CRA 2026: co producent musi zrobić przed 11 września

W kwietniu 2026 r. zero jednostek notyfikowanych jest wyznaczonych pod CRA. Żadna norma zharmonizowana nie została opublikowana w Dzienniku Urzędowym. Platforma zgłaszania ENISA jeszcze nie istnieje. Do stosowania Art. 14, 11 września 2026 r., zostało pięć miesięcy.

Jeśli wprowadzacie produkty z elementami cyfrowymi na rynek UE, to jest rzeczywisty stan: co musicie zbudować przed wrześniem, co jest dziś zablokowane i dlaczego samoocena Istotnej klasy I nie jest dostępna.

Trzy przeszkody, których nie możesz ominąć

Trzy rzeczy, których wymaga zgodność z CRA, jeszcze nie istnieją. Uwzględnijcie je przed zamknięciem harmonogramu.

Brak norm zharmonizowanych

Art. 32(2) CRA przewiduje trzy ścieżki oceny zgodności dla Istotnej klasy I: samoocena, ocena przez podmiot trzeci zgodnie z normami zharmonizowanymi lub specyfikacjami wspólnymi albo ocena przez jednostkę notyfikowaną (Module B+C lub Module H).

Ścieżka z podmiotem trzecim korzystającym z norm wymaga istnienia norm zharmonizowanych CRA. Dziś (kwiecień 2026) żadna norma zharmonizowana CRA nie została opublikowana w Dzienniku Urzędowym:

• Strona Komisji dotycząca norm zharmonizowanych nie zawiera żadnego wpisu dla Rozporządzenia (UE) 2024/2847.
• Nie przyjęto żadnych specyfikacji wspólnych na podstawie Art. 27(2).
• Żaden akt delegowany z Art. 27(9) nie wyznacza żadnego europejskiego programu certyfikacji cyberbezpieczeństwa jako ścieżki domniemania zgodności z CRA.

Art. 32(2) stanowi wprost: w przypadku braku norm lub specyfikacji wspólnych producent musi zastosować Module B+C (badanie typu UE) lub Module H (pełne zapewnienie jakości). Oba wymagają jednostki notyfikowanej.

Producent z Istotną klasą I nie ma dziś żadnej działającej ścieżki samooceny ani opartej na normach. Jedyną zgodną ścieżką jest ocena przez jednostkę notyfikowaną.

CEN-CLC/JTC 13/WG 9 opracowuje serię EN 40000:

• prEN 40000-1-1 (Słownictwo): ankieta publiczna zakończona, nie na etapie głosowania formalnego
• prEN 40000-1-2 (Zasady): ankieta publiczna zakończona, nie na etapie głosowania formalnego
• prEN 40000-1-3 (Obsługa podatności): ankieta publiczna przebiegała od grudnia 2025 do lutego 2026 r., w fazie rozpatrywania uwag
• prEN 40000-1-4 (Ogólne wymagania bezpieczeństwa): w fazie opracowywania
• Normy wertykalne Typu C (przeglądarki, VPN, SIEM i inne): zaawansowany etap projektu, nie w ankiecie publicznej

Realistycznie najwcześniejsza cytacja w Dz.U.: Q4 2026. Kilka norm wertykalnych przesunie się na 2027 r.

Brak jednostek notyfikowanych

Rozdział IV (przepisy notyfikacji jednostek notyfikowanych) obowiązuje od 11 czerwca 2026 r. Docelowa data Komisji to wystarczająca przepustowość jednostek notyfikowanych do 11 grudnia 2026 r. (Art. 35(2), zobowiązanie dochowania należytej staranności). Dziś (kwiecień 2026) w Jednolitej Przestrzeni Zgodności z Rynkiem (SMCS) nie figuruje żadna jednostka notyfikowana wyznaczona do CRA.

Jeśli potrzebujecie oceny zgodności Istotnej klasy I przed grudniem 2027 r., zaplanujcie:

• Przygotowanie dokumentacji technicznej: 3 do 6 miesięcy
• Ocena Module B+C: 2 do 4 miesięcy na produkt
• Dostępność JN: niepewna do czasu formalnego wyznaczenia po czerwcu 2026 r.

