EU Cybersecurity Act 2: Zakazy w Łańcuchu Dostaw, Reforma Certyfikacji i Na Co Powinni Zwracać Uwagę Producenci
20 stycznia 2026 roku UE zaproponowała pełne zastąpienie Cybersecurity Act. Co się zmieniło i co to oznacza dla zgodności z CRA.
In this article
20 stycznia 2026 roku Komisja Europejska opublikowała COM(2026) 11 final, czyli propozycję tego, co nazywane jest Cybersecurity Act 2. To nie jest drobna aktualizacja. Komisja proponuje pełne uchylenie i zastąpienie Rozporządzenia (UE) 2019/881, oryginalnego Cybersecurity Act z 2019 roku.
Propozycja liczy ponad 120 artykułów w sześciu tytułach. Przeczytaliśmy pełny tekst, załączniki i ocenę skutków, żebyś nie musiał tego robić samodzielnie. Ten artykuł opisuje, co faktycznie jest nowe, co ma znaczenie dla producentów i gdzie ta propozycja krzyżuje się ze zgodnością z CRA.
Podsumowanie
- Cybersecurity Act 2 (CSA2) w pełni zastępuje Cybersecurity Act z 2019 roku. To pisanie od zera
- Nowe ramy bezpieczeństwa łańcucha dostaw ICT pozwalają UE formalnie wskazywać kraje wysokiego ryzyka i wykluczać ich dostawców z infrastruktury krytycznej
- Operatorzy telekomunikacyjni muszą wycofać sprzęt dostawców wysokiego ryzyka w ciągu 36 miesięcy
- Przebudowane ramy certyfikacji obejmują teraz zarządzane usługi bezpieczeństwa i postawę cyberbezpieczeństwa organizacji, nie tylko produkty
- ENISA otrzymuje zwiększenie budżetu o 81,5%, 118 nowych etatów i rozszerzone obowiązki, w tym helpdesk ds. ransomware
- Firmy mogą zaoszczędzić do EUR 15,3 miliarda w ciągu pięciu lat dzięki uproszczeniu zgodności
- Kary za naruszenia łańcucha dostaw: do EUR 10 milionów lub 2% globalnych obrotów
Cztery Filary Propozycji
CSA2 opiera się na czterech obszarach. Dwa to rozszerzenia istniejących ram, a dwa są całkowicie nowe.
1. Reforma Mandatu ENISA
ENISA, Agencja Unii Europejskiej ds. Cyberbezpieczeństwa, otrzymuje znaczącą modernizację. Od 2019 roku nowe przepisy (NIS2, CRA, Cyber Solidarity Act) nakładały na agencję nowe zadania bez aktualizacji jej mandatu ani zasobów.
Propozycja to naprawia:
- Budżet: EUR 341 milionów na siedem lat (2028-2034), wzrost o 81,5% w stosunku do poziomu z 2025 roku
- Kadra: 118 nowych etatów w ENISA, plus 50 w Komisji
- Helpdesk ds. ransomware: ENISA musi teraz prowadzić dedykowane zdolności reagowania i odzyskiwania po atakach ransomware
- Europejska Baza Podatności: Rozszerzona o scoring ważności, listy produktów i katalog znanych eksploatowanych podatności
- Kryptografia postkwantowa: ENISA otrzymuje wyraźny mandat do oceny algorytmów postkwantowych
- Akademia Umiejętności Cyberbezpieczeństwa: Sformalizowana prawnie z ogólnounijnymi przenośnymi certyfikacjami dla specjalistów ds. cyberbezpieczeństwa, wydawanymi do EU Digital Identity Wallets
2. Reforma Ram Certyfikacji
Europejskie Ramy Certyfikacji Cyberbezpieczeństwa (ECCF) zostają znacząco rozszerzone.
Co się zmieniło:
| Aspekt | Obecny CSA (2019) | Proponowany CSA2 |
|---|---|---|
| Zakres | Produkty, usługi, procesy ICT | Również zarządzane usługi bezpieczeństwa i postawa cyberbezp. organizacji |
| Szybkość opracowania | Brak wymagań terminowych | ENISA musi dostarczyć w ciągu 12 miesięcy |
| Utrzymanie | Brak formalnego procesu | Jasny mechanizm utrzymania z podgrupami ECCG |
| Luka w standardach | Czekanie na organy normalizacyjne | ENISA może bezpośrednio opracowywać specyfikacje techniczne |
| Transgraniczne | Oddzielne schematy krajowe | Profile rozszerzeń dla wymagań państw członkowskich |
| Kraje trzecie | Brak formalnego procesu | Wzajemne uznawanie na podstawie równoważności |
Najbardziej znacząca zmiana: certyfikacja postawy cyberbezpieczeństwa. Organizacje (szczególnie podmioty NIS2) mogą teraz certyfikować swoje ogólne środki zarządzania ryzykiem cyberbezpieczeństwa. Pojedyncza certyfikacja mogłaby zastąpić wielokrotne kontrole zgodności w państwach członkowskich, tworząc domniemanie zgodności z wymaganiami NIS2.
