Należyta Staranność Wobec Dostawców CRA: Szablon Kwestionariusza i Proces Weryfikacji

Twoja zgodność z CRA zależy od dostawców. Jeśli importujesz produkty, musisz zweryfikować zgodność producenta. Jeśli produkujesz, twoje komponenty wpływają na profil bezpieczeństwa produktu.

Ten przewodnik zapewnia kompletny framework należytej staranności wobec dostawców, w tym kwestionariusz, który możesz wysłać już dziś.

Dlaczego Należyta Staranność Wobec Dostawców Ma Znaczenie

Dla Importerów

Artykuł 19 czyni importerów odpowiedzialnymi za weryfikację zgodności producenta:

• Producent przeprowadził ocenę zgodności
• Dokumentacja techniczna jest dostępna
• Produkt posiada wymagane oznaczenia i informacje
• Producent ma procesy obsługi podatności

Jeśli producent nie jest zgodny, nie możesz legalnie importować.

Dla Producentów

Nawet jako producent, twój produkt zawiera komponenty od dostawców:

• Biblioteki oprogramowania stron trzecich
• Komponenty sprzętowe
• Moduły firmware
• Usługi chmurowe

Podatności w tych komponentach stają się twoimi podatnościami. Twoja ocena zgodności musi uwzględniać ryzyko łańcucha dostaw.

Framework Należytej Staranności

Podejście Warstwowe

Nie wszyscy dostawcy wymagają tego samego poziomu kontroli:

OCENA WARSTW DOSTAWCÓW

WARSTWA 1 (Krytyczna):
- Komponenty z funkcjami bezpieczeństwa (krypto, auth, firewalle)
- Podstawowe zależności oprogramowania
- Sprzęt z firmware
Ocena: Pełny kwestionariusz + przegląd dokumentacji + ciągłe monitorowanie

WARSTWA 2 (Znacząca):
- Komponenty głównej funkcjonalności
- Elementy podłączone do sieci
- Komponenty przetwarzające dane
Ocena: Standardowy kwestionariusz + przegląd dokumentacji

WARSTWA 3 (Standardowa):
- Komponenty niezwiązane z bezpieczeństwem
- Biblioteki narzędziowe
- Sprzęt peryferyjny
Ocena: Podstawowy kwestionariusz + kontrole wyrywkowe

WARSTWA 4 (Minimalna):
- Komponenty towarowe
- Ustalone OSS
- Sprzęt niepodłączony
Ocena: Podstawowa weryfikacja + włączenie do SBOM

Obszary Oceny

Twoja należyta staranność powinna obejmować:

Kwestionariusz

Użyj tego kwestionariusza jako punktu wyjścia. Dostosuj w oparciu o warstwę dostawcy i swoje specyficzne potrzeby.

Sekcja 1: Informacje o Firmie

KWESTIONARIUSZ NALEŻYTEJ STARANNOŚCI WOBEC DOSTAWCY
Sekcja 1: Informacje o Firmie

1.1 Dane Firmy
    Nazwa Firmy: _________________________________
    Adres Prawny: ________________________________
    Kraj Rejestracji: _____________________________
    Kontakt Główny: _____________________________
    Kontakt Bezpieczeństwa: ______________________

1.2 Informacje Biznesowe
    Lata Działalności: ___________________________
    Liczba Pracowników: _________________________
    Roczny Przychód (zakres): ____________________

1.3 Obecność w UE
    [ ] Siedziba w UE
    [ ] Autoryzowany Przedstawiciel w UE (jeśli spoza UE)
        Nazwa/Adres: ____________________________
    [ ] Brak obecności w UE (wyjaśnij układ): _____

1.4 Certyfikaty (dołącz kopie)
    [ ] ISO 9001 (Zarządzanie Jakością)
    [ ] ISO 27001 (Bezpieczeństwo Informacji)
    [ ] ISO 27701 (Prywatność)
    [ ] SOC 2
    [ ] Inne: _________________________________

