CRA dla automatyki przemysłowej: IEC 62443 i bezpieczeństwo OT

Jak CRA stosuje się do automatyki przemysłowej i OT: zgodność z IEC 62443, dlaczego PLC i SCADA są zwykle kategorią domyślną i co podnosi klasę.

Zespół CRA Evidence Opublikowano 8 stycznia 2026 Zaktualizowano 19 kwietnia 2026
CRA dla automatyki przemysłowej: IEC 62443 i bezpieczeństwo OT
W tym artykule

Produkty automatyki przemysłowej stoją przed specyficznymi wyzwaniami CRA ze względu na kluczową rolę w produkcji, energetyce i infrastrukturze. Wiele z nich trafia do kategorii Important Klasa II, która wymaga oceny zgodności przez stronę trzecią. Na szczęście dobrze ugruntowana norma IEC 62443 daje solidną podstawę pod zgodność z CRA.

Ten przewodnik omawia zgodność z CRA dla producentów automatyki przemysłowej.

Podsumowanie

  • Wiele produktów automatyki przemysłowej to Important Klasa II (wymagana ocena strony trzeciej).
  • Certyfikacja IEC 62443 znacząco wspiera zgodność z CRA (bez automatycznej równoważności).
  • Środowiska OT mają unikalne wyzwania w zakresie aktualizacji i cyklu życia.
  • Obowiązuje minimalny 5-letni okres wsparcia zgodnie z CRA Artykuł 13 ust. 8, dlatego planuj cykle życia produktów odpowiednio.
  • Wymagania SBOM obejmują przemysłowe systemy sterowania.
  • Integracja bezpieczeństwa funkcjonalnego i cyberbezpieczeństwa jest krytyczna (IEC 62443 z IEC 61508 / ISO 13849).
5 lat
Minimalny okres wsparcia
CRA Artykuł 13 ust. 8
24 h
Wczesne ostrzeżenie
do CSIRT i ENISA
72 h
Zgłoszenie podatności
CRA Artykuł 14 ust. 2 lit. b
14 dni
Raport końcowy
po usunięciu podatności

Źródło: Rozporządzenie (UE) 2024/2847, Artykuł 13 ust. 8 (okres wsparcia) oraz Artykuł 14 ust. 2 lit. a, b, c (harmonogram zgłaszania).

Które Produkty Przemysłowe Są Objęte?

Zakres CRA dla automatyki przemysłowej

CRA dotyczy „produktów z elementami cyfrowymi" wprowadzanych na rynek UE. Dla automatyki przemysłowej obejmuje to:

Wyraźnie w zakresie:

  • Sterowniki PLC (programowalne sterowniki logiczne)
  • Komputery przemysłowe i HMI
  • Oprogramowanie SCADA
  • Systemy DCS
  • Czujniki i bramki przemysłowego IoT
  • Routery i przełączniki przemysłowe
  • Rozwiązania zdalnego dostępu
  • Stacje inżynierskie i oprogramowanie

Możliwe wyłączenia:

  • Produkty wyłącznie dla bezpieczeństwa narodowego
  • Produkty przeznaczone do celów wojskowych
  • Jednostkowe systemy przemysłowe na zamówienie (mogą kwalifikować się jako „części zamienne")

Klasyfikacja CRA produktów przemysłowych

Większość produktów automatyki przemysłowej trafia do Important Klasa I lub II.

Important Klasa II: ocena przez stronę trzecią

Ścieżka to Jednostka Notyfikowana (Moduł B+C lub Moduł H) lub dostępny i mający zastosowanie schemat certyfikacji. Niektóre produkty przemysłowe mają podstawową funkcjonalność kategorii z Załącznika IV, np. sprzętowe moduły bezpieczeństwa i bramki liczników inteligentnych; te są produktami Krytycznymi, wyższą kategorią wymagającą również oceny przez stronę trzecią.

Przykłady
  • Zapory sieciowe do zastosowań przemysłowych
  • Przemysłowe systemy IDS/IPS
  • Mikroprocesory i mikrokontrolery odporne na manipulacje
Important Klasa I: samoocena przy normach zharmonizowanych

Samoocena jest możliwa, gdy normy zharmonizowane, wspólne specyfikacje lub schemat certyfikacji w pełni pokrywają wymagania produktu.