Dla producentów oznacza to, że certyfikacja uzyskana w ramach ECCF mogłaby potencjalnie wykazywać zgodność z wymaganiami cyberbezpieczeństwa jednocześnie dla CRA, NIS2, DORA i przepisów sektorowych.
3. Uproszczenie Zgodności
Komisja szacuje, że firmy mogą zaoszczędzić do EUR 15,3 miliarda w ciągu pięciu lat dzięki uproszczonej zgodności.
Kluczowe mechanizmy:
- Jedna certyfikacja, wiele regulacji: Europejska certyfikacja cyberbezpieczeństwa może służyć jako dowód zgodności z wieloma aktami prawnymi, w tym NIS2, CRA, DORA, wymaganiami bezpieczeństwa GDPR i przepisami sektorowymi
- Maksymalna harmonizacja: Gdy Komisja przyjmie akty wykonawcze w ramach NIS2, stają się one maksymalną harmonizacją. Państwa członkowskie nie mogą nakładać dodatkowych wymagań
- Jedna platforma raportowania: ENISA musi opracować jeden punkt zgłaszania incydentów, który spełni wymagania wielu regulacji jednocześnie
Ten ostatni punkt ma znaczenie. Dziś pojedynczy incydent może wywołać obowiązki raportowania na podstawie CRA (do ENISA), NIS2 (do organów krajowych) i ewentualnie DORA lub przepisów sektorowych, każdy z innymi formularzami i odbiorcami. Jedna platforma raportowania ma to zmienić.
4. Ramy Bezpieczeństwa Łańcucha Dostaw ICT, Najważniejszy Element
To całkowicie nowa i najbardziej znacząca politycznie część propozycji. Tworzy horyzontalne, technologicznie neutralne ramy do rozwiązywania tego, co Komisja nazywa „nietechnicznymi ryzykami cyberbezpieczeństwa" w łańcuchach dostaw ICT. W praktyce jest to mechanizm prawny do ograniczania dostępu dostawców wysokiego ryzyka do infrastruktury krytycznej.
Jak to działa krok po kroku:
KROK 1: OCENA RYZYKA
Grupa Współpracy NIS lub Komisja inicjuje
skoordynowaną ocenę ryzyka określonych łańcuchów dostaw ICT
Harmonogram: 6 miesięcy na ukończenie
│
▼
KROK 2: WYZNACZENIE KRAJU
Komisja ocenia, czy kraj trzeci stwarza
„poważne i strukturalne nietechniczne ryzyka"
Kryteria: przepisy dot. ujawniania podatności, środki prawne,
aktywność aktorów zagrożeń, gotowość do współpracy
│
▼
KROK 3: KONSEKWENCJE
Podmioty z wyznaczonych krajów WYKLUCZONE z:
- Dostarczania komponentów ICT w kluczowych zasobach
- Zamówień publicznych na kluczowe zasoby ICT
- Programów finansowania UE
- Certyfikacji i oceny zgodności
│
▼
KROK 4: IDENTYFIKACJA KLUCZOWYCH ZASOBÓW ICT
Komisja określa, w drodze aktów wykonawczych,
które zasoby ICT są „kluczowe" w poszczególnych sektorach
│
▼
KROK 5: LISTY DOSTAWCÓW WYSOKIEGO RYZYKA
Komisja publikuje listy dostawców wysokiego ryzyka
Na podstawie oceny własności i kontroli
Telekomunikacja jest pierwsza. Załącznik II predefiniuje kluczowe zasoby ICT dla sieci mobilnych, stacjonarnych i satelitarnych: funkcje rdzenia sieci, sieci dostępu radiowego, systemy zarządzania siecią, sieci transportowe, produkty kryptograficzne. Operatorzy mobilni muszą wycofać sprzęt w ciągu 36 miesięcy od wejścia w życie. Roczny koszt wycofywania sprzętu wysokiego ryzyka dla operatorów mobilnych szacowany jest na EUR 3,4 do 4,3 miliarda.