Sekcja 2: Zgodność Produktu

Sekcja 2: Zgodność Produktu

2.1 Identyfikacja Produktu
    Nazwa/Model Produktu: __________________________
    Wersja/Rewizja: _____________________________
    Kategoria Produktu: ___________________________

2.2 Klasyfikacja CRA
    Jaka jest klasyfikacja CRA tego produktu?
    [ ] Domyślna
    [ ] Ważna Klasa I (Załącznik III, Część I)
    [ ] Ważna Klasa II (Załącznik III, Część II)
    [ ] Krytyczna (Załącznik IV)
    [ ] Jeszcze niesklasyfikowany

2.3 Ocena Zgodności
    Jaka procedura oceny zgodności została użyta?
    [ ] Moduł A (Samoocena)
    [ ] Moduł B+C (Badanie Typu UE)
    [ ] Moduł H (Pełne Zapewnienie Jakości)
    [ ] Jeszcze nie ukończono

    Jeśli Moduł B, C lub H:
    Nazwa Jednostki Notyfikowanej: __________________
    Numer Certyfikatu: ___________________________
    Data Certyfikatu: _____________________________

2.4 Deklaracja Zgodności UE
    [ ] DoC dostępny (dołącz kopię)
    [ ] DoC jeszcze nie wydany
    Data DoC: ________________________________

2.5 Oznaczenie CE
    [ ] Oznaczenie CE naniesione
    [ ] Oznaczenie CE jeszcze nie naniesione
    Jeśli naniesione, gdzie na produkcie: _______________

2.6 Dokumentacja Techniczna
    [ ] Dokumentacja techniczna dostępna na żądanie
    [ ] SBOM dostępny (format: ________________)
    [ ] Dokumentacja oceny ryzyka dostępna
    [ ] Instrukcje użytkownika/bezpieczeństwa dostępne

Sekcja 3: Praktyki Bezpieczeństwa

Sekcja 3: Praktyki Bezpieczeństwa

3.1 Bezpieczny Rozwój
    Czy stosujesz cykl bezpiecznego rozwoju?
    [ ] Tak - Opisz: __________________________
    [ ] Nie

    Czy przeprowadzasz testy bezpieczeństwa?
    [ ] Analiza statyczna (SAST)
    [ ] Analiza dynamiczna (DAST)
    [ ] Testy penetracyjne
    [ ] Testy fuzz
    [ ] Inne: _________________________________

    Czy masz standard bezpiecznego kodowania?
    [ ] Tak - Który: ____________________________
    [ ] Nie

3.2 Zarządzanie Komponentami
    Jak śledzisz komponenty stron trzecich?
    [ ] SBOM utrzymywany
    [ ] Narzędzie do śledzenia zależności (nazwa: _________)
    [ ] Śledzenie ręczne
    [ ] Nie śledzone systematycznie

    Jak monitorujesz podatności w zależnościach?
    [ ] Automatyczne skanowanie (narzędzie: _______________)
    [ ] Ręczne monitorowanie CVE
    [ ] Polegam na powiadomieniach dostawcy
    [ ] Brak systematycznego monitorowania

3.3 Architektura Bezpieczeństwa
    Opisz kluczowe funkcje bezpieczeństwa produktu:
    _____________________________________________

    Jakie standardy kryptograficzne są używane?
    _____________________________________________

    Jak zaimplementowane jest uwierzytelnianie?
    _____________________________________________

    Jak chronione są dane w spoczynku i w transmisji?
    _____________________________________________

Sekcja 4: Zarządzanie Podatnościami

Sekcja 4: Zarządzanie Podatnościami

4.1 Ujawnianie Podatności
    Czy masz politykę skoordynowanego ujawniania podatności?
    [ ] Tak - URL: ______________________________
    [ ] Nie

