Czy inteligentne kamery to produkty ważne według CRA?

Inteligentne kamery monitorujące to produkty ważne (Klasa I) wg Załącznika III CRA. Co to oznacza dla producentów, importerów i dystrybutorów.

Zespół CRA Evidence Opublikowano 25 lutego 2026 Zaktualizowano 31 maja 2026
Karta podglądu artykułu z tytułem „Czy inteligentne kamery są produktami ważnymi według CRA?” na szablonie regulacyjnym CRA Evidence
W tym artykule

Podczas gdy podłączony toster może podążać podstawową ścieżką zgodności z CRA, inteligentne kamery monitorujące nie mają tego luksusu. UE umieściła je wprost w Załączniku III jako produkty ważne, Klasa I, o szczebel wyżej niż większość konsumenckiego IoT, z bardziej rygorystycznymi wymaganiami dotyczącymi oceny zgodności. Dotyczy to każdego, kto te urządzenia produkuje, importuje lub dystrybuuje.

Powszechnym nieporozumieniem jest przekonanie, że kamery to „produkty krytyczne". Tak nie jest. Ale Ważna Klasa I to już znaczące podwyższenie wymagań.

Najważniejsze informacje

  • Inteligentne kamery monitorujące to produkty ważne, Klasa I zgodnie z Załącznikiem III CRA, pozycja 17. Nie „produkty krytyczne"
  • Klasa I dopuszcza samoocenę wyłącznie w przypadku pełnego stosowania norm zharmonizowanych; w przeciwnym razie wymagany jest audyt przez stronę trzecią
  • Domyślne hasła są zakazane. Unikalne dane uwierzytelniające lub bezpieczne uwierzytelnianie muszą być wymagane przy pierwszym użyciu
  • Producenci muszą obsługiwać podatności i dostarczać aktualizacje bezpieczeństwa przez co najmniej 5 lat
  • SBOM (Software Bill of Materials) jest obowiązkowy
  • Importerzy ponoszą osobistą odpowiedzialność za weryfikację zgodności producenta przed wprowadzeniem produktu na rynek UE
  • Wszystkie obowiązki obowiązują od 11 grudnia 2027 r.
150 000+
Przejętych kamer
i rejestratorów DVR, szczyt botnetu Mirai (od 2016 r.)
77%
Zgłoszonych incydentów
to ataki DDoS w latach 2024-2025
5 lat
Minimalny okres wsparcia
dla kamer Klasy I (Artykuł 13 ust. 8)
11 gru 2027
Pełne stosowanie CRA
wymagane oznakowanie CE i ocena zgodności

Źródła: ENISA Threat Landscape 2020 i 2025; Rozporządzenie (UE) 2024/2847, Artykuły 13 i 71.

Co CRA faktycznie mówi o kamerach

Wokół kategorii produktów CRA narosło wiele nieporozumień, więc warto być precyzyjnym. Rozporządzenie tworzy trzy poziomy:

Poziomy produktów CRA z inteligentnymi kamerami monitorującymi w kategorii Ważne Klasa I, Załącznik III, pozycja 17. Kategoria domyślna obejmuje większość konsumenckiego IoT, takich jak inteligentne głośniki i termostaty. Klasa I obejmuje inteligentne kamery monitorujące dla domu, inteligentne zamki do drzwi, elektroniczne nianie, systemy alarmowe, routery, modemy, systemy operacyjne i menedżery haseł. Klasa II obejmuje zapory sieciowe oraz systemy wykrywania i zapobiegania włamaniom. Produkty krytyczne z Załącznika IV obejmują sprzętowe moduły bezpieczeństwa, bramki inteligentnych liczników i karty inteligentne.
Miejsce inteligentnych kamer monitorujących w klasyfikacji produktów CRA.

Dokładny tekst prawny

Załącznik III, Klasa I, pozycja 17 Rozporządzenia (UE) 2024/2847:

„Produkty inteligentnego domu z funkcjami bezpieczeństwa, w tym inteligentne zamki do drzwi, kamery monitorujące, elektroniczne nianie oraz systemy alarmowe"

Rozporządzenie wykonawcze Komisji (UE) 2025/2392 precyzuje zakres techniczny, używając sformułowania „systemy kamer", nieco szerszego niż „kamery monitorujące" w rozporządzeniu nadrzędnym.

Istotne zastrzeżenie: produkt musi posiadać „funkcje bezpieczeństwa" w kontekście inteligentnego domu. Zwykła kamera internetowa do wideokonferencji nie trafia automatycznie do Klasy I. Podłączona kamera monitorująca Twój dom lub firmę już tak.

