Europejska Konferencja Certyfikacji Cyberbezpieczeństwa, 15 kwietnia 2026 r.

15 kwietnia 2026 r. ENISA zorganizowała w Ayia Napie na Cyprze Europejską Konferencję Certyfikacji Cyberbezpieczeństwa wspólnie z prezydencją cypryjską i Komisją Europejską. Jeden dzień, format hybrydowy, sześć ścieżek: EUCC w pierwszym roku funkcjonowania, proponowany CSA2 i jego zrewidowane Europejskie Ramy Certyfikacji Cyberbezpieczeństwa (ECCF), rola certyfikacji w ramach CRA, nowa droga NIS2 przez schemat postawy cybernetycznej, schemat Portfela Tożsamości Cyfrowej UE (EUDI Wallet), obecnie w konsultacjach publicznych, oraz schemat usług zarządzanego bezpieczeństwa UE (EU MSS) w wersji roboczej v4.

Obawa publiczności, która zdominowała dzień, według liczby głosów w internetowym Q&A, nie dotyczyła żadnego pojedynczego schematu. Chodziło o to, czy wyniki certyfikacji mogą lub powinny służyć do wnioskowania o zgodności z NIS2, biorąc pod uwagę, że nadzór nad NIS2 spoczywa na innych organach. Pięć z siedmiu pytań z największą liczbą głosów krążyło wokół tego jednego napięcia. Zajmujemy się tym w osobnej sekcji poniżej.

Poniżej znajduje się uporządkowane zestawienie tego, co faktycznie powiedziano, z przypisaniem wypowiedzi tam, gdzie program i transkrypcje się zgadzają.

Najważniejsze informacje

• CSA2 to proponowane rozporządzenie, które rewiduje Europejskie Ramy Certyfikacji Cyberbezpieczeństwa i zmienia dyrektywę NIS2. Długość projektu: 271 stron, według paneliści.
• ECCF zastępuje obecne ramy certyfikacji modelowymi przepisami, formalnymi mechanizmami utrzymania oraz 12-miesięcznym domyślnym harmonogramem opracowywania schematów kandydujących.
• Dane EUCC na żywo (Juhan Lepassaar, dyrektor wykonawczy ENISA): 29 certyfikatów wydanych, 28 jednostek oceniających zgodność w całej UE, Europa odpowiada za ponad 60% z ~350 globalnych certyfikatów Common Criteria wydawanych rocznie, a wszystkie unijne certyfikaty CC są na poziomie CC-1 od lutego 2026 r.
• Infrastruktura zgodności z CRA to najważniejszy kamień milowy wdrożenia CRA w tym roku, według Maiki Fohrenbach (DG CONNECT): państwa członkowskie muszą wyznaczyć właściwe organy do czerwca 2026 r., a wystarczająca liczba jednostek notyfikowanych powinna być dostępna do grudnia 2026 r., rok przed pełnym stosowaniem CRA.
• Konsultacje publiczne schematu EUDI Wallet rozpoczęły się 3 kwietnia 2026 r.; kolejne daty kotwicowe biegną od walidacji projektu AHWG 16–17 kwietnia 2026 r. do sfinalizowania w ECCG we wrześniu i październiku 2026 r.
• Schemat EU MSS jest w wersji roboczej v4, przesłany do ad hoc working group 9 kwietnia 2026 r.; wersja v3 (przesłana 20 marca 2026 r.) otrzymała 250 komentarzy w dziewięciu tematach. Konsultacje publiczne planowane są na początek lipca 2026 r.
• Krytyka proliferacji ze strony przemysłu była ostra. Steffen Zimmermann (VDMA) podał liczby: około 80% członków VDMA to MŚP, z których około 90% jest objętych NIS2 i CRA.
• Priorytetem publiczności tego dnia nie był żaden pojedynczy schemat. Było nim napięcie między wykorzystywaniem wyników certyfikacji do wnioskowania o zgodności z NIS2 a faktem, że nadzór nad NIS2 jest obowiązkowy i spoczywa na innych organach (pięć z siedmiu pytań z największą liczbą głosów).