    Czy masz plik security.txt?
    [ ] Tak - URL: ______________________________
    [ ] Nie

    Jaka jest metoda kontaktu bezpieczeństwa?
    [ ] Email: __________________________________
    [ ] Formularz web: _______________________________
    [ ] Platforma bug bounty: ____________________
    [ ] Inne: _________________________________

4.2 Zobowiązania Czasowe
    Jaki jest twój czas potwierdzenia?
    [ ] W ciągu 24 godzin
    [ ] W ciągu 72 godzin
    [ ] W ciągu 7 dni
    [ ] Brak zobowiązania

    Jaki jest typowy czas łatki dla:
    Krytycznych podatności: ___________________
    Wysokich podatności: _______________________
    Średnich podatności: _____________________

4.3 Raportowanie do ENISA
    Czy jesteś przygotowany na raportowanie do ENISA (wrzesień 2026)?
    [ ] Tak, proces ustanowiony
    [ ] W trakcie
    [ ] Nie
    [ ] Nie dotyczy (nie producent)

4.4 Historyczne Podatności
    Ile podatności bezpieczeństwa zgłoszono
    w tym produkcie w ciągu ostatnich 24 miesięcy? ______

    Jak zostały rozwiązane?
    [ ] Wszystkie załatane w zadeklarowanym czasie
    [ ] Pewne opóźnienia (wyjaśnij): __________________
    [ ] Niektóre pozostają niezałatane (wyjaśnij): ________

Sekcja 5: Aktualizacje i Wsparcie

Sekcja 5: Aktualizacje i Wsparcie

5.1 Okres Wsparcia
    Jaki jest zadeklarowany okres wsparcia od wprowadzenia
    na rynek?
    [ ] 5 lat (minimum CRA)
    [ ] 7 lat
    [ ] 10 lat
    [ ] Inny: _________________________________
    [ ] Nieokreślony

    Kiedy ten produkt został po raz pierwszy wprowadzony na rynek UE?
    Data: ______________________________________

    Kiedy kończy się okres wsparcia?
    Data: ______________________________________

5.2 Mechanizm Aktualizacji
    Jak dostarczane są aktualizacje bezpieczeństwa?
    [ ] Automatyczne aktualizacje (OTA)
    [ ] Ręczne pobieranie z portalu
    [ ] Nośniki fizyczne
    [ ] Inne: _________________________________

    Czy aktualizacje bezpieczeństwa są oddzielne od aktualizacji funkcji?
    [ ] Tak
    [ ] Nie - łączone razem

    Czy użytkownicy mogą odraczać lub pomijać aktualizacje?
    [ ] Tak
    [ ] Nie - obowiązkowe
    [ ] Konfigurowalne

5.3 Weryfikacja Aktualizacji
    Czy aktualizacje są podpisane?
    [ ] Tak - Metoda: __________________________
    [ ] Nie

    Czy użytkownicy mogą zweryfikować autentyczność aktualizacji?
    [ ] Tak - Jak: _____________________________
    [ ] Nie

5.4 Planowanie Końca Wsparcia
    Czy masz udokumentowany proces EOL?
    [ ] Tak
    [ ] Nie

    Jak klienci będą powiadamiani o EOL?
    _____________________________________________

    Co dzieje się po zakończeniu okresu wsparcia?
    [ ] Produkt nadal funkcjonuje
    [ ] Produkt traci funkcjonalność
    [ ] Produkt wymaga migracji

Sekcja 6: Wymagania Dokumentacyjne

Sekcja 6: Wymagania Dokumentacyjne

6.1 Dostępna Dokumentacja
    Zaznacz całą dokumentację, którą możesz dostarczyć:

    [ ] Deklaracja Zgodności UE
    [ ] Dokumentacja techniczna (lub odpowiednie wyciągi)
    [ ] Software Bill of Materials (SBOM)
        Format: [ ] CycloneDX [ ] SPDX [ ] Inny
    [ ] Podsumowanie oceny ryzyka
    [ ] Dokument architektury bezpieczeństwa
    [ ] Instrukcje użytkownika (związane z bezpieczeństwem)
    [ ] Polityka ujawniania podatności
    [ ] Warunki wsparcia/utrzymania