Dlaczego UE wyróżniła kamery

To nie była arbitralna decyzja. Kamery IP wyrobily sobie reputację najsłabszego ogniwa bezpieczeństwa sieci, a dane to potwierdzają:

  • Botnet Mirai (od 2016 r.) zbudował armię ponad 150 000 przejętych kamer i rejestratorów DVR do przeprowadzania masowych ataków DDoS (ENISA Threat Landscape 2020: Botnet Report)
  • Ataki DDoS stanowiły 77% wszystkich zgłoszonych incydentów cybernetycznych w latach 2024-2025, w dużej mierze napędzanych przez przejęte urządzenia IoT (ENISA Threat Landscape 2025)
  • Warianty Mirai są nadal aktywne. W kwietniu 2025 r. wykryto je przy eksploitacji kamer GeoVision
  • Codziennie do sieci dołącza około 7,7 miliona nowych urządzeń IoT; tylko 1 na 20 działa za zaporą sieciową

Wzorzec jest wyraźny: kamery są stale włączone, stale podłączone, często słabo zabezpieczone i przechowują wrażliwe dane (nagrania wideo). To dokładnie ten profil ryzyka, do którego CRA jest adresowane.

Co Klasa I oznacza dla oceny zgodności

Zgodnie z Artykułem 32 ust. 2, producenci z Klasy I mają dwie ścieżki, a wybór zależy od czegoś, co wciąż pozostaje w fazie kształtowania.

Ścieżka 1: samoocena (Moduł A)

Producent może przeprowadzić wewnętrzną samoocenę, ale tylko jeśli stosuje normy zharmonizowane obejmujące wszystkie podstawowe wymagania z zakresu cyberbezpieczeństwa. Częściowe pokrycie nie wystarczy. Brak spełnienia choćby jednego wymagania kieruje producenta na Ścieżkę 2.

W tej chwili (luty 2026) normy zharmonizowane w ramach CRA są nadal finalizowane przez CEN/CENELEC. Do czasu ich publikacji w Dzienniku Urzędowym większość producentów nie będzie mogła skorzystać z tej ścieżki.

Ścieżka 2: ocena przez stronę trzecią

Bez pełnego pokrycia przez normy zharmonizowane producent potrzebuje:

  • Modułu B + C: badanie typu UE przez jednostkę notyfikowaną, a następnie zgodność z typem
  • Modułu H: pełny system zapewnienia jakości certyfikowany przez jednostkę notyfikowaną

Obie opcje są droższe i bardziej czasochłonne niż samoocena. Przepustowość jednostek notyfikowanych będzie się zmniejszać wraz ze zbliżaniem się do grudnia 2027 r. Wszyscy będą starali się zdążyć w tym samym czasie.

Podstawowe wymagania dla inteligentnych kamer

Każda podłączona kamera musi spełniać podstawowe wymagania cyberbezpieczeństwa CRA (Załącznik I), niezależnie od wybranej ścieżki oceny zgodności. Te, które najbardziej uderzają w producentów kamer:

1. Zakaz domyślnych haseł

Artykuł 13 i Załącznik I, Część I wymagają konfiguracji „bezpiecznej domyślnie". Mówiąc wprost:

  • Koniec z dostarczaniem każdej jednostki z admin/admin lub admin/password
  • Każde urządzenie potrzebuje unikalnego hasła lub musi wymuszać bezpieczną konfigurację danych uwierzytelniających przy pierwszym użyciu
  • Uwierzytelnianie wieloskładnikowe tam, gdzie jest to technicznie wykonalne

Sam ten wymóg wymusi przeprojektowanie ogromnej liczby linii produktów kamer.

2. Obsługa podatności (minimum 5 lat)

Załącznik I, Część II oznacza, że producenci muszą:

  • Wdrożyć politykę skoordynowanego ujawniania podatności (CVD)
  • Zapewnić badaczom bezpieczeństwa wyraźną ścieżkę zgłaszania problemów
  • Łatać podatności bez zbędnej zwłoki przez cały okres wsparcia
  • Wspierać produkt przez co najmniej 5 lat od wprowadzenia na rynek
  • Zgłaszać aktywnie wykorzystywane podatności jednocześnie do koordynującego CSIRT i do ENISA przez Single Reporting Platform w ciągu 24 godzin od powzięcia wiedzy (obowiązek ten wchodzi w życie 11 września 2026 r.)

Pięć lat obowiązkowego łatania to duża zmiana dla producentów kamer przyzwyczajonych do modelu „wyślij i zapomnij".

