenci w UE. To, co jest specyficzne dla Niemiec, to łańcuch instytucjonalny. Niemcy zbudowały go wokół jednego podmiotu. BSI ma pełnić zarazem funkcję organu nadzoru rynku i organu notyfikującego w ramach CRA. Jeden podmiot, dwie role, podczas gdy Francja i Hiszpania powierzyły je odrębnym agencjom. To jest profil kraju dla Niemiec. Pełny zestaw obowiązków producenta omawia przewodnik klastra dla producentów.

Podsumowanie

  • CRA jest rozporządzeniem UE o bezpośrednim skutku. Nie istnieją żadne zwolnienia specyficzne dla Niemiec, które dotyczyłyby producentów.
  • BSI (Bundesamt für Sicherheit in der Informationstechnik) ma stać się zarówno organem nadzoru rynku, jak i organem notyfikującym w rozumieniu CRA. Podstawą prawną jest ustawa wykonawcza do CRA (Gesetz zur Durchführung der Cyberresilienz-Verordnung), nowelizująca ustawę o BSI. Jest to rządowy projekt ustawy (BT-Drs. 21/6134), nadal w toku procesu legislacyjnego i jeszcze nieuchwalony.
  • CERT-Bund, krajowy CERT działający w strukturach BSI, jest niemieckim operacyjnym punktem kontaktowym do zgłaszania podatności i incydentów CRA, gdy główna siedziba producenta znajduje się w Niemczech.
  • DAkkS (Deutsche Akkreditierungsstelle) akredytuje kandydujące jednostki oceny zgodności. BSI następnie notyfikuje je Komisji Europejskiej. Projekt nowelizacji ustawy o BSI pozwala BSI notyfikować jednostkę nawet bez certyfikatu akredytacji w ściśle określonych przypadkach interesu publicznego.
  • Na dzień 11 czerwca 2026 r., kiedy zaczął obowiązywać unijny system jednostek notyfikowanych w ramach CRA, baza NANDO Komisji Europejskiej nie odnotowuje ani jednej jednostki notyfikowanej wyznaczonej na podstawie CRA.
  • Język niemiecki jest wymagany dla informacji przeznaczonych dla użytkownika, dostarczanych z produktem na rynku niemieckim. Deklaracja zgodności UE musi być sporządzona w języku wymaganym przez Niemcy.
  • Niemcy centralizują nadzór rynku CRA w BSI. Jedynym wyjątkiem są systemy AI wysokiego ryzyka, za których nadzór odpowiada organ wyznaczony na podstawie rozporządzenia w sprawie AI.
2
Role, jeden podmiot
BSI nadzoruje i notyfikuje
0
Jednostek notyfikowanych CRA
w NANDO dotychczas
wrz 2026
Start zgłaszania
przez platformę ENISA
€15M
Maksymalna kara
lub 2,5% globalnego obrotu

BSI łączy nadzór rynku z notyfikacją

To właśnie wyróżnia Niemcy. Projekt ustawy wykonawczej do CRA wyznacza BSI jako Marktüberwachungsbehörde (organ nadzoru rynku) i notifizierende Behörde (organ notyfikujący) w jednym akcie. Organ notyfikujący decyduje, które jednostki oceny zgodności uzyskają status jednostek notyfikowanych. Organ nadzoru rynku kontroluje produkty już wprowadzone do obrotu. W Niemczech obie funkcje skupione są w BSI.

Część państw członkowskich przyjęła analogiczne rozwiązanie. Inne podzieliły te dwie role między osobne agencje.

Państwo członkowskieOrgan notyfikującyNadzór rynkuCSIRT ds. zgłoszeń
Niemcy BSI BSI CERT-Bund
Włochy ACN ACN CSIRT Italia
Niderlandy RDI RDI NCSC-NL
Francja ANSSI ANFR CERT-FR
Hiszpania CCN SETID INCIBE-CERT

Wyznaczone lub przewidywane organy krajowe. Kilka z nich wciąż oczekuje na wydanie końcowych krajowych aktów prawnych.