29

Wydane certyfikaty

w ramach EUCC, pierwszy rok

28

Jednostki oceniające

akredytowane w UE

60%+

Udział globalny CC

z ~350 certyfikatów rocznie

CC-1

Poziom gwarancji

wszystkie CC UE, luty 2026

Źródło: Juhan Lepassaar, dyrektor wykonawczy ENISA, przemówienie otwierające.

CSA2 i nowy ECCF

Maika Fohrenbach (DG CONNECT) przedstawiła propozycję Komisji. Jest ona zbudowana wokół czterech filarów:

1. Zharmonizowane ramy zarządzania ryzykiem w łańcuchu dostaw ICT, po raz pierwszy na poziomie UE.
2. Zrewidowane Europejskie Ramy Certyfikacji Cyberbezpieczeństwa (ECCF).
3. Środki upraszczające NIS2, zbudowane wokół nowego schematu postawy cybernetycznej (osobna sekcja poniżej).
4. Wzmocnienie mandatu ENISA (wsparcie państw członkowskich, świadomość sytuacyjna, przywództwo w standaryzacji, poświadczanie umiejętności).

Trzy zmiany ECCF mają znaczenie dla producentów:

W kwestii utrzymania i narzędzi dla interesariuszy CSA2 formalnie uznaje ENISA za menedżera schematów, z dedykowaną podgrupą ECCG dla każdego schematu. Zastępuje obecną Grupę Interesariuszy ds. Certyfikacji Cyberbezpieczeństwa (SCCG) i Unijny Program Prac Kroczących Europejskim Zgromadzeniem Certyfikacji Cyberbezpieczeństwa wraz z portalami informacyjnymi Komisji i ENISA. Podstawa prawna dla specyfikacji technicznych opracowywanych przez ENISA, oparta na dokumentach EUCC "state of the art" (stan techniki), została wpisana do projektu.

Reakcje panelu były szczere. Helge Kreutzmann (BSI) wskazał dwie luki w projekcie. Po pierwsze, CSA2 zachowuje stary podział na autoryzację i notyfikację zamiast przejść w pełni na mechanizm notyfikacji Nowych Ram Prawnych. Po drugie, zakres nie został rozszerzony wystarczająco odważnie: projekt certyfikuje usługi, ale nie dostawców, podczas gdy kilka państw członkowskich już certyfikuje dostawców i kluczowy personel, a Akt o Cybersolidarności tego wymaga. Kreutzmann: "We think this should carry over on the European level, that we can actually certify the providers." (Uważamy, że powinno to przejść na poziom europejski, abyśmy mogli faktycznie certyfikować dostawców.)

Suzana Pavlidou (NCCA Cypr) oraz Apostolos Malatras (Head of Unit for Cybersecurity Certification, ENISA) dołączyli do Philippe'a Blota jako moderatorzy. Goran Gotov (Zscaler) podniósł z sali obawę strukturalną: Zgromadzenie spotyka się raz w roku, a grupy ad hoc są specyficzne dla schematów, co sprawia, że wkład branżowy na poziomie makro jest rzadszy niż wcześniej. Richard Skalt (TIC Council; cybersecurity advocacy manager w TÜV SÜD) naciskał na 12-miesięczne zobowiązanie terminowe dotyczące opracowywania schematów ENISA i zapytał, czy CSA2 zintegruje ISO/IEC 27001 oraz belgijski schemat "Cyber Fundamentals" w drodze uproszczenia NIS2. Na scenie nie padło żadne wiążące zobowiązanie w sprawie tej integracji.

Postawa cybernetyczna a NIS2: o co publiczność faktycznie pytała

Strumień Q&A ujednoznacznił priorytet publiczności. Siedem pytań z najwyższą liczbą głosów tego dnia (od 14 do 19 głosów każde) nie dotyczyło przepustowości EUCC ani zdolności CAB. Dotyczyły one tego samego strukturalnego problemu, sformułowanego na siedem sposobów: czy wyniki certyfikacji mogą być legalnie wykorzystywane do wnioskowania o zgodności z NIS2, skoro nadzór nad NIS2 jest obowiązkowy i prowadzony przez inne organy?