3. Software Bill of Materials (SBOM)

Każdy komponent oprogramowania w oprogramowaniu układowym kamery musi być udokumentowany: jądro Linux, biblioteki strumieniowania RTSP, framework interfejsu webowego, stos TLS, wszystko. SBOM musi:

  • Używać formatu czytelnego maszynowo (CycloneDX lub SPDX)
  • Obejmować co najmniej zależności najwyższego poziomu
  • Stanowić część dokumentacji technicznej
  • Być aktualizowany przez cały okres wsparcia

4. Bezpieczny mechanizm aktualizacji

Kamery wymagają bezpiecznych, uwierzytelnionych aktualizacji oprogramowania układowego:

  • Dostarczanych za pośrednictwem zaszyfrowanych kanałów
  • Z weryfikacją integralności oprogramowania przed instalacją
  • Z włączonymi domyślnie automatycznymi aktualizacjami bezpieczeństwa (użytkownicy mogą zrezygnować)
  • Z zalecaną możliwością cofnięcia aktualizacji

5. Minimalizacja danych i prywatność

Kamery zbierające dane wideo muszą:

  • Przetwarzać wyłącznie dane niezbędne do funkcji produktu
  • Szyfrować przechowywane i przesyłane dane
  • Umożliwiać użytkownikom bezpieczne usunięcie ich danych
  • Chronić dane w spoczynku przed fizycznym dostępem

Rola importerów i dystrybutorów

Importerzy: strażnicy unijnej granicy

Jeśli firma importuje kamery spoza UE (a większość inteligentnych kamer jest produkowana w Azji), Artykuł 19 czyni ją odpowiedzialną. Importer ponosi osobistą odpowiedzialność za weryfikację, czy producent dopełnił obowiązków dotyczących zgodności, zanim produkt trafi na rynek UE.

Lista kontrolna weryfikacyjna przed wprowadzeniem kamery na rynek UE:

  • [ ] Producent przeprowadził odpowiednią ocenę zgodności (Klasa I)
  • [ ] Deklaracja zgodności UE (DoC) istnieje i odnosi się do CRA
  • [ ] Oznakowanie CE jest prawidłowo naniesione
  • [ ] Dokumentacja techniczna jest dostępna i kompletna
  • [ ] Dane kontaktowe producenta widnieją na produkcie lub opakowaniu
  • [ ] SBOM jest dostępny jako część dokumentacji technicznej

Jeśli którykolwiek punkt nie jest spełniony, importer nie może legalnie sprzedawać produktu. Kropka. Musi poinformować producenta, a jeżeli istnieje ryzyko cyberbezpieczeństwa, powiadomić organy nadzoru rynku.

Kary dla importerów: do 10 000 000 EUR lub 2 % całkowitego rocznego światowego obrotu (Artykuł 64).

Dystrybutorzy: mniejsze obowiązki, realne konsekwencje

Dystrybutorzy mają mniej do zweryfikowania na podstawie Artykułu 20, ale obowiązki są nadal wiążące:

  • Oznakowanie CE jest obecne na produkcie
  • Nazwy i dane kontaktowe producenta i importera są widoczne
  • Warunki przechowywania i transportu nie naruszają zgodności
  • Dystrybutor nie sprzedaje produktów, co do których ma podstawy sądzić, że są niezgodne z przepisami

Kary dla dystrybutorów: do 10 000 000 EUR lub 2 % całkowitego rocznego światowego obrotu (Artykuł 64 ust. 3; obowiązki dystrybutorów na mocy Artykułu 20 mieszczą się w zakresie Artykułów 18-23).

Pułapka rebrandingu

Uwaga: jeśli firma importuje kamerę i sprzedaje ją pod własną marką, lub jeśli dokonuje istotnych modyfikacji oprogramowania układowego lub elementów cyfrowych, CRA traktuje ją jako producenta. Oznacza to pełen zakres obowiązków producenta: ocena zgodności, SBOM, 5 lat obsługi podatności i całą resztę.

Harmonogram zgodności 

HARMONOGRAM CRA DLA INTELIGENTNYCH KAMER

11 wrz 2026 --- Zaczynają obowiązywać wymogi dotyczące zgłaszania podatności
                (Zgłaszanie jednocześnie do koordynującego CSIRT i ENISA w ciągu 24 h)

11 gru 2027 --- Pełna zgodność z CRA wymagana
                (Wszystkie podstawowe wymagania, ocena zgodności,
                 oznakowanie CE, SBOM, dokumentacja techniczna)

Jeśli firma produkuje lub importuje inteligentne kamery i jeszcze nie zaczęła prac nad zgodnością, już jest z opóźnieniem. Normy zharmonizowane są nadal opracowywane, miejsca w jednostkach notyfikowanych się zapełniają, a grudzień 2027 r. jest bliżej, niż się wydaje.