Podstawą prawną jest Gesetz zur Durchführung der Cyberresilienz-Verordnung, ustawa wykonawcza do CRA, nowelizująca ustawę o BSI (BSI-Gesetz). Jest to rządowy projekt ustawy (Gesetzentwurf der Bundesregierung), opublikowany jako druk Bundestagu BT-Drs. 21/6134.

Nadal projekt, nie prawo

Ustawa wykonawcza przyznająca BSI te uprawnienia jest rządowym projektem ustawy, nadal w toku procesu legislacyjnego. Plany warto tworzyć z uwzględnieniem BSI, ale przed formalnym złożeniem dokumentów należy zweryfikować brzmienie uchwalonej ustawy.

Jako wyznaczony organ nadzoru rynku BSI dysponowałby uprawnieniami egzekucyjnymi przewidzianymi w CRA. Może wymagać działań naprawczych, ograniczyć produkt, wycofać go z obrotu lub zarządzić akcję odzyskania produktu od użytkowników, a za najpoważniejsze naruszenia nakładać kary do 15 milionów euro lub 2,5% całkowitego rocznego światowego obrotu. Pełna struktura poziomów kar omówiona jest w przewodniku o karach i egzekwowaniu.

Jeśli projekt ustawy zostanie uchwalony w obecnym kształcie, jedna agencja będzie wydawać niemieckie wytyczne interpretacyjne, decydować o tym, kto może certyfikować, oraz prowadzić nadzór. Ta koncentracja ról jest warta uwzględnienia w planowaniu. BSI jest punktem odniesienia na niemal każdym etapie procesu. Agencja publikuje wytyczne CRA, materiały informacyjne dla producentów i centrum pomocy dla MŚP na swojej oficjalnej stronie poświęconej CRA.

CERT-Bund: niemiecka ścieżka zgłaszania

Zgłoszenia CRA trafiają do CSIRT wyznaczonego jako koordynator w państwie członkowskim, w którym producent ma główną siedzibę, czyli miejscu, w którym podejmowane są kluczowe decyzje z zakresu cyberbezpieczeństwa, a nie jedynie biuro sprzedaży. Dla producenta z siedzibą w Niemczech operacyjnym punktem kontaktowym jest CERT-Bund, krajowy CERT w strukturach BSI. Formalne wyznaczenie koordynatora jest publikowane przez ENISA, dlatego przed pierwszym zgłoszeniem warto to potwierdzić, a nie zakładać z góry. Jeśli główna siedziba producenta mieści się w innym państwie członkowskim, a produkty są jedynie sprzedawane w Niemczech, zgłoszenia trafiają przez CSIRT tego państwa, nie przez CERT-Bund. Obowiązki w zakresie języka opisane poniżej dotyczą jednak wszystkiego, co jest wprowadzane na rynek niemiecki.

CRA dzieli zgłaszanie na dwa strumienie z różnymi terminami. Aktywnie wykorzystywana podatność wymaga wczesnego ostrzeżenia w ciągu 24 godzin, powiadomienia o podatności w ciągu 72 godzin oraz raportu końcowego nie później niż 14 dni od udostępnienia środka naprawczego lub ograniczającego. Poważny incydent wymaga wczesnego ostrzeżenia w ciągu 24 godzin, powiadomienia o incydencie w ciągu 72 godzin oraz raportu końcowego w terminie jednego miesiąca od powiadomienia o incydencie. Termin 14 dni i termin jednego miesiąca nie są wymienne. Oba strumienie omawia szczegółowo przewodnik dotyczący obsługi podatności i zgłaszania.

Zgłoszeń dokonuje się przez jedną platformę zgłoszeniową ENISA, która stanie się operacyjna 11 września 2026 r., z CERT-Bund jako koordynatorem odbierającym zgłoszenia i ENISA dostępną równocześnie. Rejestrację w platformie opisuje przewodnik wdrożeniowy platformy ENISA SRP. Aktualne dane kontaktowe do zgłoszeń są dostępne na stronie CERT-Bund.