Istnieje mechanizm wyjątków. Podmioty z wyznaczonych krajów mogą ubiegać się o wykazanie, że posiadają skuteczne środki przeciwdziałające nietechnicznym ryzykom. Komisja prowadzi publiczny rejestr decyzji o wyjątkach.
Co To Oznacza dla Produktów Objętych CRA
CSA2 nie zmienia bezpośrednio Cyber Resilience Act, ale tworzy nową dynamikę, którą producenci objęci CRA powinni rozumieć.
Należyta Staranność w Łańcuchu Dostaw Staje Się Trudniejsza
CRA już wymaga od producentów zachowania należytej staranności przy integracji komponentów od podmiotów trzecich. CSA2 dodaje nową warstwę: jeśli Twój produkt zawiera komponenty od dostawcy później wskazanego jako wysokiego ryzyka, a Twój produkt jest używany w infrastrukturze krytycznej, Twoi klienci mogą być zmuszeni do wymiany tych komponentów.
To tworzy praktyczną presję, aby:
- Zmapować swój łańcuch dostaw komponentów już teraz, łącznie z krajem pochodzenia kluczowych komponentów
- Śledzić, którzy z Twoich klientów działają w sektorach o wysokiej krytyczności (energetyka, transport, bankowość, zdrowie, infrastruktura cyfrowa)
- Ocenić alternatywnych dostawców komponentów pochodzących z krajów, które mogą zostać wskazane
Certyfikacja Może Uprościć Zgodność z CRA
Rozszerzone ECCF oznacza, że europejska certyfikacja cyberbezpieczeństwa Twojego produktu mogłaby służyć jako dowód zgodności z CRA. Jest to szczególnie istotne dla produktów Important Class I i Class II, które wymagają oceny zgodności przez stronę trzecią.
Trzy poziomy zapewnienia pozostają bez zmian: Basic (samoocena na tym poziomie), Substantial i High. Jeśli zostanie przyjęty schemat certyfikacji cyberbezpieczeństwa obejmujący wymagania zasadnicze CRA, producenci mogliby go wykorzystać zamiast przechodzenia przez oddzielny proces oceny zgodności CRA.
Raportowanie Incydentów Zostaje Skonsolidowane
Jedna platforma raportowania to dobra wiadomość. CRA wymaga zgłaszania aktywnie eksploatowanych podatności do ENISA w ciągu 24 godzin. NIS2 wymaga zgłaszania znaczących incydentów organom krajowym. Jeden punkt zgłoszeniowy CSA2 pozwoliłby złożyć jedno zgłoszenie i przekierować je do wszystkich wymaganych odbiorców.
Jednostki Oceny Zgodności Podlegają Nowym Zasadom
Jeśli polegasz na jednostkach notyfikowanych przy ocenie zgodności CRA, zwróć uwagę, że CSA2 dodaje wymagania dla tych jednostek. Załącznik I propozycji określa, że jednostki oceny zgodności nie mogą być same dostawcami wysokiego ryzyka i nie mogą wykorzystywać komponentów ICT od dostawców wysokiego ryzyka w swoich działaniach oceniających.
Kluczowe Liczby w Pigułce
| Pozycja | Kwota |
|---|---|
| Nowy budżet ENISA (2028-2034) | EUR 341 milionów |
| Oszczędności firm na zgodności (5 lat) | Do EUR 15,3 miliarda |
| Roczny koszt wycofywania sprzętu przez operatorów mobilnych | EUR 3,4 - 4,3 miliarda |
| Inwestycje w zaufanych dostawców rocznie | Do EUR 2 miliardy |
| Oszczędności z szybszego reagowania na incydenty (5 lat) | EUR 3,7 - 4,4 miliarda |
| Maksymalna kara za naruszenia łańcucha dostaw | EUR 10 milionów lub 2% globalnych obrotów |
| Nowe stanowiska w ENISA | 118 FTE |
Co Się Wydarzy Dalej
To jest propozycja legislacyjna. Musi jeszcze przejść przez Parlament Europejski i Radę w ramach zwykłej procedury ustawodawczej. Harmonogram nie jest ustalony, ale biorąc pod uwagę polityczne znaczenie przepisów dotyczących łańcucha dostaw, należy spodziewać się debat.