Przykłady
  • Sterowniki PLC i sterowniki przemysłowe
  • Oprogramowanie SCADA/DCS
  • Bramki przemysłowego IoT
  • Rozwiązania zdalnego dostępu i VPN
  • Przemysłowe routery, modemy i przełączniki
  • Mikrokontrolery i mikroprocesory z funkcjami związanymi z bezpieczeństwem
Domyślna

Samoocena.

Przykłady
  • Proste czujniki bez funkcji sieciowych
  • Proste peryferia przemysłowe
  • Urządzenia bez łączności sieciowej
Zweryfikuj w źródle pierwotnym

Klasyfikacja zależy od konkretnych funkcji produktu. W sprawie ostatecznej klasyfikacji sprawdź Załącznik III i Załącznik IV Rozporządzenia (UE) 2024/2847.

IEC 62443 a CRA, dostosowanie

Czym jest IEC 62443?

IEC 62443 to międzynarodowa seria norm dla bezpieczeństwa przemysłowych systemów automatyki i sterowania (IACS). Obejmuje:

  • IEC 62443-4-1: bezpieczny cykl życia wytwarzania oprogramowania.
  • IEC 62443-4-2: wymagania bezpieczeństwa dla komponentów (4 poziomy bezpieczeństwa, od SL 1 do SL 4).
  • IEC 62443-3-3: wymagania bezpieczeństwa dla systemu.
  • IEC 62443-2-4: wymagania dla dostawców usług.

IEC 62443 ↔ pokrycie CRA w skrócie

Dobrze objęte przez IEC 62443
  • Proces obsługi podatności
  • Kontrola dostępu
  • Kryptografia
  • Logowanie audytowe
  • Możliwość aktualizacji
Częściowo objęte
  • Bezpieczeństwo domyślne
  • Ochrona danych
  • Dowód braku znanych podatności
Dodatki wyłącznie CRA
  • SBOM
  • Oznakowanie CE / Deklaracja zgodności UE
  • Raportowanie z art. 14
  • Oświadczenie o okresie wsparcia

Gdzie dowody IEC 62443 mapują się bezpośrednio na wymagania CRA, gdzie obejmują tylko część obowiązku i gdzie CRA dodaje nowe obowiązki.

Mapowanie IEC 62443 ↔ CRA

Wymóg CRAPokrycie IEC 62443Status
Bezpieczeństwo domyślneWymagania SL (4-2)Częściowe, CRA ma surowsze ustawienia domyślne
Obsługa podatności4-1 (SDL), 2-4 (utrzymanie)Dobre dopasowanie
Aktualizacje bezpieczeństwa4-1, 2-4Dopasowanie procesów
Brak znanych podatności4-1 (zarządzanie podatnościami)Procesy dopasowane
Ochrona danych4-2 (poufność)Częściowe
Kontrola dostępu4-2 (uwierzytelnianie, autoryzacja)Silne dopasowanie
Kryptografia4-2 (wymagania szyfrowania)Dobre dopasowanie
Rejestrowanie zdarzeń4-2 (dzienniki audytu)Dobre dopasowanie
Mechanizm aktualizacji4-2 (aktualizacja firmware)Dopasowanie
SBOMBrak w IEC 62443Luka
Oznakowanie CEBrak w IEC 62443Luka
5-letnie wsparcieNie określonoLuka

IEC 62443 jako fundament, nie jako równoważność

Ważne

Certyfikacja IEC 62443 NIE oznacza automatycznie zgodności z CRA. Traktuj ją jako fundament i materiał dowodowy, nie jako równoważność.

Co daje IEC 62443:

  • Silny fundament techniczny w zakresie bezpieczeństwa.
  • Dojrzały cykl życia bezpiecznego wytwarzania oprogramowania.
  • Dobrze udokumentowane funkcje bezpieczeństwa.
  • Dowody na potrzeby oceny zgodności.