Jednostki notyfikowane: DAkkS akredytuje, BSI notyfikuje

Jednostka notyfikowana jest wymagana tylko w przypadku niektórych produktów, przede wszystkim należących do klas Ważnych i Krytycznych, i tylko wtedy, gdy normy zharmonizowane lub system certyfikacji nie obejmują danego produktu. Przewodnik dotyczący oceny zgodności mapuje klasę produktu na właściwą ścieżkę.

Niemcy stosują dwuetapowy łańcuch:

  • DAkkS (Deutsche Akkreditierungsstelle) jest krajową jednostką akredytującą. Ocenia kompetencje techniczne kandydujących jednostek oceny zgodności na podstawie rozporządzenia (WE) nr 765/2008.
  • BSI następnie notyfikuje akredytowaną jednostkę Komisji Europejskiej, po czym pojawia się ona w NANDO jako jednostka notyfikowana CRA.

Jest jeszcze jeden specyficznie niemiecki skrót proceduralny, który warto znać. Projekt nowelizacji ustawy o BSI, opisany w BT-Drs. 21/6134, pozwala BSI notyfikować jednostkę bez certyfikatu akredytacji w ściśle określonych przypadkach interesu publicznego. Projekt powiązuje to z samym celem rozporządzenia: państwa członkowskie powinny dążyć do posiadania wystarczającej liczby jednostek notyfikowanych do 11 grudnia 2026 r., by uniknąć wąskich gardeł. Wyjątek istnieje, bo zwykła ścieżka akredytacji może nie zdążyć zapewnić wystarczającej liczby jednostek w czasie. To sygnał: Niemcy spodziewają się, że przepustowość jednostek notyfikowanych będzie ograniczona.

Problem z przepustowością jest realny i dotyczy całej UE. Unijny system jednostek notyfikowanych w ramach CRA stosuje się od 11 czerwca 2026 r. Na tę datę NANDO nie odnotowuje żadnych jednostek notyfikowanych wyznaczonych na podstawie CRA w całej Unii. Nie należy wskazywać żadnej niemieckiej jednostki jako wyznaczonej w ramach CRA, dopóki nie pojawi się ona w NANDO. Niemieccy producenci mogą korzystać z dowolnej jednostki notyfikowanej z UE, gdy wyznaczenia zaczną się pojawiać, nie tylko z jednostki niemieckiej. Wybór jednostki niemieckiej jest preferencją zakupową, a nie wymogiem CRA.

BSI TR-03183: dlaczego pojawia się w niemieckich przetargach

BSI publikuje wytyczną techniczną BSI TR-03183, obejmującą wymagania dla producentów i produktów, specyfikację wykazu komponentów oprogramowania (SBOM) oraz zgłaszanie podatności. To tymczasowa wytyczna techniczna, a nie norma zharmonizowana, i sama w sobie nie daje domniemania zgodności, jakie daje norma zharmonizowana.

W Niemczech ma jednak praktyczne znaczenie. BSI ma być organem nadzoru rynku, jest już poważnym punktem odniesienia w zamówieniach publicznych i przemysłowych, dlatego niemieccy nabywcy będą zapewne powoływać się na TR-03183 jako wytyczną techniczną BSI zorientowaną na CRA. Warto traktować ją jako punkt odniesienia, po który sięgną niemieccy kontrahenci, i jako rozsądny cel wewnętrzny na czas, gdy normy zharmonizowane są jeszcze opracowywane. Przewodnik dotyczący BSI TR-03183 omawia szczegółowo wymagane pola danych i poziomy jakości.

Wymagania językowe w praktyce

CRA wiąże wymogi językowe z odbiorcami, nie z ogólną zasadą. Informacje przeznaczone dla użytkownika muszą być w języku łatwo zrozumiałym przez użytkowników i organ nadzoru rynku. Dla produktów wprowadzanych na rynek niemiecki jest to język niemiecki.