Nawiążcie kontakt z potencjalnymi jednostkami oceniającymi zgodność teraz. Formalny mechanizm nie otworzy się przed połową 2026 r. Czekanie do tego momentu sprawia, że ukończenie oceny przed grudniem 2027 r. jest mało prawdopodobne.

Brak platformy zgłaszania ENISA

Jednolita Platforma Zgłaszania (Art. 16) nie jest dostępna w kwietniu 2026 r. ENISA zawarła umowę z dostawcą. Platforma ma zostać uruchomiona przed 11 września 2026 r. Nie istnieje żaden adres URL rejestracji. Żadne wytyczne skierowane do producentów nie zostały opublikowane.

W Polsce krajowym koordynatorem CSIRT dla sektora prywatnego jest CERT Polska, działający w ramach NASK. Zidentyfikujcie swój punkt kontaktowy w CERT Polska teraz, zanim platforma ENISA będzie dostępna.

Co możecie zrobić teraz:

• Przygotujcie szablony powiadomień zgodnie z wymaganiami Art. 14(2) (formaty 24h, 72h, 14-dniowe, 30-dniowe)
• Zidentyfikujcie koordynatora CSIRT wyznaczonego przez dane państwo członkowskie
• Określcie, kto wewnętrznie jest upoważniony do uruchomienia powiadomienia 24-godzinnego
• Ustalcie ścieżki eskalacji i kontakty zapasowe na święta i weekendy

Strona SRP ENISA: https://www.enisa.europa.eu/topics/product-security-and-certification/single-reporting-platform-srp

Co musi być gotowe przed 11 września 2026 r.

Zostało pięć miesięcy. Jeśli poniższe elementy nie są gotowe, nie jesteście w tyle z zadaniami. Jesteście w tyle z infrastrukturą, a infrastruktura wymaga miesięcy budowania.

Inwentarz produktów i klasyfikacja

Producenci wprowadzający produkty z elementami cyfrowymi (PDE) na rynek UE muszą dysponować pełnym inwentarzem z klasyfikacją CRA dla każdego produktu:

• Klasa domyślna: dostępna ścieżka samooceny
• Istotna klasa I: wymagana ocena przez jednostkę notyfikowaną (patrz sekcja o przeszkodach powyżej)
• Istotna klasa II: wymagana jednostka notyfikowana (badanie typu UE lub pełne zapewnienie jakości)
• Krytyczna: badanie typu UE lub pełne zapewnienie jakości. Może mieć zastosowanie europejskie certyfikowanie cyberbezpieczeństwa.

Odniesienie klasyfikacyjne: Rozporządzenie wykonawcze (UE) 2025/2392 (Dz.U. 1 grudnia 2025 r., w mocy od 21 grudnia 2025 r.) zawiera techniczne opisy kategorii produktów z Załącznika III i IV, które rozstrzygają większość przypadków granicznych.

Infrastruktura SBOM

Nie możecie zgłosić aktywnie eksploitowanej podatności w ciągu 24 godzin bez wiedzy o komponentach zawartych w produkcie. Generowanie SBOM musi być operacyjne przed wrześniem 2026 r.

• Format: CycloneDX lub SPDX (oba akceptowane w ramach CRA). Wybierzcie jeden i ustandaryzujcie go we wszystkich produktach.
• Zakres: zależności przechodnie, nie tylko bezpośrednie. Pełna widoczność komponentów jest wymagana dla oceny ryzyka z Załącznika VII.
• Przechowywanie: z kontrolą wersji, powiązane z wydaniami produktu. Każdy SBOM musi odwzorowywać konkretny build.
• Integracja: pipeline CI/CD. Jednorazowy eksport nie spełnia ciągłego obowiązku.

Monitorowanie podatności

Zegar 24-godzinny startuje w momencie uzyskania świadomości: rozsądnej pewności na podstawie wstępnej oceny. Potwierdzenie kryminalistyczne nie jest wymagane. Potrzebujecie monitorowania zdolnego do przeprowadzenia tej wstępnej oceny przed upływem terminu.

