Czy inteligentne kamery są produktami ważnymi w świetle unijnego Cyber Resilience Act?

Podczas gdy podłączony toster może podążać podstawową ścieżką zgodności z CRA, inteligentne kamery monitorujące nie mają tego luksusu. UE umieściła je wprost w Załączniku III jako produkty ważne, Klasa I, o szczebel wyżej niż większość konsumenckiego IoT, z bardziej rygorystycznymi wymaganiami dotyczącymi oceny zgodności. Dotyczy to każdego, kto te urządzenia produkuje, importuje lub dystrybuuje.

Powszechnym nieporozumieniem jest przekonanie, że kamery to „produkty krytyczne". Tak nie jest. Ale Ważna Klasa I to już znaczące podwyższenie wymagań. Oto co musisz wiedzieć.

Co CRA faktycznie mówi o kamerach

Wokół kategorii produktów CRA narosło wiele nieporozumień, więc warto być precyzyjnym. Rozporządzenie tworzy trzy poziomy:

KLASYFIKACJA PRODUKTÓW CRA

KATEGORIA DOMYŚLNA (Samoocena — Moduł A):
  → Większość konsumenckiego IoT: inteligentne głośniki, termostaty itp.

PRODUKTY WAŻNE — Załącznik III:
  Klasa I (Samoocena z normami zharmonizowanymi LUB strona trzecia):
    → Inteligentne kamery monitorujące dla domu  ← KAMERY SĄ TUTAJ
    → Inteligentne zamki, nianie elektroniczne, systemy alarmowe
    → Routery, modemy, systemy operacyjne, menedżery haseł
  Klasa II (Wymagana strona trzecia):
    → Firewalle, systemy wykrywania/zapobiegania włamaniom

PRODUKTY KRYTYCZNE — Załącznik IV (Zawsze strona trzecia):
  → Sprzętowe moduły bezpieczeństwa, bramki inteligentnych liczników, karty inteligentne

Dokładny tekst prawny

Załącznik III, Klasa I, pozycja 17 Rozporządzenia (UE) 2024/2847:

„Produkty inteligentnego domu z funkcjami bezpieczeństwa, w tym inteligentne zamki do drzwi, kamery monitorujące, elektroniczne nianie oraz systemy alarmowe"

Rozporządzenie wykonawcze Komisji (UE) 2025/2392 precyzuje zakres techniczny, używając sformułowania „systemy kamer" — nieco szerszego niż „kamery monitorujące" w rozporządzeniu nadrzędnym.

Istotne zastrzeżenie: produkt musi posiadać „funkcje bezpieczeństwa" w kontekście inteligentnego domu. Zwykła kamera internetowa do wideokonferencji nie trafia automatycznie do Klasy I. Podłączona kamera monitorująca Twój dom lub firmę już tak.

Dlaczego UE wyróżniła kamery

To nie była arbitralna decyzja. Kamery IP wyrobily sobie reputację najsłabszego ogniwa bezpieczeństwa sieci, a dane to potwierdzają:

• Botnet Mirai (od 2016 r.) zbudował armię ponad 150 000 przejętych kamer i rejestratorów DVR do przeprowadzania masowych ataków DDoS (ENISA Threat Landscape 2020 — Botnet Report)
• Ataki DDoS stanowiły 77% wszystkich zgłoszonych incydentów cybernetycznych w latach 2024–2025, w dużej mierze napędzanych przez przejęte urządzenia IoT (ENISA Threat Landscape 2025)
• Warianty Mirai są nadal aktywne — w kwietniu 2025 r. wykryto je przy exploitowaniu kamer GeoVision
• Codziennie do sieci dołącza około 7,7 miliona nowych urządzeń IoT; tylko 1 na 20 działa za zaporą sieciową

Wzorzec jest wyraźny: kamery są stale włączone, stale podłączone, często słabo zabezpieczone i przechowują wrażliwe dane (nagrania wideo). To dokładnie ten profil ryzyka, który CRA ma na celu wyeliminować.

Co Klasa I oznacza dla oceny zgodności

Zgodnie z Artykułem 32(2), producenci z Klasy I mają dwie ścieżki, a wybór zależy od czegoś, co wciąż pozostaje w fazie kształtowania.

Ścieżka 1: Samoocena (Moduł A)

Możesz przeprowadzić wewnętrzną samoocenę, ale tylko jeśli stosujesz normy zharmonizowane obejmujące wszystkie podstawowe wymagania z zakresu cyberbezpieczeństwa. Częściowe pokrycie nie wystarczy — brak spełnienia choćby jednego wymagania kieruje Cię na Ścieżkę 2.

Na dzień luty 2026 r. normy zharmonizowane w ramach CRA są nadal finalizowane przez CEN/CENELEC. Do czasu ich publikacji w Dzienniku Urzędowym większość producentów nie będzie mogła skorzystać z tej ścieżki.