Wymagane po niemiecku:

  • Informacje i instrukcje dla użytkownika dołączone do produktu.
  • Dane kontaktowe producenta wszędzie, gdzie są podane: na produkcie, opakowaniu lub w dokumencie towarzyszącym.
  • Data zakończenia wsparcia ujawniana w punkcie sprzedaży.

Może być wielojęzyczne:

  • Oznakowanie CE i etykieta produktu.
  • Teksty na opakowaniu i dokumentacja internetowa, pod warunkiem że wersja niemiecka jest dostępna.

Angielski jest zazwyczaj akceptowany dla:

  • Wewnętrznej dokumentacji technicznej. Na uzasadniony wniosek BSI może zażądać jej w języku, który łatwo rozumie, dlatego warto uwzględnić taką ewentualność nawet bez proaktywnego tłumaczenia. Dokumentacja techniczna związana z procedurą jednostki notyfikowanej musi być sporządzona w oficjalnym języku państwa członkowskiego, w którym ta jednostka ma siedzibę, lub w języku przez nią akceptowanym.

Deklaracja zgodności UE musi być udostępniona w językach wymaganych przez państwo członkowskie, w którym produkt jest wprowadzany do obrotu lub udostępniany. Dla rynku niemieckiego należy przygotować wersję niemiecką, a nie traktować tłumaczenia wyłącznie jako działanie na wypadek kontroli.

Jedyny wyjątek: systemy AI wysokiego ryzyka

Niemcy centralizują nadzór rynku CRA w BSI. Projekt ustawy wykonawczej dokonał tego wyboru celowo, a jego uzasadnienie wprost odrzuca rozdzielenie nadzoru CRA między różne organy sektorowe. Dla większości producentów BSI jest organem nadzoru.

Jeden prawdziwy wyjątek wynika z samego CRA, nie z prawa niemieckiego. Jeśli produkt jest systemem AI wysokiego ryzyka w rozumieniu rozporządzenia w sprawie AI, to organ nadzoru rynku wyznaczony na podstawie tego rozporządzenia, a nie BSI, odpowiada za nadzór rynku CRA w odniesieniu do tego produktu. W Niemczech organ ten jest wyznaczony na podstawie ustawy wdrażającej AI (KI-MIG). Oba organy współpracują, ale po stronie rozporządzenia w sprawie AI.

Kto sprawuje nadzór? Czy produkt jest systemem AI wysokiego ryzyka w rozumieniu rozporządzenia w sprawie AI?

To jedyny przypadek, w którym inny organ przejmuje nadzór rynku CRA. W Niemczech organ ten jest wyznaczony na podstawie ustawy wdrażającej AI (KI-MIG).

Tak: organ nadzoru rynku wyznaczony na podstawie rozporządzenia w sprawie AI prowadzi nadzór CRA, współpracując z BSI Nie: BSI jest organem nadzoru rynku CRA

Inne reżimy nakładają się na CRA, nie zmieniając jednak organu nadzorującego. Produkt może jednocześnie podlegać rozporządzeniu w sprawie maszyn i CRA, przy czym BSI nadal prowadzi nadzór CRA, współpracując z właściwym organem sektorowym. W sektorze finansowym BSI współpracuje z organami nadzoru działającymi na podstawie rozporządzenia (UE) 2022/2554 (DORA), a nie przekazuje im nadzoru CRA. Zmiany przepisów o energetyce i telekomunikacji zawarte w tej samej ustawie są korektami NIS2, a nie przeniesieniem nadzoru CRA. Jeśli produkcja dotyczy maszyn lub automatyki przemysłowej, należy liczyć się z równoległymi obowiązkami, a nie z innym organem nadzoru CRA.