Ważne

Inteligentne kamery z funkcją bezpieczeństwa (nadzór, monitoring) są klasyfikowane jako produkty ważne Klasy I zgodnie z Załącznikiem III, Część I.

Wskazówka

Domyślne hasła na kamerach są wyraźnie zakazane na mocy CRA. Każde urządzenie musi mieć unikalne dane uwierzytelniające lub wymagać konfiguracji przez użytkownika.

Oficjalne źródła

Najczęściej zadawane pytania

Czy inteligentne kamery monitorujące są produktami Klasy I czy Krytycznymi według CRA?

Klasa I. Załącznik III, Klasa I, pozycja 17 Rozporządzenia (UE) 2024/2847 wymienia „produkty inteligentnego domu z funkcjami bezpieczeństwa, w tym inteligentne zamki do drzwi, kamery monitorujące, elektroniczne nianie oraz systemy alarmowe". Produkty krytyczne znajdują się w Załączniku IV i obejmują sprzętowe moduły bezpieczeństwa, bramki inteligentnych liczników oraz karty inteligentne, a nie kamery. Rozporządzenie wykonawcze Komisji (UE) 2025/2392 używa dla tej samej kategorii nieco szerszego sformułowania „systemy kamer". Zwykłe kamery internetowe do wideokonferencji nie trafiają tu automatycznie. Kwalifikatorem jest kontekst inteligentnego domu z funkcją bezpieczeństwa.

Czy producent kamer może dokonać samooceny w Module A, czy wymagana jest jednostka notyfikowana?

Samoocena jest dopuszczalna wyłącznie wtedy, gdy normy zharmonizowane pokrywają w pełni wszystkie podstawowe wymagania cyberbezpieczeństwa. Częściowe pokrycie wymusza ścieżkę strony trzeciej: Moduł B+C (badanie typu UE przez jednostkę notyfikowaną, a następnie zgodność z typem) albo Moduł H (pełny system zapewnienia jakości certyfikowany przez jednostkę notyfikowaną). W tej chwili (luty 2026) normy zharmonizowane CRA są nadal finalizowane przez CEN/CENELEC, więc większość producentów nie będzie jeszcze mogła wybrać ścieżki samooceny.

Czy domyślne hasła rzeczywiście są zakazane na inteligentnych kamerach?

Tak. Artykuł 13 i Załącznik I, Część I wymagają konfiguracji „bezpiecznej domyślnie". W praktyce oznacza to koniec z dostarczaniem wspólnych par admin/admin lub admin/password na każdej jednostce. Każde urządzenie potrzebuje unikalnych danych uwierzytelniających lub musi przeprowadzić użytkownika przez bezpieczną konfigurację przy pierwszym użyciu, z uwierzytelnianiem wieloskładnikowym tam, gdzie jest to technicznie wykonalne. Sam ten wymóg wymusi przeprojektowanie znacznej części rynku kamer.

Jak długo producent kamer musi dostarczać aktualizacje bezpieczeństwa?

Co najmniej pięć lat od wprowadzenia na rynek, zgodnie z Artykułem 13 ust. 8, lub oczekiwany okres życia produktu, jeżeli jest krótszy. W tym czasie producenci muszą prowadzić politykę skoordynowanego ujawniania podatności (CVD), zapewniać badaczom bezpieczeństwa wyraźny kanał zgłaszania problemów oraz łatać podatności bez zbędnej zwłoki. Aktualizacje muszą być dostarczane uwierzytelnionymi kanałami, z weryfikacją integralności oprogramowania przed instalacją i z włączonymi domyślnie automatycznymi aktualizacjami bezpieczeństwa (użytkownicy mogą zrezygnować).

Jaka jest odpowiedzialność importera przy wprowadzaniu kamer na rynek UE?

Zgodnie z Artykułem 19 importerzy ponoszą osobistą odpowiedzialność za weryfikację, czy producent przeprowadził ocenę zgodności, czy Deklaracja zgodności UE odnosi się do CRA, czy oznakowanie CE jest prawidłowo naniesione, czy dokumentacja techniczna i SBOM są dostępne oraz czy dane kontaktowe producenta widnieją na produkcie lub opakowaniu. Jeśli którykolwiek punkt nie jest spełniony, produkt nie może zostać zgodnie z prawem wprowadzony na rynek. Kary sięgają 10 000 000 EUR lub 2 % całkowitego rocznego światowego obrotu (Artykuł 64). Importer, który dokonuje rebrandingu kamery lub wprowadza istotne modyfikacje, jest traktowany jako producent i przejmuje pełen zakres obowiązków producenta.