Ścieżka 2: Ocena przez stronę trzecią

Bez pełnego pokrycia przez normy zharmonizowane potrzebujesz:

• Modułu B + C — badania typu UE przez jednostkę notyfikowaną, a następnie zgodności z typem
• Modułu H — pełnego systemu zapewnienia jakości certyfikowanego przez jednostkę notyfikowaną

Obie opcje są droższe i bardziej czasochłonne niż samoocena. Przepustowość jednostek notyfikowanych będzie się zmniejszać wraz ze zbliżaniem się do grudnia 2027 r. Wszyscy będą starali się zdążyć w tym samym czasie.

Podstawowe wymagania dla inteligentnych kamer

Każda podłączona kamera musi spełniać podstawowe wymagania cyberbezpieczeństwa CRA (Załącznik I), niezależnie od wybranej ścieżki oceny zgodności. Te, które najbardziej uderzają w producentów kamer:

1. Zakaz domyślnych haseł

Artykuł 13 i Załącznik I, Część I wymagają konfiguracji „bezpiecznej domyślnie". Mówiąc wprost:

• Koniec z dostarczaniem każdej jednostki z admin/admin lub admin/password
• Każde urządzenie potrzebuje unikalnego hasła lub musi wymuszać bezpieczną konfigurację danych uwierzytelniających przy pierwszym użyciu
• Uwierzytelnianie wieloskładnikowe tam, gdzie jest to technicznie wykonalne

Sam ten wymóg wymusi przeprojektowanie ogromnej liczby linii produktów kamer.

2. Obsługa luk w zabezpieczeniach (minimum 5 lat)

Załącznik I, Część II oznacza, że producenci muszą:

• Wdrożyć politykę skoordynowanego ujawniania luk (CVD)
• Zapewnić badaczom bezpieczeństwa wyraźną ścieżkę zgłaszania problemów
• Łatać luki bez zbędnej zwłoki przez cały okres wsparcia
• Wspierać produkt przez co najmniej 5 lat od wprowadzenia na rynek
• Zgłaszać aktywnie eksploatowane luki do ENISA w ciągu 24 godzin (obowiązek ten wchodzi w życie 11 września 2026 r.)

Pięć lat obowiązkowego łatania to duża zmiana dla producentów kamer przyzwyczajonych do modelu „wyślij i zapomnij".

3. Software Bill of Materials (SBOM)

Każdy komponent oprogramowania w oprogramowaniu układowym kamery musi być udokumentowany — jądro Linux, biblioteki strumieniowania RTSP, framework interfejsu webowego, stos TLS — wszystko. SBOM musi:

• Używać formatu czytelnego maszynowo (CycloneDX lub SPDX)
• Obejmować co najmniej zależności najwyższego poziomu
• Stanowić część dokumentacji technicznej
• Być aktualizowany przez cały okres wsparcia

4. Bezpieczny mechanizm aktualizacji

Kamery wymagają bezpiecznych, uwierzytelnionych aktualizacji oprogramowania układowego:

• Dostarczanych za pośrednictwem zaszyfrowanych kanałów
• Z weryfikacją integralności oprogramowania przed instalacją
• Z włączonymi domyślnie automatycznymi aktualizacjami bezpieczeństwa (użytkownicy mogą zrezygnować)
• Z zalecaną możliwością cofnięcia aktualizacji

5. Minimalizacja danych i prywatność

Kamery zbierające dane wideo muszą:

• Przetwarzać wyłącznie dane niezbędne do funkcji produktu
• Szyfrować przechowywane i przesyłane dane
• Umożliwiać użytkownikom bezpieczne usunięcie ich danych
• Chronić dane w spoczynku przed fizycznym dostępem

Rola importerów i dystrybutorów

Importerzy: jesteś strażnikiem unijnej granicy

Jeśli importujesz kamery spoza UE (a większość inteligentnych kamer jest produkowana w Azji), Artykuł 19 czyni Cię odpowiedzialnym. Ponosisz osobistą odpowiedzialność za weryfikację, czy producent dopełnił obowiązków dotyczących zgodności, zanim produkt trafi na rynek UE.

Lista kontrolna weryfikacyjna przed wprowadzeniem kamery na rynek UE:

• [ ] Producent przeprowadził odpowiednią ocenę zgodności (Klasa I)
• [ ] Deklaracja zgodności UE (DoC) istnieje i odnosi się do CRA
• [ ] Oznakowanie CE jest prawidłowo naniesione
• [ ] Dokumentacja techniczna jest dostępna i kompletna
• [ ] Dane kontaktowe producenta widnieją na produkcie lub opakowaniu
• [ ] SBOM jest dostępny jako część dokumentacji technicznej

Jeśli którykolwiek punkt nie jest spełniony, nie możesz legalnie sprzedawać produktu. Kropka. Musisz poinformować producenta, a jeżeli istnieje ryzyko cyberbezpieczeństwa — powiadomić organy nadzoru rynku.