Sprzedaż transgraniczna z Niemiec

Niemieccy producenci sprzedający do Francji, Hiszpanii, Włoch lub innych państw członkowskich UE stosują tę samą zasadę jednego kanału zgłaszania. Zgłoszenia nadal trafiają do CERT-Bund, bo routing zależy od miejsca głównej siedziby, a nie od kierunku dostawy. Producent nie składa zgłoszeń do CSIRT Francji, Hiszpanii ani Włoch.

Obowiązki językowe rozgałęziają się jednak dla każdego rynku. Produkt wysyłany do Francji wymaga francuskich treści przeznaczonych dla użytkownika, wysyłany do Hiszpanii wymaga treści w języku hiszpańskim i tak dalej. Wersja niemiecka nie obejmuje tych rynków. Organ nadzoru rynku każdego przyjmującego państwa członkowskiego może też zażądać dokumentacji technicznej w języku, który łatwo rozumie, dlatego warto wcześniej przygotować najbardziej poszukiwane sekcje w powszechnie stosowanym języku roboczym.

Finansowanie i dotacje: co warto zweryfikować

Nie istnieje żaden grant przeznaczony wyłącznie na CRA. Dostępne wsparcie dotyczy ogólnie cyfryzacji i bezpieczeństwa, a część programów już wygasła.

  • go-digital nie istnieje. Program obowiązywał tylko do 31 grudnia 2024 r., dlatego starsze poradniki, które go wymieniają, są nieaktualne.
  • Mittelstand-Digital oferuje bezpłatne doradztwo i sieć Zentren, nie jest natomiast bezpośrednią dotacją dla poszczególnych MŚP.
  • KfW ERP-Förderkredit Digitalisierung und Innovation (programy 511/512) to linia finansowania cyfryzacji i inwestycji w bezpieczeństwo IT, a nie subwencja na CRA.
  • Federalne programy badawcze mogą wspierać prawdziwe projekty badawczo-rozwojowe z zakresu cyberbezpieczeństwa, ale każde zaproszenie do składania wniosków należy sprawdzać indywidualnie.

Okna czasowe i kryteria kwalifikacji poszczególnych programów zmieniają się często. Przed ujęciem jakiejkolwiek pozycji w budżecie należy potwierdzić jej aktualny status.

Często zadawane pytania

Czy BSI jest już moim organem nadzoru rynku CRA?

Jeszcze nie. BSI ma stać się zarówno organem nadzoru rynku, jak i organem notyfikującym w ramach CRA na mocy niemieckiej ustawy wykonawczej, Gesetz zur Durchführung der Cyberresilienz-Verordnung. Ustawa ta nowelizuje ustawę o BSI i jest rządowym projektem ustawy (BT-Drs. 21/6134), nadal w toku procesu legislacyjnego i jeszcze nieuchwalonym. Plany warto tworzyć z uwzględnieniem BSI, ale przed formalnym złożeniem dokumentów należy zweryfikować brzmienie uchwalonej ustawy. Pułap kar, które BSI może nakładać, wyznacza rozporządzenie: do 15 milionów euro lub 2,5% całkowitego rocznego światowego obrotu za najpoważniejsze naruszenia.

Gdzie zgłaszać podatność lub incydent w Niemczech?

Do CERT-Bund, krajowego CERT w strukturach BSI, gdy główna siedziba producenta jest w Niemczech. Zgłoszeń dokonuje się przez jedną platformę zgłoszeniową ENISA od 11 września 2026 r., z CERT-Bund jako koordynatorem odbierającym zgłoszenia i ENISA dostępną równocześnie. Oba strumienie mają różne terminy: aktywnie wykorzystywana podatność wymaga zgłoszeń w ciągu 24 godzin, 72 godzin i raportu końcowego w ciągu 14 dni od udostępnienia środka naprawczego, natomiast poważny incydent wymaga zgłoszeń w ciągu 24 godzin, 72 godzin i raportu końcowego w terminie jednego miesiąca od powiadomienia o incydencie. Szczegóły omawia przewodnik dotyczący obsługi podatności i zgłaszania.

Czy są dostępne niemieckie jednostki notyfikowane, z których można korzystać już teraz?