6.2 Dostarczanie Dokumentacji
    Jak dokumentacja będzie dostarczana?
    [ ] Na żądanie (czas odpowiedzi: ____________)
    [ ] Przez bezpieczny portal
    [ ] Dołączana do produktu
    [ ] Inne: _________________________________

6.3 Szczegóły SBOM (jeśli dostępny)
    SBOM obejmuje:
    [ ] Tylko bezpośrednie zależności
    [ ] Zależności przechodnie włączone
    [ ] Komponenty sprzętowe (jeśli dotyczy)

    Częstotliwość aktualizacji SBOM:
    [ ] Przy każdym wydaniu
    [ ] Na żądanie
    [ ] Nie aktualizowany systematycznie

Sekcja 7: Zobowiązania Umowne

Sekcja 7: Zobowiązania Umowne

7.1 Gwarancja Zgodności
    Czy zagwarantujesz zgodność z CRA w umowie?
    [ ] Tak
    [ ] Nie
    [ ] Do negocjacji

7.2 Przechowywanie Dokumentacji
    Czy będziesz przechowywać dokumentację techniczną przez 10 lat?
    [ ] Tak
    [ ] Nie
    [ ] Krótszy okres: ________________________

7.3 Obowiązki Powiadamiania
    Czy powiadomisz nas o:
    [ ] Podatnościach bezpieczeństwa w produkcie
    [ ] Zmianach statusu zgodności
    [ ] Decyzjach o końcu wsparcia
    [ ] Istotnych zmianach w architekturze bezpieczeństwa

7.4 Prawa Audytu
    Czy pozwolisz na audyty zgodności?
    [ ] Tak - bez ograniczeń
    [ ] Tak - z wyprzedzeniem
    [ ] Nie

7.5 Odszkodowanie
    Czy zapewnisz odszkodowanie za niezgodność z CRA?
    [ ] Tak
    [ ] Nie
    [ ] Do negocjacji

Sekcja 8: Oświadczenie

Sekcja 8: Oświadczenie

Oświadczam, że informacje podane w tym kwestionariuszu
są dokładne i kompletne według mojej najlepszej wiedzy.

Rozumiem, że [Twoja Firma] polega na tych informacjach
dla celów zgodności z CRA i że istotne wprowadzające w błąd
stwierdzenia mogą skutkować rozwiązaniem umowy.

Wypełnił: _____________________________________
Stanowisko: ___________________________________________
Data: ____________________________________________
Podpis: _______________________________________

Sygnały Ostrzegawcze

Zwróć uwagę na te znaki ostrzegawcze podczas należytej staranności:

Krytyczne Sygnały Ostrzegawcze (Przerwij relację)

Poważne Sygnały Ostrzegawcze (Wymagają mitygacji)

Żółte Flagi (Monitoruj uważnie)

Proces Weryfikacji

Wstępna Weryfikacja

1. Zbieranie Dokumentów

   • Żądaj kopii DoC
   • Żądaj SBOM (lub potwierdzenia dostępności)
   • Żądaj informacji kontaktowych bezpieczeństwa
   • Żądaj zobowiązania dotyczącego okresu wsparcia

2. Przegląd Dokumentów

   • Zweryfikuj, że DoC jest podpisane i kompletne
   • Sprawdź, czy identyfikacja produktu się zgadza
   • Zweryfikuj twierdzenia dotyczące oznaczenia CE
   • Przejrzyj format i kompletność SBOM