Odpowiedź Fohrenbach przebiegała przez jej prezentację i sesję Q&A. Warto oddzielić trzy elementy:

W dwóch pytaniach publiczności, które nie otrzymały odpowiedzi na scenie, nie wypełniamy luk. Sygnalizujemy je:

Dla czytelników planujących w kontekście NIS2 uczciwy odczyt jest następujący. Schemat postawy cybernetycznej to preferowana droga Komisji. Mechanika prawna, która uczyniłaby tę drogę solidną (rozporządzenie wykonawcze z maksymalną harmonizacją, porozumienie państw członkowskich w sprawie powiązania), to punkty otwartych negocjacji. Budując dziś strategię zgodności, nie traktuj "certyfikuj pod postawą cybernetyczną i NIS2 jest załatwione" jako ustalonego faktu dla swojej jurysdykcji. Obserwuj trilog.

Gdzie certyfikacja spotyka CRA

Powiązanie CRA przedstawione przez Fohrenbach było najjaśniejszym sygnałem dla producentów tego dnia. Nagłówek na 2026 r.: budować infrastrukturę oceny zgodności. Normy zharmonizowane pojawią się później i nierównomiernie.

CRA obejmuje produkty programowe, produkty sprzętowe oraz komponenty wprowadzane osobno na rynek. Rozkład podany przez Fohrenbach:

Zgodnie z Załącznikiem VIII rozporządzenia, dostępne moduły Nowych Ram Prawnych to Moduł B + C (badanie typu UE) oraz Moduł H (certyfikacja systemu jakości). Deklarowanym zamiarem Komisji jest sprecyzowanie, przed końcem 2026 r., jak EUCC może być wykorzystywany do wykazywania zgodności z CRA; ENISA prowadzi 18 pilotaży dotyczących domniemania zgodności EUCC-do-CRA, z planowanym warsztatem w Atenach.

Rozbieg do pełnego stosowania CRA w jednym ujęciu:

Praca harmonizacyjna odbywa się w nieformalnej grupie roboczej organów notyfikujących na poziomie Komisji, a jednym z głównych otwartych pytań jest sposób notyfikacji, gdy normy zharmonizowane jeszcze nie są dostępne. Fohrenbach wskazała CENELEC jako motor prac nad normami zharmonizowanymi. Hipoteza robocza państw członkowskich: wykorzystać CAB już akredytowane na podstawie Aktu Delegowanego do Dyrektywy o Urządzeniach Radiowych (RED DA) oraz ekosystemu EUCC i przyspieszyć ich notyfikację dla CRA.

Aktualny stan doboru modułów, dopóki schematy CSA są w toku, opisuje nasz przewodnik decyzyjny oceny zgodności.

Luka w zdolnościach CAB

Panel dotyczący zdolności CAB był najbardziej operacyjnie obciążoną sesją dnia. Moderował go Eric Vetillard; w panelu: Christin Hartung-Kümmerling (BSI, online), Xenia Kyriakidou (szefowa NCCA Cypr, cypryjski organ notyfikujący i nadzoru rynku dla CRA oraz wiceprzewodnicząca komitetu ADCO CRA), Richard Skalt (TIC Council / TÜV SÜD) oraz Nikolaos Soumelidis (Q-CERT).