Na dzień 11 czerwca 2026 r., gdy unijny system jednostek notyfikowanych CRA zaczął obowiązywać, NANDO nie odnotowuje żadnych jednostek notyfikowanych wyznaczonych na podstawie CRA w całej UE. Nie należy polegać na jakiejkolwiek niemieckiej jednostce jako wyznaczonej, dopóki nie pojawi się w NANDO. W Niemczech DAkkS akredytuje kandydującą jednostkę, a BSI ją następnie notyfikuje. Projekt nowelizacji ustawy o BSI pozwala BSI notyfikować jednostkę bez certyfikatu akredytacji w ściśle określonych przypadkach interesu publicznego, właśnie po to, by uniknąć ogólnounijnego wąskiego gardła, przed którym ostrzega rozporządzenie. Niemieccy producenci mogą korzystać z dowolnej jednostki notyfikowanej z UE, nie tylko z jednostki niemieckiej. Szczegóły omawia przewodnik dotyczący oceny zgodności.

Czy dokumentacja techniczna i deklaracja zgodności muszą być sporządzone po niemiecku?

Informacje dla użytkownika, instrukcje i dane kontaktowe dołączone do produktu muszą być w języku łatwo zrozumiałym przez użytkowników i organ nadzoru rynku, co dla rynku niemieckiego oznacza język niemiecki. Deklaracja zgodności UE musi być sporządzona w języku wymaganym przez Niemcy, dlatego należy przygotować wersję niemiecką. Wewnętrzna dokumentacja techniczna może zazwyczaj pozostać w języku angielskim, ale BSI może zażądać jej w języku, który łatwo rozumie, na uzasadniony wniosek. Dokumentacja techniczna związana z procedurą jednostki notyfikowanej musi być sporządzona w oficjalnym języku państwa członkowskiego, w którym ta jednostka ma siedzibę, lub w języku przez nią akceptowanym.

Czy BSI TR-03183 zastępuje normy zharmonizowane?

Nie. BSI TR-03183 to tymczasowe wytyczne techniczne BSI, a nie norma zharmonizowana, i sama w sobie nie daje domniemania zgodności, jakie daje norma zharmonizowana. Warto jej jednak przestrzegać, bo BSI ma być organem nadzoru rynku, a TR-03183 to jej wytyczna techniczna zorientowana na CRA, dlatego niemieccy nabywcy będą się na nią zapewne powoływać. Należy traktować ją jako praktyczny punkt odniesienia na czas, gdy normy zharmonizowane są jeszcze opracowywane. Szczegóły omawia przewodnik dotyczący BSI TR-03183.

Czy inny organ mógłby prowadzić nadzór CRA zamiast BSI?

W większości przypadków nie. Niemcy centralizują nadzór rynku CRA w BSI, a projekt ustawy wykonawczej celowo odrzuca rozdzielenie go między organy sektorowe. Jedyny prawdziwy wyjątek wynika z samego CRA: jeśli produkt jest systemem AI wysokiego ryzyka w rozumieniu rozporządzenia w sprawie AI, organ nadzoru rynku wyznaczony na podstawie tego rozporządzenia odpowiada za nadzór CRA, współpracując z BSI. W innych regulowanych sektorach, takich jak sektor finansowy objęty DORA, BSI współpracuje z organem sektorowym, a nie przekazuje mu nadzoru. Przykład reżimu stosowanego równolegle z CRA omawia przewodnik dotyczący rozporządzenia w sprawie maszyn.

Co należy mieć gotowe przed 11 grudnia 2027 r.?

CRA w pełni stosuje się od 11 grudnia 2027 r., ale dwie wcześniejsze daty mają większe znaczenie dla planowania. Unijny system jednostek notyfikowanych obowiązuje już od 11 czerwca 2026 r., a obowiązki zgłaszania obowiązują od 11 września 2026 r., gdy platforma ENISA stanie się operacyjna. Zgłaszanie podatności to infrastruktura, a nie zadanie na ostatnią chwilę, dlatego należy zbudować przepływ zgłaszania do CERT-Bund i ścieżkę dowodową już teraz. Pełny zestaw obowiązków, od którego warto wyjść, omawia przewodnik klastra dla producentów.