Kary dla importerów: Do 10 milionów EUR lub 2% globalnego rocznego obrotu (Artykuł 64).

Dystrybutorzy: mniejsze obowiązki, realne konsekwencje

Dystrybutorzy mają mniej do zweryfikowania na podstawie Artykułu 20, ale obowiązki są nadal wiążące:

• Oznakowanie CE jest obecne na produkcie
• Nazwy i dane kontaktowe producenta i importera są widoczne
• Warunki przechowywania i transportu nie naruszają zgodności
• Nie sprzedawaj produktów, co do których masz podstawy sądzić, że są niezgodne z przepisami

Kary dla dystrybutorów: Do 5 milionów EUR lub 1% globalnego rocznego obrotu (Artykuł 64).

Pułapka rebrandu

Uwaga: jeśli importujesz kamerę i sprzedajesz ją pod własną marką, lub jeśli dokonujesz istotnych modyfikacji oprogramowania układowego lub elementów cyfrowych, CRA traktuje Cię jako producenta. Oznacza to pełen zakres obowiązków producenta: ocena zgodności, SBOM, 5 lat obsługi luk i wszystko pozostałe.

Harmonogram zgodności

HARMONOGRAM CRA DLA INTELIGENTNYCH KAMER

11 wrz 2026 ─── Zaczynają obowiązywać wymogi dotyczące raportowania luk
                (Raportowanie aktywnie eksploatowanych luk do ENISA w ciągu 24 h)

11 gru 2027 ─── Pełna zgodność z CRA wymagana
                (Wszystkie podstawowe wymagania, ocena zgodności,
                 oznakowanie CE, SBOM, dokumentacja techniczna)

Jeśli produkujesz lub importujesz inteligentne kamery i jeszcze nie zacząłeś prac nad zgodnością, już jesteś z opóźnieniem. Normy zharmonizowane są nadal opracowywane, miejsca w jednostkach notyfikowanych się zapełniają, a grudzień 2027 r. jest bliżej, niż się wydaje.

Co zrobić teraz

Producenci

1. Sklasyfikuj swój produkt. Kamera monitorująca w kontekście inteligentnego domu? To Klasa I. Profesjonalny CCTV może podlegać ogólnemu zakresowi CRA, ale niekoniecznie Załącznikowi III, pozycja 17.
2. Wyeliminuj domyślne hasła. W całej linii produktów, natychmiast.
3. Zbuduj SBOM. W formacie CycloneDX lub SPDX. Zacznij od drzewa zależności oprogramowania układowego kamery.
4. Wdróż politykę CVD. Plik security.txt i wyraźny kanał zgłaszania luk.
5. Wybierz ścieżkę oceny zgodności. Śledź postępy CEN/CENELEC w zakresie norm zharmonizowanych. Jeśli nie będą gotowe na czas, skontaktuj się z jednostką notyfikowaną z odpowiednim wyprzedzeniem.
6. Uwzględnij 5 lat wsparcia w kosztach. Ciągłe łatanie bezpieczeństwa nie jest już opcją — wlicz to w swoje marże.

Importerzy

1. Przeprowadź audyt swoich dostawców. Zażądaj od każdego producenta kamer dowodów zgodności, SBOM i Deklaracji Zgodności.
2. Zaktualizuj umowy zakupowe. Wprowadź klauzule dotyczące zgodności z CRA przed terminem, nie po nim.
3. Sprawdź własne produkty markowe. Sprzedajesz kamery pod swoją nazwą? Być może jesteś producentem w rozumieniu CRA.

Dystrybutorzy

1. Oznakuj produkty Klasy I w swoim katalogu. Wiedz, które kamery niosą wyższe wymagania dotyczące zgodności.
2. Zbieraj dowody oznakowania CE i DoC od swoich dostawców.
3. Zaplanuj procedury wycofania dla produktów, które nie będą zgodne do grudnia 2027 r.

Powiązane Przewodniki

• Przewodnik po Klasyfikacji Produktów CRA
• Przewodnik po IoT i EN 303 645
• Wymagania SBOM na mocy CRA

Oficjalne źródła

• Rozporządzenie (UE) 2024/2847 — Cyber Resilience Act (pełny tekst)
• Rozporządzenie wykonawcze Komisji (UE) 2025/2392 — Opisy techniczne kategorii z Załączników III/IV
• Ocena zgodności CRA — Unijna strategia cyfrowa
• ENISA Threat Landscape 2020 — Botnet Report
• ENISA Threat Landscape 2025
• Mapowanie wymagań i norm CRA — ENISA