Kilka faktów z panelu wartych wyciągnięcia na wierzch:

• Dwie trzecie państw europejskich nie ma jeszcze krajowej jednostki akredytującej eIDAS, według Soumelidisa. Grecja sama takiej nie posiada.
• BSI przygotowuje notyfikację Modułu H jako najbardziej skalowalnej drogi dla CRA, według Hartung-Kümmerling. BSI nie priorytetyzuje Modułu B dla CRA; przyznała, że inne państwa członkowskie idą drogą Modułu B, ale ich nie wymieniła.
• Cypr, Niemcy oraz większość pozostałych państw członkowskich będą polegać na swoich krajowych jednostkach akredytujących dla akredytacji CRA. Przyspieszenie przez RED DA lub akredytację EUCC jest na stole.
• Wewnętrzne badanie TIC Council (Skalt): dwie trzecie członków TIC Council planuje mieć ponad 50 dedykowanych ekspertów cyberbezpieczeństwa do końca 2026 r., a 40% członków jest już notyfikowanych dla EUCC.
• ADCO CRA to Grupa Współpracy Administracyjnej organów nadzoru rynku państw członkowskich dla CRA; Kyriakidou jest jej wiceprzewodniczącą.

Stefan Zimmermann (VDMA) zapytał Hartung-Kümmerling z sali, które państwa członkowskie przygotowują notyfikację Modułu B. Odmówiła wymienienia ich na scenie. Pytanie jest istotne, bo wpływa na to, czy producent chcący drogi badania typu UE będzie miał jednostkę notyfikowaną dostępną na swoim rynku krajowym 11 grudnia 2027 r.

Z perspektywy producenta płyną trzy wnioski. Po pierwsze, jeśli kategoria Twojego produktu wpycha Cię w ocenę strony trzeciej, sprawdź już teraz plan swojego państwa członkowskiego. "Wystarczająca liczba jednostek notyfikowanych do grudnia 2026 r." to aspiracja polityczna, nie gwarancja dla danej jurysdykcji. Po drugie, przyspieszenie CAB przez RED DA / EUCC to najbardziej prawdopodobna ścieżka rozbudowy zdolności, ale oznacza, że Twoja prawdopodobna pula CAB jest ukształtowana przez to, które jednostki już obsługują rynki urządzeń radiowych lub Common Criteria. Po trzecie, Moduł H (system jakości) skaluje się szybciej niż Moduł B (badanie typu) w co najmniej jednym dużym państwie członkowskim, co ma implikacje dla przygotowania dowodów.

Poranna sesja Steffena Zimmermanna (VDMA) zaostrzyła spojrzenie branży. Około 80% członków VDMA to MŚP zatrudniające poniżej 250 osób, a około 90% z nich jest objętych NIS2 i CRA. Jego pięcioczęściowa krytyka certyfikacji była dosadna:

1. Nie wymyślone tutaj. Istniejące IEC 62443, ISO/IEC 27001 i TISAX są odrzucane na rzecz schematów rodzimie unijnych.
2. Niewystarczająco dobre. To samo IEC 62443 jest następnie uznawane za niewystarczające, gdy w grę wchodzi CRA.
3. Certyfikat bez zaufania. Metodologia zastrzeżona popycha interesariuszy do żądania nowych schematów z tą samą wadą przejrzystości.
4. Stwórzmy popyt rynkowy. Dobrowolne schematy z niskim uptakiem są nakazywane zamówieniami publicznymi zamiast przemyślane na nowo.
5. Iluzja zgodności. Certyfikat pozostaje ważny, a bezpieczeństwo degraduje się.

O normach zharmonizowanych pod CRA jego zapamiętywalne zdanie: "Harmonised standards do not cover all functionalities. They are developed to address the core functionality listed in the annexes. So a product may be in conformance for the core functionality, but the CRA demands conformity for the entire product." (Normy zharmonizowane nie pokrywają wszystkich funkcjonalności. Są opracowywane, by obsłużyć podstawową funkcjonalność wymienioną w załącznikach. Więc produkt może być zgodny z podstawową funkcjonalnością, ale CRA wymaga zgodności całego produktu.)