• Subskrybujcie bazy NVD, OSV i komunikaty dostawców dla stosu komponentów
• Zautomatyzujcie skanowanie komponentów ze SBOM
• Udokumentujcie wewnętrzną ścieżkę eskalacji i przetestujcie ją od końca do końca
• Przygotujcie szablony powiadomień teraz, zanim platforma ENISA zostanie uruchomiona

Lista kontrolna stanu przed 11 września 2026 r.

INWENTARZ PRODUKTÓW (zacznij tu, klasyfikacja decyduje o ścieżce oceny zgodności):
[ ] Kompletna lista PDE sprzedawanych w UE z potwierdzoną klasyfikacją CRA dla każdego produktu
[ ] Istotna klasa I: nawiązano kontakt z jednostką oceniającą zgodność teraz. Wyznaczanie JN
    nie otworzy się przed czerwcem 2026 r. Czekanie do tego momentu przekracza termin grudnia 2027 r.
[ ] Zadeklarowany okres wsparcia zgodnie z oczekiwanym czasem użytkowania (Art. 13(8))

SBOM (zacznij tu, zasila monitorowanie, dokumentację techniczną i zgłaszanie w 24 godz.):
[ ] Generowanie SBOM zintegrowane w CI/CD. Jednorazowy eksport nie wystarczy.
[ ] Format ustandaryzowany: CycloneDX lub SPDX
[ ] Zweryfikowane pokrycie zależności przechodnich. Same zależności bezpośrednie nie wystarczą.
[ ] SBOM przechowywane z kontrolą wersji, powiązane z konkretnymi wydaniami produktu

MONITOROWANIE PODATNOŚCI (musi być aktywne przed 11 września):
[ ] Aktywne monitorowanie wszystkich produktów: NVD, OSV, komunikaty dostawców
[ ] Automatyczne skanowanie SBOM uruchomione
[ ] Wewnętrzna ścieżka eskalacji udokumentowana i przetestowana od końca do końca
[ ] Pokrycie 24/7 potwierdzone, w tym ścieżki eskalacji na święta i weekendy

PRZYGOTOWANIE DO ZGŁASZANIA (platforma ENISA jeszcze niedostępna, przygotujcie teraz wszystko inne):
[ ] Szablony powiadomień 24h, 72h, 14-dniowe i 30-dniowe przygotowane zgodnie z Art. 14(2)
[ ] Zidentyfikowany koordynator CSIRT państwa członkowskiego (CERT Polska dla sektora prywatnego w Polsce)
[ ] Wyznaczona osoba upoważniona do uruchomienia powiadomienia 24-godzinnego, dostępna całą dobę

DOKUMENTACJA:
[ ] Dokumentacja techniczna skontrolowana pod kątem Załącznika VII
[ ] Analiza luk zakończona
[ ] Ocena ryzyka w toku

Art. 14: co wymaga zgłaszania od 11 września 2026 r.

Od 11 września 2026 r. zgłaszajcie aktywnie eksploitowane podatności i poważne incydenty do dwóch miejsc jednocześnie: do wyznaczonego koordynatora CSIRT państwa członkowskiego i do ENISA za pośrednictwem Jednolitej Platformy Zgłaszania (Art. 16).

Kiedy startuje zegar 24-godzinny? Projekt wytycznych Komisji (3 marca 2026 r.) wyjaśnia: w momencie uzyskania świadomości, rozumianej jako rozsądna pewność po wstępnej ocenie. Potwierdzenie kryminalistyczne nie jest wymagane. Wiarygodny dowód aktywnej eksploitacji wystarczy do uruchomienia okna 24-godzinnego.

Wyjątek dla MŚP: Art. 64(10)(a) zwalnia mikroprzedsiębiorstwa i małe przedsiębiorstwa z grzywien za przekroczenie terminów 24-godzinnego i pierwszego powiadomienia z Art. 14(2)(a) i 14(4)(a). Wyjątek dotyczy wyłącznie wymagań czasowych, nie samego obowiązku zgłaszania.