3. Kontrole Wyrywkowe Zgodności

   • Zweryfikuj, że security.txt istnieje (jeśli dostępny przez web)
   • Sprawdź, czy polityka CVD jest opublikowana
   • Przetestuj, czy kontakt bezpieczeństwa odpowiada
   • Zweryfikuj twierdzenia o okresie wsparcia w dokumentacji

Ciągłe Monitorowanie

HARMONOGRAM MONITOROWANIA DOSTAWCÓW

Miesięcznie:
[ ] Sprawdź opublikowane biuletyny bezpieczeństwa
[ ] Zweryfikuj, że kontakt bezpieczeństwa nadal działa
[ ] Przejrzyj wszelkie ujawnienia podatności

Kwartalnie:
[ ] Żądaj zaktualizowanego SBOM (jeśli znaczące wydania)
[ ] Zweryfikuj, że polityka CVD nadal jest dostępna
[ ] Sprawdź nowe certyfikaty lub ich wygaśnięcie

Rocznie:
[ ] Pełne odświeżenie kwestionariusza
[ ] Przegląd statusu okresu wsparcia
[ ] Zweryfikuj, że dokumentacja nadal jest dostępna
[ ] Przegląd stabilności biznesowej

Wyzwalane:
[ ] Poważny incydent bezpieczeństwa → Natychmiastowy przegląd
[ ] Zmiana właściciela → Pełna ponowna ocena
[ ] Wycofanie produktu → Planowanie EOL
[ ] Odnowienie umowy → Ponowna weryfikacja zgodności

Klauzule Umowy z Dostawcą

Podstawowe Klauzule dla CRA

Włącz te postanowienia do umów z dostawcami:

Oświadczenie o Zgodności:

Dostawca oświadcza i gwarantuje, że Produkt(y)
są zgodne z Rozporządzeniem (UE) 2024/2847 (Cyber Resilience
Act) oraz że Dostawca przeprowadził wymaganą
ocenę zgodności.

Dostarczanie Dokumentacji:

Dostawca dostarczy na żądanie:
(a) Kopię Deklaracji Zgodności UE
(b) Software Bill of Materials w formacie [CycloneDX/SPDX]
(c) Dokumentację techniczną istotną dla obowiązków
    zgodności Kupującego
Czas odpowiedzi: [5 dni roboczych]

Powiadamianie o Podatnościach:

Dostawca powiadomi Kupującego w ciągu [24/48] godzin od
momentu uzyskania wiedzy o jakiejkolwiek podatności bezpieczeństwa
w Produkcie(ach), która:
(a) Jest aktywnie wykorzystywana, lub
(b) Ma wynik CVSS 7.0 lub wyższy, lub
(c) Podlega publicznemu ujawnieniu

Zobowiązanie do Okresu Wsparcia:

Dostawca zobowiązuje się do dostarczania aktualizacji bezpieczeństwa
dla Produktu(ów) przez minimalny okres [5/7/10] lat
od daty pierwszego wprowadzenia na rynek UE.

Aktualizacje SBOM:

Dostawca dostarczy zaktualizowany SBOM w ciągu [10]
dni roboczych od każdego wydania produktu zawierającego
zmiany w komponentach stron trzecich.

Prawa Audytu:

Kupujący może przeprowadzić audyt zgodności Dostawcy z tą
Umową i obowiązującymi wymaganiami CRA po
[30-dniowym] pisemnym powiadomieniu, nie częściej niż raz w roku,
chyba że wyzwala to obawa o zgodność.

Częste Błędy

Poleganie na Samooświadczeniu

Problem: Akceptowanie ustnych zapewnień dostawcy bez dokumentacji.

Naprawa: Zawsze uzyskaj pisemne dowody. Brak kopii DoC = brak zakupu.

Jednorazowa Ocena

Problem: Należyta staranność tylko przy podpisywaniu umowy.

Naprawa: Wdróż harmonogram ciągłego monitorowania. Zgodność może się zmienić.

Ignorowanie Dostawców Warstwy 3-4

Problem: Ocenianie tylko "głównych" dostawców, ignorując mniejszych.