Certyfikacja EUDI Wallet

Evgenia Nikolouzou (ENISA) przeszła przez drogę schematu EUDI Wallet. Wniosek Komisji trafił w maju 2024 r.; wezwanie do wyrażenia zainteresowania w październiku 2024 r. przyniosło 26 wybranych ekspertów do grupy roboczej ad hoc; AHWG ruszyła w styczniu 2025 r. i przeprowadziła 7 posiedzeń plenarnych oraz 4 grupy tematyczne do lutego 2026 r.; schemat został przesłany do przeglądu w kwietniu 2026 r., a konsultacje publiczne otwarto 3 kwietnia 2026 r.

Schemat obejmuje portfel oraz leżący u jego podstaw schemat eID i musi obejmować produkty, usługi oraz procesy ze względu na strukturę eIDAS. Ocena jest dwuetapowa: etap 1 to przegląd architektury i zależności, etap 2 to testowanie i analiza podatności, następnie wydanie certyfikatu i nadzór. Stosowane są dwa poziomy zapewnienia: warstwa sprzętowa odporna na manipulacje obsługiwana jest przez EUCC na poziomie AVA_VAN.4 / .5, a warstwa aplikacji obsługiwana jest przez schematy krajowe na poziomie AVA_VAN.3.

Harmonogram, ze slajdu przedstawionego przez Nikolouzou, opiera się na tych kamieniach milowych: walidacja AHWG projektu v0.4 w dniach 16–17 kwietnia 2026 r.; okres komentarzy ECCG zamyka się 1 czerwca 2026 r.; konsultacje publiczne startują na początku lipca 2026 r.; finalizacja ECCG we wrześniu i październiku 2026 r. Szczegółową analizę tego, czego schemat portfela wymaga od wnioskodawców i co to sygnalizuje dla przyszłych schematów powiązanych z CRA, znajdziesz w naszym rozbiorze schematu EUDI Wallet.

Schemat usług zarządzanego bezpieczeństwa

Vicente Gonzalez Pedros (ENISA) otworzył popołudniową sesję o schemacie EU MSS, a po nim panel moderowany przez Georgię Bafoutsou (ENISA) z udziałem Palomy Llanezy (Digital Trust Scheme Manager, CerteIDAS), Adriana Pauny (Oracle), Mariosa Ioannou (Columbia Group), Oscara Boizarda (ANSSI) oraz Pablo Fernandeza (Security Operations Centers Manager, CCN-CNI).

Wniosek Komisji dotarł do ENISA pod koniec kwietnia 2025 r. Pierwotny wniosek obejmował pion cyklu życia zarządzania incydentami; ENISA podzieliła go na profile usług i wybrała reagowanie na incydenty jako pierwszy profil do zbudowania. Zgodnie z Aktem o Cybersolidarności, gdy europejski schemat obejmie usługę zakontraktowaną na podstawie Aktu, dostawcy muszą być certyfikowani dwa lata po wdrożeniu schematu.

Architektura schematu ma dwie warstwy:

• Warstwa horyzontalna wspólnych wymagań bazowych, niezależna od standardów i usług, mająca zastosowanie do wszystkich MSS.
• Warstwa wertykalna wymagań technicznych specyficznych dla usługi (zarządzanie cyklem życia, wiedza ekspercka, scenariusze reagowania na incydenty, współpraca z interesariuszami, wymagania zasobów).

Dwa punkty od Gonzaleza Pedrosa warto wyciągnąć na wierzch. Warstwa horyzontalna nigdy nie jest certyfikowana sama: certyfikat dotyczy zawsze usługi, nigdy dostawcy. Warstwa horyzontalna jest zgodna z NIS2, ale nie certyfikuje zgodności z NIS2. Pokrycie NIS2 należy do schematu postawy cybernetycznej, a nie MSS.

O AHWG: w otwartym naborze wpłynęło ponad 200 zgłoszeń. Grupa robocza ds. reagowania na incydenty została utworzona z 30 ekspertami, a lista rezerwowa 70 kolejnych została zachowana dla przyszłych profili usług. AHWG została oficjalnie powołana 29 września 2025 r.