Co oznacza "aktywna eksploitacja"

Art. 14(2)(a) ma zastosowanie, gdy istnieje wiarygodny dowód na to, że podmiot zagrożeń eksploitował podatność w systemie bez zgody właściciela. Wskaźniki obejmują:

• Potwierdzone ataki w środowisku naturalnym
• Eksploitacja zgłoszona w kanałach informacji o zagrożeniach lub przez badaczy bezpieczeństwa
• Wykrycie w honeypotach z dowodem aktywnego wdrożenia

Projekt wytycznych Komisji (Ares(2026)2319816) stosuje standard "wiarygodnego dowodu aktywnej eksploitacji", który jest niższy niż wymóg potwierdzenia kryminalistycznego.

Lista kontrolna gotowości Art. 14

INFRASTRUKTURA ZGŁASZANIA (przed 11 września 2026 r.):
[ ] Przygotowane szablony powiadomień: formaty 24h, 72h, 14-dniowy i 30-dniowy
[ ] Zidentyfikowany koordynator CSIRT państwa członkowskiego. To główny punkt
    zgłaszania obok ENISA (CERT Polska dla sektora prywatnego w Polsce)
[ ] Potwierdzona ścieżka eskalacji 24/7, w tym pokrycie świąt i kontakty zapasowe
[ ] Zakończony przegląd prawny obowiązków z Art. 14

ZARZĄDZANIE PODATNOŚCIAMI:
[ ] Aktywne monitorowanie operacyjne dla wszystkich produktów
[ ] Integracja CVE/NVD na żywo
[ ] Gotowe szablony powiadomień dla klientów

GOTOWOŚĆ ZESPOŁU:
[ ] Zespół ds. bezpieczeństwa przeszkolony z obowiązków Art. 14 i czterostopniowego harmonogramu
[ ] Eskalacja do kierownictwa udokumentowana
[ ] Zespół prawny poinformowany o obowiązkach zgłaszania
[ ] Komunikacja PR/prasowa przygotowana na publiczne ujawnienia

Pełna zgodność do 11 grudnia 2027 r.

Zasadnicze wymagania cyberbezpieczeństwa (Załącznik I)

Każdy zgodny PDE musi wykazać:

Bezpieczeństwo już na etapie projektowania

• Poziom bezpieczeństwa odpowiedni do ryzyka (Załącznik I, Część I, §1)
• Ochrona przed nieautoryzowanym dostępem
• Poufność, integralność i dostępność danych oraz funkcji zasadniczych
• Minimalna powierzchnia ataku, bezpieczne ustawienia domyślne, brak zakodowanych na stałe danych uwierzytelniających

Proces zarządzania podatnościami

• Udokumentowany proces identyfikowania i usuwania podatności
• Terminowe, bezpłatne aktualizacje zabezpieczeń w trakcie okresu wsparcia
• Polityka skoordynowanego ujawniania podatności (Art. 13(6))

Możliwość aktualizacji

• Bezpieczny, niezawodny mechanizm aktualizacji
• Możliwość oddzielenia aktualizacji zabezpieczeń od aktualizacji funkcjonalnych

Dokumentacja techniczna (Załącznik VII)

Okres wsparcia: dwa odrębne obowiązki

CRA nakłada dwa odrębne obowiązki dotyczące aktualizacji zabezpieczeń.

Art. 13(8): Producent musi wydawać aktualizacje zabezpieczeń przez minimum 5 lat od daty wprowadzenia produktu do obrotu lub przez oczekiwany czas użytkowania produktu, jeśli jest krótszy. Dolna granica 5 lat to minimum. Produkt o 10-letnim oczekiwanym czasie użytkowania wymaga 10-letniego okresu wsparcia.

Art. 13(9): Każda wydana aktualizacja zabezpieczeń musi pozostać dostępna do pobrania przez minimum 10 lat od daty wydania lub przez pozostały czas trwania okresu wsparcia, w zależności od tego, który jest dłuższy.

To odrębne obowiązki. Aktualizacja wydana w 4. roku 5-letniego okresu wsparcia musi pozostać dostępna do pobrania do 14. roku od jej wydania. Producenci, którzy usuwają stare pakiety aktualizacji lub dopuszczają do zaniku infrastruktury dystrybucji, naruszą Art. 13(9), nawet jeśli w dalszym ciągu wydają nowe aktualizacje zgodnie z harmonogramem. Zaplanujcie infrastrukturę przechowywania i dystrybucji na długi okres przed wydaniem pierwszej aktualizacji w ramach CRA.