Co CRA dodaje ponad IEC 62443:

  • Wymagania SBOM (nowość).
  • Konkretne zgłaszanie podatności do wyznaczonego koordynującego CSIRT i ENISA (24-godzinne wczesne ostrzeżenie, 72-godzinne zgłoszenie podatności i 14-dniowy raport końcowy zgodnie z CRA Artykuł 14 ust. 2).
  • Oznakowanie CE i deklaracja zgodności UE.
  • Minimalne 5-letnie zobowiązanie wsparcia zgodnie z CRA Artykuł 13 ust. 8.
  • Konkretne wymagania co do formatu dokumentacji.
  • Koordynacja z organami nadzoru rynku.

Wykorzystanie IEC 62443 na potrzeby CRA

  1. Jeśli masz certyfikację IEC 62443-4-1. Wykorzystaj ponownie dokumentację SDL w dokumentacji technicznej CRA, wykaż bezpieczny cykl życia wytwarzania i potraktuj ją jako dowód dla podejścia opartego na ocenie ryzyka.
  2. Jeśli masz certyfikację IEC 62443-4-2. Wykorzystaj ponownie dokumentację funkcji bezpieczeństwa, zmapuj każdy osiągnięty poziom bezpieczeństwa (SL) na zasadnicze wymagania CRA i przedstaw ją jako dowód implementacji funkcji bezpieczeństwa.
  3. Dołóż elementy specyficzne dla CRA. Wygeneruj SBOM, zbuduj zdolność zgłaszania do ENISA, udokumentuj 5-letnie zobowiązanie wsparcia, przygotuj deklarację zgodności UE i nanieś oznakowanie CE.

Specyfika zgodności dla OT

Wyzwania aktualizacji i łatania

Środowiska przemysłowe mają unikalne ograniczenia w zakresie aktualizacji.

Wyzwania:

  • Praca w trybie 24/7 bez okien serwisowych.
  • Rewalidacja systemów bezpieczeństwa funkcjonalnego po aktualizacji.
  • Integracja z systemami legacy.
  • Środowiska air-gapped lub częściowo odizolowane.
  • Długie cykle kwalifikacji.

Wymagania CRA wciąż obowiązują:

  • Aktualizacje bezpieczeństwa należy zapewnić przez co najmniej 5 lat (CRA Artykuł 13 ust. 8).
  • Musi istnieć mechanizm dostarczania aktualizacji.
  • Podatności należy usuwać w rozsądnym czasie.
  1. Wdrażanie etapowe. Najpierw środowiska testowe, potem pilotażowe linie produkcyjne, potem pełne wdrożenie z monitorowaniem.
  2. Harmonogram aktualizacji. Koordynuj z planowaną konserwacją, zapowiadaj zmiany z wyprzedzeniem w tygodniach lub miesiącach i wspieraj cykle aktualizacji ustalane przez klienta.
  3. Dostarczanie offline. Pakiety aktualizacji na USB, serwery aktualizacji wewnątrz sieci OT lub bezpieczne mechanizmy przesyłu plików dla zakładów air-gapped.
  4. Rewalidacja bezpieczeństwa funkcjonalnego. Udokumentuj wpływ aktualizacji na funkcje bezpieczeństwa, dostarcz wskazówki do rewalidacji i rozważ współinżynierię safety i security.

Długie cykle życia produktów

Produkty przemysłowe mają często cykle życia 15 do 20+ lat, a CRA wymaga minimum 5 lat.

Rok 1 do 5

Aktywna sprzedaż i okres wsparcia CRA (minimalny). Aktualizacje bezpieczeństwa i obsługa podatności obowiązują.

Rok 5 do 10

Wsparcie przedłużone. Producent może nadal dostarczać aktualizacje bezpieczeństwa poza minimum CRA, zwłaszcza gdy produkt wciąż jest w eksploatacji.

Rok 10 do 15

Wsparcie legacy. Ograniczone aktualizacje, większa część ryzyka operacyjnego przechodzi na klienta.

Rok 15+

Koniec życia produktu. Odpowiedzialność klienta, datę końca wsparcia komunikuj jasno w momencie sprzedaży.

Zasada okresu wsparcia CRA

Minimum 5 lat od wprowadzenia danej sztuki do obrotu, lub dłużej, jeśli oczekiwany czas eksploatacji produktu przekracza 5 lat (Artykuł 13(8)). Okres wsparcia planuj w oparciu o realny czas życia produktu, a nie tylko o minimum CRA.