Postęp wersji (ze slajdu AHWG):

• Główny projekt schematu v3 przesłany do AHWG 20 marca 2026 r.
• 250 komentarzy otrzymanych, pogrupowanych w dziewięć tematów: relacja z NIS2, poziomy zapewnienia dla wielu profili, standardy i metodologie oceny, nadzór transgraniczny, spójność terminologii, zakres certyfikacji (specyficzny dla klienta kontra ogólny), koszty powtarzania oceny, dialogi NCCA i CAB oraz poufność w raportach certyfikacji.
• Główny projekt schematu v4 przesłany do AHWG 9 kwietnia 2026 r.

Jedno strukturalne wyjaśnienie od Gonzaleza Pedrosa: schemat MSS nie ma ITSEF (w odróżnieniu od EUCC). CAB i CB zostaną uzgodnione do jednego terminu w kolejnym projekcie. Akredytacja CAB odbywa się według ISO/IEC 17065, a schemat opiera się na tej samej metodologii oceny, której ENISA używa dla Portfela Europejskiego.

Harmonogram schematu, który przedstawił: walidacja projektu v4 w dniach 16–17 kwietnia 2026 r.; pierwszy projekt do ECCG do komentarzy z jednomiesięcznym przeglądem państw członkowskich; zajęcie się komentarzami w około dwa tygodnie; konsultacje publiczne od początku lipca 2026 r. przez 1,5 miesiąca; spotkanie w połowie września 2026 r. dla omówienia komentarzy z konsultacji; zatwierdzenie schematu w ECCG do października 2026 r.

Co wnieśli paneliści

Paloma Llaneza (CerteIDAS) argumentowała główny powód za schematem na poziomie UE: bez niego dostawcy certyfikują się w 27 państwach członkowskich osobno, a tylko duże firmy mogą sobie na to pozwolić. Jej punktem odniesienia był eIDAS-2, gdzie jedno rozporządzenie plus akt wykonawczy zastąpiły 27 krajowych standardów jednym europejskim. Llaneza jest redaktorką ETSI EN 319 401 (Policy and security requirements for Trust Service Providers), którą pozycjonowała jako roboczy model proporcjonalności: warstwa horyzontalna to jednorazowa baza, wertykały nakładają się modułowo.

Adrian Pauna (Oracle) wyłożył argument multinational: schemat UE standaryzuje zgodność między jurysdykcjami, a metodologie testów penetracyjnych potrzebują jasnej definicji wewnątrz schematu. Zauważył problem strukturalny specyficzny dla testów penetracyjnych: dziś są one certyfikowane na poziomie osoby (OSCP, OSCE), co strukturalnie utrudnia certyfikację na poziomie usługi, dopóki rynek się nie przesunie. Jego rekomendacja dla kolejnych wertykałów: najpierw wykrywanie, potem testy penetracyjne.

Marios Ioannou (Columbia Group, Cypr) przedstawił poświadczenie UE jako klucz otwierający drzwi: rozpoznanie na całym terytorium oraz udział w Rezerwie Cyberbezpieczeństwa UE. O incydentach transgranicznych wskazał, że reakcja Hiszpania–Cypr–Malta jest znacznie łatwiejsza, gdy wszystkie strony mają te same zdolności bazowe.

Oscar Boizard (ANSSI) narysował najostrzejszą linię sesji, między certyfikacją a kwalifikacją:

Kreutzmann (BSI) argumentował, że CSA2 powinien umożliwić kwalifikację na poziomie dostawcy na szczeblu UE, poza obecną certyfikacją na poziomie usługi.

Francja prowadzi cztery schematy kwalifikacji ANSSI dopasowane do kategorii EU MSS (doradztwo, audyt, wykrywanie, reagowanie), plus PAMS dla administracji. PASSI jest najstarszy i ma największą bazę zakwalifikowanych dostawców. Wprowadzenie poziomu substantial istotnie zmieniło mieszankę dostawców: do środka weszły MŚP z sześcioma, siedmioma kompetentnymi pracownikami. Rekomendacja Boizarda dla kolejnego wertykała: audytowanie, jako szybka wygrana, bo standardy już istnieją.