Lista kontrolna Fazy 3

FAZA 3 (do 11 grudnia 2027 r.)

ZGODNOŚĆ PRODUKTU:
[ ] Wszystkie produkty spełniają wymagania Załącznika I: bezpieczeństwo na etapie projektowania,
    zarządzanie podatnościami i możliwość aktualizacji
[ ] Oceny zgodności zakończone (proces JN dla Klasy I/II)
[ ] Umieszczone oznakowanie CE
[ ] Przygotowana Deklaracja zgodności UE zgodnie z Art. 28

DOKUMENTACJA TECHNICZNA (Załącznik VII):
[ ] Ocena ryzyka zakończona i udokumentowana
[ ] SBOM aktualny i zatwierdzony
[ ] Dowód zgodności zorganizowany i dostępny
[ ] Okres wsparcia zadeklarowany zgodnie z oczekiwanym czasem użytkowania z Art. 13(8)

ŁAŃCUCH RYNKOWY:
[ ] Łańcuch importerów/dystrybutorów poinformowany o ich obowiązkach CRA
[ ] Dokumentacja skierowana do klientów zaktualizowana

OBOWIĄZKI CIĄGŁE:
[ ] Art. 13(8): aktywny proces aktualizacji zabezpieczeń przez cały okres wsparcia
[ ] Art. 13(9): infrastruktura dostępności aktualizacji gotowa na 10 lat od każdego wydania
[ ] Aktywne monitorowanie podatności
[ ] Reagowanie na incydenty przetestowane co najmniej kwartalnie

Wytyczne Komisji: projekt z marca 2026 r.

Komisja opublikowała projekt Komunikatu liczący ok. 70 stron (Ares(2026)2319816) w dniu 3 marca 2026 r. Konsultacje interesariuszy zakończyły się 31 marca 2026 r. Dokument nie jest jeszcze sfinalizowany. Wersja końcowa oczekuje na wszystkie wersje językowe UE. Szczegółowe omówienie znajdziesz w naszym przewodniku po wytycznych Komisji CRA.

Kluczowe rozstrzygnięcia istotne dla harmonogramu:

Test RDPS dotyczący zakresu SaaS: Oprogramowanie do zdalnego przetwarzania danych jest objęte zakresem CRA tylko wtedy, gdy przejdzie trójstopniowy test: (1) oprogramowanie wykonuje zdalne przetwarzanie danych, (2) zdalne przetwarzanie jest niezbędne do podstawowej funkcji produktu, (3) producent kontroluje zdalne przetwarzanie. SaaS, który nie spełnia tego testu, pozostaje poza zakresem.

Produkty starszego typu: Nie jest wymagana rekonstrukcja dokumentacji historycznej. Producenci potrzebują oceny ryzyka na chwilę obecną. Rodziny produktów mogą być grupowane dla celów oceny ryzyka.

Aktualizacje oprogramowania: Aktualizacja nie stanowi "istotnej modyfikacji" wymagającej nowej oceny zgodności, chyba że wprowadza nowe wektory zagrożeń lub zmienia zamierzone przeznaczenie produktu. Wytyczne zawierają czteroetapowy test.

Zegar 24-godzinny: Startuje w momencie uzyskania świadomości, rozumianej jako rozsądna pewność na podstawie wstępnej oceny, a nie potwierdzenia kryminalistycznego.

Dolna granica okresu wsparcia: 5 lat to minimum, nie wartość domyślna. Okres wsparcia musi odzwierciedlać oczekiwany czas użytkowania produktu. Produkt z 10-letnim oczekiwanym czasem użytkowania wymaga 10-letniego okresu wsparcia.

Open source: Publikowanie kodu źródłowego nie stanowi wprowadzenia produktu do obrotu. Współtwórcy, którzy nie kontrolują wydania gotowego produktu, nie są producentami w rozumieniu CRA.