Kiedy zaczyna obowiązywać 24-godzinny obowiązek zgłaszania podatności dla kamer?

11 września 2026 r. Od tej daty aktywnie wykorzystywane podatności muszą być zgłaszane jednocześnie do koordynującego CSIRT i do ENISA przez Single Reporting Platform w ciągu 24 godzin od powzięcia wiedzy na podstawie Artykułu 14. Pełne stosowanie CRA, w tym oznakowanie CE, ocena zgodności, SBOM i dokumentacja techniczna, nastąpi 11 grudnia 2027 r. Producenci i importerzy, którzy nie zaprojektowali jeszcze swojego procesu z Artykułu 14, są już z opóźnieniem: normy zharmonizowane są nadal w opracowaniu, a przepustowość jednostek notyfikowanych będzie się zmniejszać w miarę zbliżania się 2027 r.

Co zrobić teraz

Co zrobić przed grudniem 2027 r.

  1. Sklasyfikuj produkt względem Załącznika III pozycja 17. Kontekst inteligentnego domu z funkcją bezpieczeństwa oznacza Klasę I; profesjonalne CCTV może podlegać ogólnemu zakresowi CRA.
  2. Wyeliminuj domyślne hasła w całej linii produktów kamer. Każda jednostka wychodzi z unikalnym hasłem lub wymusza bezpieczną konfigurację przy pierwszym użyciu.
  3. Wygeneruj SBOM w formacie CycloneDX lub SPDX dla oprogramowania układowego. Pokryj co najmniej zależności najwyższego poziomu i utrzymuj go przez cały 5-letni okres wsparcia.
  4. Opublikuj politykę skoordynowanego ujawniania podatności oraz plik security.txt z osiągalnym kontaktem.
  5. Wybierz ścieżkę oceny zgodności. Jeśli normy zharmonizowane CEN/CENELEC nie będą gotowe na czas, skontaktuj się z jednostką notyfikowaną już teraz. Zobacz przewodnik decyzyjny oceny zgodności.
  6. Jeśli firma importuje kamery produkowane poza UE, przeprowadź audyt dowodów zgodności każdego dostawcy przed wprowadzeniem na rynek. Zobacz przewodnik po weryfikacji obowiązków importera.

Niniejszy artykuł ma charakter wyłącznie informacyjny i nie stanowi porady prawnej. W celu uzyskania szczegółowych wskazówek dotyczących zgodności należy skonsultować się z wykwalifikowanym doradcą prawnym.

CRA IoT Klasy Produktów Importerzy
Share

Powiązane artykuły

Powrót do wszystkich artykułów

Czy CRA dotyczy Twojego produktu?

Odpowiedz na 6 prostych pytań, aby dowiedzieć się, czy Twój produkt podlega pod Cyber Resilience Act UE. Uzyskaj wynik w mniej niż 2 minuty.

Sprawdź teraz

Gotowy na osiągnięcie zgodności z CRA?

Zacznij zarządzać swoimi SBOM-ami i dokumentacją zgodności z CRA Evidence.

Rozpocznij 14-dniowy bezpłatny okres próbny

Szczegółowe omówienie zagadnień CRA

Stale aktualizowane przewodniki po wymaganiach, procesach i rolach określonych przez akt o cyberodporności (CRA).

Deklaracja zgodności UE

Co musi zawierać Deklaracja zgodności, kto ją podpisuje i kiedy jest wymagana.

Przeczytaj przewodnik →
Ocena zgodności

Jak działa ocena zgodności w ramach CRA i kiedy wymagana jest jednostka notyfikowana.

Przeczytaj przewodnik →
Dokumentacja techniczna

Co musi zawierać dokumentacja techniczna CRA (Załącznik VII sekcja po sekcji) i jak producenci powinni ją strukturyzować.

Przeczytaj przewodnik →
Wymagania SBOM

Czego CRA wymaga w zakresie SBOM i jak BSI TR-03183 definiuje kryteria jakości.

Przeczytaj przewodnik →
Zgłaszanie podatności

Jak działa wymóg powiadamiania ENISA w ciągu 24 godzin i co liczy się jako aktywnie wykorzystywana podatność.

Przeczytaj przewodnik →
Obowiązki importera

Czego artykuł 19 wymaga od importerów i jak weryfikować zgodność producenta.

Przeczytaj przewodnik →
Planowanie okresu wsparcia

Co oznacza obowiązek okresu wsparcia CRA dla aktualizacji zabezpieczeń i planowania końca życia.

Przeczytaj przewodnik →
View full CRA compliance guide