Naprawa: Nawet drobne komponenty mogą wprowadzić podatności. Skaluj ocenę, nie pomijaj.

Brak Podstaw Umownych

Problem: Poleganie na dobrej woli dostawcy bez warunków umownych.

Naprawa: Umieść obowiązki zgodności na piśmie. Włącz środki zaradcze na wypadek niezgodności.

Czekanie do Grudnia 2027

Problem: Rozpoczęcie ocen dostawców tuż przed egzekwowaniem CRA.

Naprawa: Zacznij teraz. Ocena wymaga czasu. Niezgodni dostawcy potrzebują czasu na naprawę lub wymianę.

Lista Kontrolna Należytej Staranności Wobec Dostawców

LISTA KONTROLNA NALEŻYTEJ STARANNOŚCI WOBEC DOSTAWCÓW

PRZED ZAANGAŻOWANIEM:
[ ] Określona warstwa dostawcy
[ ] Wybrany odpowiedni kwestionariusz
[ ] Przydzielony wewnętrzny recenzent

WSTĘPNA OCENA:
[ ] Kwestionariusz wysłany
[ ] Kwestionariusz otrzymany i przejrzany
[ ] Sygnały ostrzegawcze zidentyfikowane i rozwiązane
[ ] Dokumentacja zebrana:
    [ ] Deklaracja Zgodności UE
    [ ] SBOM (lub potwierdzona dostępność)
    [ ] Polityka CVD
    [ ] Zobowiązanie do okresu wsparcia
[ ] Kontrole wyrywkowe wykonane:
    [ ] security.txt zweryfikowany
    [ ] Kontakt bezpieczeństwa przetestowany
    [ ] Oznaczenie CE zweryfikowane

NEGOCJACJE UMOWY:
[ ] Klauzule zgodności włączone
[ ] Postanowienia dokumentacyjne uzgodnione
[ ] Warunki powiadamiania o podatnościach ustalone
[ ] Zobowiązanie do okresu wsparcia zabezpieczone
[ ] Prawa audytu włączone
[ ] Harmonogram aktualizacji SBOM uzgodniony

PO UMOWIE:
[ ] Harmonogram monitorowania ustanowiony
[ ] Pierwsze dostarczenie dokumentacji potwierdzone
[ ] Kontakty zarejestrowane w systemie zarządzania dostawcami
[ ] Daty przeglądów wpisane do kalendarza

CIĄGŁE:
[ ] Miesięczne kontrole wykonane
[ ] Kwartalne przeglądy wykonane
[ ] Roczna ponowna ocena wykonana
[ ] Zdarzenia wyzwalające obsłużone

Jak Pomaga CRA Evidence

CRA Evidence zawiera możliwości zarządzania dostawcami:

• Rejestr dostawców: Śledź wszystkich dostawców z rolami CRA
• Śledzenie kwestionariuszy: Wysyłaj, odbieraj, przeglądaj oceny
• Przechowywanie dokumentacji: DoC, SBOM, certyfikaty
• Alerty monitorowania: Śledź okresy wsparcia, daty przeglądów
• Agregacja SBOM: Łącz SBOM dostawców w SBOM twojego produktu

Zarządzaj zgodnością łańcucha dostaw na app.craevidence.com.

Powiązane Przewodniki

• Jak Wygenerować SBOM Zgodny z CRA: Narzędzia, Formaty i Integracja CI/CD
• Dokumentacja Techniczna CRA: Co Zawiera Każda Sekcja (Szczegóły Załącznika VII)
• Koszt Zgodności z CRA: Jak Zaplanować Budżet na Ocenę Zgodności i Dokumentację

Ten artykuł służy wyłącznie celom informacyjnym i nie stanowi porady prawnej. W celu uzyskania konkretnych wskazówek dotyczących zgodności, skonsultuj się z wykwalifikowanym prawnikiem.