Wymagania dokumentacyjne:

  • Jasno komunikuj okres wsparcia przy zakupie.
  • Podawaj datę końca wsparcia.
  • Udokumentuj obowiązki klienta po zakończeniu wsparcia.

Integracja safety i security

Produkty przemysłowe mają często wymagania safety (poziomy SIL zgodnie z IEC 61508 / ISO 13849). CRA dodaje wymagania security.

1
Ocena ryzyka

Łączne modelowanie zagrożeń dla safety i security. Traktuj zagrożenia security dla funkcji safety jako tryb awarii pierwszej kategorii.

2
Wymagania

Wymagania safety (SIL 1 do SIL 4) i wymagania security (SL 1 do SL 4) żyją obok siebie. Żaden środek security nie może obniżać safety.

3
Walidacja

Walidacja safety, testy security i testy scenariuszy łączonych wszystkie odbywają się przed wydaniem. Każda dyscyplina potwierdza niezależnie.

4
Zarządzanie zmianą

Rewalidacja safety po łatkach security. Ocena security przy zmianach safety. Obie pętle są obowiązkowe, nie opcjonalne.

Zasada podstawowa

Żaden środek security nie może obniżać safety. Gdy obie dyscypliny są w konflikcie, wygrywa safety, a projekt security podlega zmianie.

SBOM dla systemów przemysłowych

Wyzwania identyfikacji komponentów

Produkty przemysłowe często zawierają:

  • Systemy operacyjne czasu rzeczywistego (RTOS).
  • Oprogramowanie układowe producenta.
  • Biblioteki stron trzecich (stosy OPC UA, MQTT, Modbus).
  • Elementy sprzętowe z firmware.
  1. Komponenty oprogramowania. RTOS i jądro, stosy protokołów (OPC UA, Modbus, EtherNet/IP, PROFINET), biblioteki bezpieczeństwa (TLS, kryptografia), middleware stron trzecich i oprogramowanie aplikacyjne.
  2. Firmware. Bootloader, firmware urządzenia i komponenty programowalne polowo.
  3. Głębokość. Komponenty pierwotne są pod kontrolą producenta, SBOM-y komponentów stron trzecich pozyskuj od dostawców, a w zagnieżdżone komponenty schodź tak głęboko, jak to praktycznie możliwe.
Format
CycloneDX lub SPDX. Oba są akceptowalne.
Identyfikatory
Uwzględniaj identyfikatory PURL, gdzie są dostępne.
Komponenty własne
Komponenty własne i zastrzeżone dokumentuj wprost.

Złożoność łańcucha dostaw

Produkty przemysłowe mają często złożone łańcuchy dostaw.

Tier 1
Twój produkt

Twoje oprogramowanie i firmware. Wymagany pełny SBOM.

Tier 2
Bezpośredni dostawcy

Komponenty stron trzecich. Pozyskaj SBOM od każdego dostawcy i włącz go do własnego SBOM.

Tier 3
Poddostawcy

Komponenty wewnątrz komponentów. Włączenie w miarę możliwości. Znane ograniczenia udokumentuj.

Działania:

  • Zaktualizuj umowy z dostawcami o wymagania SBOM.
  • Ustal z dostawcami format wymiany SBOM.
  • Stwórz proces integracji SBOM.
  • Udokumentuj ograniczenia łańcucha dostaw.

Ocena zgodności produktów przemysłowych

Moduł B+C (badanie typu UE)

Dla produktów Important Klasa II:

  1. Moduł B, badanie typu. Jednostka notyfikowana sprawdza kompletność dokumentacji technicznej, adekwatność oceny ryzyka, pokrycie wymagań bezpieczeństwa, ewentualną certyfikację IEC 62443 przedstawioną jako dowód, jakość SBOM i wyniki testów. Rezultat: certyfikat badania typu UE.
  2. Moduł C, zgodność z typem. Producent zapewnia, że produkcja odpowiada zbadanemu typowi, utrzymuje wewnętrzne QA produkcji i aktualizuje dokumentację. Rezultat: samodeklaracja zgodności z typem.