Kluczowe etapy do obserwowania:
- Przydzielenie komisji Parlamentu Europejskiego, prawdopodobnie ITRE (Przemysł, Badania i Energia)
- Dyskusje w grupie roboczej Rady, gdzie stanowiska państw członkowskich ukształtują ostateczny tekst
- Negocjacje w trilogu, gdzie Parlament, Rada i Komisja szukają kompromisu
- Wejście w życie, zazwyczaj 20 dni po publikacji w Dzienniku Urzędowym
- Start zegara wycofywania w telekomunikacji, 36 miesięcy od wejścia w życie
Dla zgodności z CRA, CSA2 nie zmienia Twoich obecnych obowiązków ani harmonogramu. Obowiązki raportowania CRA zaczynają obowiązywać we wrześniu 2026 roku, a pełna zgodność jest wymagana do grudnia 2027 roku. Jednak CSA2 może stworzyć nowe narzędzia, szczególnie w zakresie certyfikacji, które mogą ułatwić wykazywanie zgodności z CRA po wejściu w życie.
Co Powinieneś Zrobić Teraz
Nie musisz podejmować natychmiastowych działań w związku z CSA2. To propozycja, nie prawo. Ale są praktyczne kroki, które mają sens niezależnie od tego, kiedy i jak zostanie przyjęta:
-
Przeprowadź audyt łańcucha dostaw komponentów. Dowiedz się, skąd pochodzą Twoje kluczowe komponenty. To już dobra praktyka w ramach CRA i staje się krytyczne, jeśli ramy bezpieczeństwa łańcucha dostaw zostaną przyjęte.
-
Śledź krajobraz certyfikacji. Jeśli zostanie przyjęty europejski schemat certyfikacji cyberbezpieczeństwa obejmujący wymagania zasadnicze CRA, może to znacząco uprościć Twój proces oceny zgodności.
-
Przygotuj się na skonsolidowane raportowanie. Jeśli podlegasz zarówno CRA, jak i NIS2, jedna platforma raportowania ostatecznie skonsoliduje Twoje obowiązki. Projektuj swoje procesy reagowania na incydenty tak, aby były niezależne od konkretnej regulacji.
-
Monitoruj swoją bazę klientów. Jeśli Twoje produkty są używane w sektorach o wysokiej krytyczności (energetyka, transport, zdrowie, bankowość, infrastruktura cyfrowa), przepisy dotyczące łańcucha dostaw mogą stworzyć dodatkowe naciski na Twoje wybory komponentów.
Informacja: Cybersecurity Act 2.0 proponuje ogólnounijne schematy certyfikacji dla łańcuchów dostaw ICT. Uzupełnia to wymagania CRA na poziomie produktu.
Powiązane Przewodniki
Jak Pomaga CRA Evidence
CRA Evidence już śledzi elementy łańcucha dostaw, które CSA2 uczyni jeszcze ważniejszymi:
- Zarządzanie SBOM mapuje zależności komponentów, w tym pochodzenie dostawców
- Monitorowanie podatności śledzi znane eksploatowane podatności w całym portfolio produktów
- Panel zgodności pokazuje stan gotowości do CRA i luki
- Raportowanie incydentów wspiera 24-godzinny proces powiadamiania wymagany przez CRA
- Dokumentacja utrzymuje dokumentację techniczną i deklarację zgodności
Zacznij budować dowody zgodności na craevidence.com.
Pełny tekst propozycji (COM(2026) 11 final) jej załączniki i ocena skutków są dostępne w bibliotece Strategii Cyfrowej Komisji Europejskiej. Ten artykuł służy wyłącznie celom informacyjnym i nie stanowi porady prawnej. W celu uzyskania szczegółowych wskazówek dotyczących zgodności, skonsultuj się z wykwalifikowanym doradcą prawnym.
Tematy omówione w tym artykule
Powiązane artykuły
Czy inteligentne kamery są produktami ważnymi w świetle...
Inteligentne kamery monitorujące są klasyfikowane jako produkty ważne (Klasa...
9 minKlasyfikacja produktów CRA: Czy Twój produkt jest...
Praktyczny przewodnik do określenia kategorii CRA Twojego produktu. Zawiera...
5 minOcena Zgodności CRA: Przewodnik Decyzyjny Moduł A vs B+C vs H
Jak wybrać właściwą ścieżkę oceny zgodności dla Twojego produktu. Obejmuje...
10 minDoes the CRA apply to your product?
Odpowiedz na 6 prostych pytań, aby sprawdzić, czy Twój produkt podlega unijnemu Cyber Resilience Act. Otrzymaj wynik w mniej niż 2 minuty.
Gotowy na osiągnięcie zgodności z CRA?
Zacznij zarządzać swoimi SBOM-ami i dokumentacją zgodności z CRA Evidence.