Pablo Fernandez (CCN-CNI) przyniósł twarde liczby z hiszpańskiego podejścia. Hiszpański schemat MSS wystartował około cztery lata temu, zbudowany na ENS (Esquema Nacional de Seguridad), który sam ma około 16 lat historii. Model MSS to Guía CCN-STIC 896 nałożona na ENS, zgodna z NIS2, poprawkami Aktu o Cybersolidarności oraz nadchodzącymi CSA2 i EU MSS. Slajd CCN opublikował liczby: 3 578 certyfikowanych podmiotów pod ENS, 25 certyfikowanych usług MSS świadczonych przez 5 MSSP oraz 304 zintegrowanych SOC w krajowej sieci SOC. Fernandez zauważył, że CCN-STIC 896 będzie dostępna po angielsku "in a couple of weeks" (za parę tygodni), co jest bezpośrednio użyteczne dla czytelników spoza Hiszpanii.

Gdzie wylądowali paneliści w kwestii, który wertykał MSS powinien być zbudowany jako kolejny:

Użyteczny szczegół z sali: pytanie z publiczności podniosło suwerenność jako czynnik (dostawcy MSS będący krajowymi podmiotami suwerennymi kontra korporacje międzynarodowe). Odpowiedź Llanezy brzmiała, że regulacja na poziomie UE jest potrzebna, by zastąpić 27 schematów krajowych, idąc za precedensem eIDAS-2. Odpowiedź Ioannou była taka, że wspólna baza w państwach członkowskich pozwala firmom faktycznie współpracować podczas incydentu transgranicznego.

Co to oznacza dla producentów wprowadzających produkty pod CRA

Kamień milowy CRA, na którym trzeba się skupić między dziś a 11 grudnia 2027 r., to zdolność oceny zgodności, nie normy zharmonizowane. Normy zharmonizowane pojawią się późno i nierównomiernie. Wyznaczenie właściwych organów to termin czerwca 2026 r. Dostępność jednostek notyfikowanych to aspiracja grudnia 2026 r. Jeśli Twój produkt znajduje się w klasie Ważny Klasa II, Twoja pula CAB jest silnie ukształtowana przez to, które jednostki są już notyfikowane dla EUCC lub akredytowane na podstawie RED DA.

Dla producentów z poziomu Domyślnego i Ważnego Klasa I praktyczna implikacja jest taka, że wybór modułu ma w tym roku większe znaczenie niż zwykle. Moduł H (system jakości) ma wyraźniejsze sygnały skalowania z co najmniej jednego dużego państwa członkowskiego; dostępność Modułu B (badanie typu) jest nierówna i nie jest publicznie zmapowana. Jeśli możesz legalnie kwalifikować się pod normami zharmonizowanymi, gdy będą dostępne, ta droga usuwa zależność od podaży CAB.

Domniemanie zgodności EUCC-do-CRA przez akt delegowany nie jest jeszcze przejezdne, ale to najbardziej konkretny element infrastruktury w budowie. 18 pilotaży i deklarowany przez Komisję cel końca 2026 r. sprecyzowania, jak EUCC wspiera zgodność z CRA, to sprawy do śledzenia przez kolejne dwa kwartały.

Schemat MSS nie jest bezpośrednim zmartwieniem produktu CRA. Ma znaczenie, bo jest drugim aktywnie redagowanym schematem CSA, po EUDI Wallet, i pojawi się przed pierwszym schematem specyficznym dla CRA. Wybory metodologiczne, które ENISA tu zamyka (akredytacja CAB na ISO/IEC 17065, metodologia oceny zgodna z Portfelem), przeniosą się do późniejszych schematów powiązanych z CRA.

Najczęściej zadawane pytania

Kolejne kroki

Artykuł ma charakter wyłącznie informacyjny i nie stanowi porady prawnej. W celu uzyskania szczegółowych wskazówek dotyczących zgodności należy skonsultować się z wykwalifikowanym doradcą prawnym.