Wykorzystanie certyfikacji IEC 62443

Jeśli masz certyfikację IEC 62443-4-2:

  1. Przedstaw jednostce notyfikowanej. Złóż certyfikat IEC 62443-4-2, osiągnięty poziom bezpieczeństwa (SL 1 do SL 4), certyfikat ISASecure, jeśli jest, oraz raport z oceny.
  2. Ocena przez jednostkę notyfikowaną. Jednostka notyfikowana uznaje IEC 62443 jako materiał dowodowy, weryfikuje pokrycie wymagań CRA, identyfikuje luki i może zawęzić zakres testów.
  3. Dodatkowe dowody wciąż wymagane. SBOM (nie pokryty przez IEC 62443), zdolność zgłaszania do ENISA, udokumentowane 5-letnie zobowiązanie wsparcia oraz dokumentacja dla użytkownika.

Wskazówki branżowe

PLC i sterowniki

Zwykle Important Klasa I lub II.

Kluczowe wymagania. Zdolność bezpiecznego rozruchu, szyfrowana komunikacja (opcjonalna, przechodząca w domyślną), silne uwierzytelnianie, rejestrowanie zdarzeń, mechanizm aktualizacji firmware, SBOM dla firmware i runtime.

Dopasowanie IEC 62443. Używaj IEC 62443-4-2 SL2+ jako bazy, dokumentuj funkcje bezpieczeństwa, testuj funkcje bezpieczeństwa.

Na co uważać. Ograniczenia czasu rzeczywistego a przetwarzanie security, ochrona funkcji safety, wsparcie protokołów legacy (Modbus i inne).

Oprogramowanie SCADA / DCS

Zwykle Important Klasa I.

Kluczowe wymagania. Bezpieczna architektura, kontrola dostępu oparta na rolach, szyfrowana komunikacja, ścieżka audytu, mechanizm aktualizacji, SBOM dla wszystkich komponentów.

Na co uważać. Bezpieczeństwo bazy danych, konfiguracja bezpieczeństwa OPC UA, ochrona danych historian, bezpieczeństwo zdalnego dostępu.

Bramki przemysłowego IoT

Zwykle Important Klasa I.

Kluczowe wymagania. Bezpieczny rozruch, wsparcie segmentacji sieci, szyfrowane protokoły (MQTT-TLS i podobne), uwierzytelnianie urządzeń, mechanizm aktualizacji firmware, SBOM.

Na co uważać. Bezpieczeństwo edge, bezpieczeństwo łączności z chmurą, bezpieczeństwo translacji protokołów, filtrowanie i walidacja danych.

Praktyczna mapa drogowa zgodności

Faza 1: Ocena

Inwentaryzacja produktów.

  • Wylistuj wszystkie produkty z elementami cyfrowymi.
  • Sklasyfikuj według kategorii CRA.
  • Zidentyfikuj produkty Important Klasa II.

Istniejące certyfikacje.

  • Wylistuj certyfikacje IEC 62443.
  • Zmapuj je na wymagania CRA.
  • Zidentyfikuj luki.

Analiza luk.

  • Zdolność generowania SBOM.
  • Gotowość do zgłaszania podatności.
  • Planowanie 5-letniego wsparcia.
  • Luki w dokumentacji.

Faza 2: Przygotowanie

Technika.

  • Wdróż generowanie SBOM.
  • Ustal proces obsługi podatności.
  • Przygotuj zdolność zgłaszania do ENISA.
  • Zaktualizuj bazowe ustawienia bezpieczeństwa produktu.

Dokumentacja.

  • Struktura dokumentacji technicznej.
  • Aktualizacje dokumentacji bezpieczeństwa.
  • Wskazówki dla użytkownika do bezpiecznego wdrożenia.
  • Komunikacja okresu wsparcia.

Strona handlowa.

  • Definicje okresu wsparcia.
  • Aktualizacje umów z klientami.
  • Przegląd cen, gdy koszty zgodności są istotne.

Faza 3: Zgodność

Od 11 września 2026 r.

  • Zgłaszanie podatności operacyjne.
  • Jedna platforma zgłaszania w użyciu.

W trakcie 2027 r.

  • Zakończ oceny zgodności.
  • Nawiąż współpracę z jednostkami notyfikowanymi (Important Klasa II).
  • Uzyskaj certyfikaty badania typu UE.
  • Zaktualizuj całą dokumentację produktów.