Oficjalny komunikat: https://digital-strategy.ec.europa.eu/en/news/commission-publishes-feedback-draft-guidance-assist-companies-applying-cyber-resilience-act

Kary

Art. 64(2) Rozporządzenia (UE) 2024/2847 ustanawia karę najwyższego stopnia w wysokości 15 milionów EUR lub 2,5% całkowitego rocznego światowego obrotu, w zależności od tego, która wartość jest wyższa, za:

• Niezgodność z zasadniczymi wymaganiami cyberbezpieczeństwa z Załącznika I i obowiązkami z Art. 13
• Niewykonanie obowiązków z Art. 14 (zgłaszanie podatności i incydentów)

Oba naruszenia podlegają temu samemu progowi kary. Nie istnieje niższy próg dla naruszeń obowiązku zgłaszania.

Art. 64(3) (10 milionów EUR lub 2%) obejmuje odrębny zestaw obowiązków: Art. 18-23, 28, 30-33, 39, 41, 47, 49, 53, dotyczących przede wszystkim importerów, dystrybutorów i jednostek notyfikowanych. Art. 14 nie figuruje na tej liście.

Wyjątek dla MŚP: Art. 64(10)(a) zwalnia mikroprzedsiębiorstwa i małe przedsiębiorstwa z grzywien za przekroczenie określonych terminów z Art. 14(2)(a) i 14(4)(a). Wyjątek dotyczy terminów, a nie merytorycznego obowiązku zgłaszania.

Uwagi branżowe

Elektronika konsumencka

Automatyzacja SBOM to inwestycja o najwyższej wartości na wczesnym etapie. Zasila bezpośrednio monitorowanie podatności i generowanie dokumentacji technicznej. Produkty konsumenckie mają zazwyczaj złożone łańcuchy dostaw z wieloma dostawcami komponentów.

Zarządzanie aktualizacjami oprogramowania sprzętowego w dużych populacjach urządzeń wymaga infrastruktury OTA. Aktualizacja wydana w 3. roku życia produktu musi pozostać dostępna do pobrania przez 10 lat od daty jej wydania (Art. 13(9)). Zaplanujcie infrastrukturę dystrybucji teraz, nie w momencie wydania.

Wydawcy oprogramowania

Procesy zgłaszania podatności to najbardziej operacyjnie wymagający obowiązek dla produktów programowych. Częstotliwość wykrywania jest wyższa, a śledzenie zależności na poziomie przechodnim we współczesnych stosach nie jest trywialne. Zintegrujcie generowanie SBOM z istniejącymi pipeline'ami CI/CD. Zasila to bezpośrednio przepływ monitorowania i reagowania.

Sprzęt przemysłowy

Długie cykle życia produktów (10 do 20 lat) kolidują bezpośrednio z 5-letnią minimalną dolną granicą wsparcia (Art. 13(8)) i z 10-letnim wymogiem dostępności aktualizacji na każde wydanie (Art. 13(9)). Produkt z 20-letnim oczekiwanym czasem użytkowania może wymagać 20-letniego zobowiązania wsparcia.

Produkty przemysłowe często należą do Istotnej klasy I lub II, co dziś oznacza ocenę przez jednostkę notyfikowaną. Nawiążcie kontakt z jednostkami oceniającymi zgodność teraz. Formalny proces wyznaczania JN otwiera się po czerwcu 2026 r., a przepustowość będzie ograniczona co najmniej do grudnia 2026 r.

Urządzenia IoT

Eliminacja domyślnych danych uwierzytelniających to bezwzględny wymóg (Załącznik I, Część I, §2(e)). Zajmijcie się tym w pierwszej kolejności. To oczywiste naruszenie Załącznika I i stosunkowo łatwe do naprawienia w porównaniu ze zmianami architektonicznymi. Bezpieczne mechanizmy aktualizacji dla urządzeń o ograniczonych zasobach wymagają więcej pracy. Zacznijcie od danych uwierzytelniających, potem przejdźcie do aktualizacji.

Najczęściej zadawane pytania

Jakie obowiązki zaczynają obowiązywać 11 września 2026 r.?

Od 11 września 2026 r. stosuje się Artykuł 14. Producent musi zgłaszać aktywnie eksploatowane podatności do koordynatora CSIRT wyznaczonego przez państwo członkowskie i do ENISA za pośrednictwem Jednolitej Platformy Zgłaszania. W Polsce koordynatorem CSIRT dla sektora prywatnego jest CERT Polska, działający w ramach NASK (Naukowa i Akademicka Siec Komputerowa). Okno 24-godzinne na wczesne ostrzeżenie startuje w momencie uzyskania świadomości. Tego samego dnia zaczynają obowiązywać terminy 72-godzinny, 14-dniowy i 30-dniowy z Artykułu 14(2).