Dla niemieckich producentów przygotowujących się do 11 grudnia 2027 r.

  1. Potwierdź obowiązki producenta, korzystając z przewodnika klastra dla producentów.
  2. Zweryfikuj, czy główna siedziba producenta jest w Niemczech, i udokumentuj uzasadnienie. Liczy się miejsce podejmowania decyzji dotyczących cyberbezpieczeństwa, a nie siedziba rejestrowa.
  3. Zaprojektuj przepływ zgłaszania CRA do CERT-Bund jako odbierającego CSIRT i przetestuj zgłoszenie przez jedną platformę zgłoszeniową ENISA, gdy stanie się operacyjna 11 września 2026 r.
  4. Jeśli ścieżka zgodności wymaga jednostki notyfikowanej, śledź wyznaczenia CRA w NANDO i zaplanuj co najmniej jedną alternatywę transgraniczną dla zwiększenia odporności.
  5. Przygotuj informacje dla użytkownika po niemiecku, deklarację zgodności UE w języku niemieckim oraz dokumentację techniczną, którą można przekazać BSI na uzasadniony wniosek.
  6. Sprawdź, czy produkt jest systemem AI wysokiego ryzyka. Jeśli tak, organ nadzoru rynku wyznaczony na podstawie rozporządzenia w sprawie AI, a nie BSI, prowadzi nadzór CRA.

Niniejszy artykuł ma charakter wyłącznie informacyjny i nie stanowi porady prawnej. W celu uzyskania szczegółowych wskazówek dotyczących zgodności z CRA należy skonsultować się z wykwalifikowanym doradcą prawnym.

CRA Niemcy Zarządzanie podatnościami
Share

Powiązane artykuły

Powrót do wszystkich artykułów

Czy CRA dotyczy Twojego produktu?

Odpowiedz na 6 prostych pytań, aby dowiedzieć się, czy Twój produkt podlega pod Cyber Resilience Act UE. Uzyskaj wynik w mniej niż 2 minuty.

Sprawdź teraz

Gotowy na osiągnięcie zgodności z CRA?

Zacznij zarządzać swoimi SBOM-ami i dokumentacją zgodności z CRA Evidence.

Rozpocznij 14-dniowy bezpłatny okres próbny

Szczegółowe omówienie zagadnień CRA

Stale aktualizowane przewodniki po wymaganiach, procesach i rolach określonych przez akt o cyberodporności (CRA).

Deklaracja zgodności UE

Co musi zawierać Deklaracja zgodności, kto ją podpisuje i kiedy jest wymagana.

Przeczytaj przewodnik →
Ocena zgodności

Jak działa ocena zgodności w ramach CRA i kiedy wymagana jest jednostka notyfikowana.

Przeczytaj przewodnik →
Dokumentacja techniczna

Co musi zawierać dokumentacja techniczna CRA (Załącznik VII sekcja po sekcji) i jak producenci powinni ją strukturyzować.

Przeczytaj przewodnik →
Wymagania SBOM

Czego CRA wymaga w zakresie SBOM i jak BSI TR-03183 definiuje kryteria jakości.

Przeczytaj przewodnik →
Zgłaszanie podatności

Jak działa wymóg powiadamiania ENISA w ciągu 24 godzin i co liczy się jako aktywnie wykorzystywana podatność.

Przeczytaj przewodnik →
Obowiązki importera

Czego artykuł 19 wymaga od importerów i jak weryfikować zgodność producenta.

Przeczytaj przewodnik →
Planowanie okresu wsparcia

Co oznacza obowiązek okresu wsparcia CRA dla aktualizacji zabezpieczeń i planowania końca życia.

Przeczytaj przewodnik →
Zobacz pełny przewodnik zgodności z CRA