Czym różni się termin z września 2026 r. od terminu z grudnia 2027 r.?

11 września 2026 r. uruchamia wyłącznie Artykuł 14: zgłaszanie podatności i incydentów. 11 grudnia 2027 r. to data pełnego stosowania. Od tego dnia organy egzekwują wszystkie obowiązki CRA: zasadnicze wymagania bezpieczeństwa z Załącznika I, ocenę zgodności, oznakowanie CE, dokumentację techniczną oraz obowiązki importerów i dystrybutorów w łańcuchu rynkowym. Od września 2026 r. do grudnia 2027 r. producent podlega Artykułowi 14, ale pozostałe obowiązki jeszcze nie są egzekwowalne.

Czy produkty wprowadzone na rynek przed grudniem 2027 r. muszą spełnić wymagania CRA?

Produkty wprowadzone na rynek UE w dniu 11 grudnia 2027 r. lub później muszą być w pełni zgodne z CRA. Produkty wprowadzone wcześniej podlegają CRA tylko wtedy, gdy zostaną istotnie zmodyfikowane po tej dacie. Projekt wytycznych Komisji z 3 marca 2026 r. (Ares(2026)2319816) potwierdza, że rekonstrukcja dokumentacji historycznej nie jest wymagana. Producent potrzebuje oceny ryzyka na chwilę obecną dla każdej aktywnej rodziny produktów.

Co oznacza "istotna modyfikacja", która uruchamia obowiązek zgodności z CRA?

Projekt wytycznych Komisji (Ares(2026)2319816) wprowadza test czteroetapowy. Aktualizacja oprogramowania uruchamia nową ocenę zgodności wyłącznie wtedy, gdy wprowadza nowe wektory zagrożeń albo zmienia zamierzone przeznaczenie produktu. Rutynowe łatki bezpieczeństwa, poprawki błędów i drobne ulepszenia funkcji nie są istotnymi modyfikacjami. Granica leży w zmianie powierzchni ataku lub przeznaczenia, a nie w rozmiarze wydania.

Do kiedy państwa członkowskie muszą wyznaczyć jednostki notyfikowane?

Rozdział IV CRA uruchamia mechanizm notyfikacji 11 czerwca 2026 r. Od tego dnia państwa członkowskie mogą formalnie notyfikować jednostki notyfikowane Komisji. Artykuł 35(2) wyznacza Komisji cel docelowy: wystarczająca przepustowość jednostek notyfikowanych do 11 grudnia 2026 r. Jest to zobowiązanie do dochowania należytej staranności, a nie twardy termin. Dziś (kwiecień 2026) żadna jednostka notyfikowana wyznaczona do CRA nie figuruje w Jednolitej Przestrzeni Zgodności z Rynkiem.

Czy termin grudnia 2027 r. można przedłużyć?

Artykuł 71 Rozporządzenia (UE) 2024/2847 nie przewiduje mechanizmu przedłużania daty pełnego stosowania. Komisja nie uruchomiła żadnego uprawnienia do przesunięcia tego terminu. Planuj zgodność z CRA pod 11 grudnia 2027 r. jako datę stałą.

Następne kroki

Zarządzasz zgodnością z CRA w wielu produktach jednocześnie? CRA Evidence śledzi gotowość do Artykułu 14, pokrycie SBOM i status oceny zgodności w całym portfelu produktów.

Gdy potwierdzisz klasyfikację produktów, zbuduj infrastrukturę SBOM według naszego przewodnika po wymaganiach SBOM. Sprawdź przewodnik po zgłaszaniu podatności do ENISA, aby uruchomić proces powiadamiania 24-godzinnego przed 11 września 2026 r.

Niniejszy artykuł ma charakter wyłącznie informacyjny i nie stanowi porady prawnej. W zakresie szczegółowych wytycznych dotyczących zgodności skonsultuj się z wykwalifikowanym radcą prawnym.