Do 11 grudnia 2027 r.

  • Wszystkie produkty w zakresie zgodne z CRA.
  • Oznakowanie CE naniesione.
  • Komunikacja do klientów zakończona.

Zasoby branżowe

Organizacje normalizacyjne

  • IEC (International Electrotechnical Commission). Seria IEC 62443. iec.ch
  • ISA (International Society of Automation). Rozwój ISA/IEC 62443, program certyfikacji ISASecure. isa.org
  • NAMUR (Process Industry Association). Rekomendacje NE dla bezpieczeństwa OT. namur.net
  • NIST. Cybersecurity Framework, SP 800-82 (przewodnik bezpieczeństwa OT). nist.gov

Stowarzyszenia branżowe

Stowarzyszenie Zakres Strona
ZVEI (Niemcy) Branża elektrotechniczna zvei.org
ORGALIM Europejska branża inżynieryjna orgalim.eu
VDMA (Niemcy) Maszyny vdma.org
GAMBICA (Wielka Brytania) Automatyka przemysłowa gambica.org.uk
ODVA Sieci przemysłowe odva.org

Jeśli produkujesz maszyny z elementami cyfrowymi, zajrzyj do przewodnika dla producentów maszyn po szczegółowe wskazówki do podwójnej zgodności z CRA i Rozporządzeniem Maszynowym UE.

Lista kontrolna dla automatyki przemysłowej

Klasyfikacja produktu

  • Klasyfikacja ustalona (Domyślna / Important I / Important II).
  • Ścieżka oceny zgodności wybrana.
  • Jednostka notyfikowana zidentyfikowana, jeśli potrzebna.

Istniejące certyfikacje

  • IEC 62443-4-1 (SDL).
  • IEC 62443-4-2 (bezpieczeństwo komponentów).
  • Certyfikacja ISASecure.
  • Zmapowane na wymagania CRA.

Zgodność techniczna

  • Konfiguracja bezpieczna domyślnie.
  • Bezpieczny mechanizm aktualizacji.
  • Zdolność generowania SBOM.
  • Proces obsługi podatności.
  • Zdolność zgłaszania do ENISA.

Dokumentacja

  • Dokumentacja techniczna przygotowana.
  • Ocena ryzyka udokumentowana.
  • Architektura bezpieczeństwa udokumentowana.
  • Wskazówki bezpieczeństwa dla użytkownika przygotowane.

Cykl życia

  • Zdefiniowany 5-letni okres wsparcia.
  • Mechanizm dostarczania aktualizacji.
  • Planowanie końca życia produktu.
  • Proces rewalidacji safety dla aktualizacji.

Łańcuch dostaw

  • Wymagania SBOM wobec dostawców.
  • Ocena bezpieczeństwa komponentów.
  • Dokumentacja łańcucha dostaw.
Podmioty kluczowe NIS 2

Sprzedaż produktów automatyki przemysłowej podmiotom kluczowym NIS 2 może podnosić oczekiwania w zakresie ryzyka i dowodów, ale nie zmienia klasy CRA produktu. Klasa nadal zależy od podstawowej funkcjonalności produktu zgodnie z Załącznikiem III/IV (Artykuł 7(1)).

IEC 62443 daje przewagę na starcie

Dostosowanie do IEC 62443 daje przewagę na starcie w zgodności z CRA. Wiele wymagań pokrywa się, co zmniejsza dodatkowe obciążenie zgodności.

Najczęściej zadawane pytania

Czy certyfikacja IEC 62443 jest równoważna ze zgodnością CRA?

Nie. Certyfikacja IEC 62443 nie oznacza automatycznie zgodności z CRA. Daje silny techniczny fundament bezpieczeństwa i materiał dowodowy, który jednostka notyfikowana może ponownie wykorzystać, ale CRA dodaje obowiązki, których IEC 62443 nie obejmuje: wymagania SBOM, zgłaszanie incydentów do ENISA zgodnie z Artykułem 14, oznakowanie CE i deklarację zgodności, a także minimalne 5-letnie zobowiązanie wsparcia zgodnie z Artykułem 13 ust. 8.

Które produkty automatyki przemysłowej należą do Important Klasa II?

Zapory sieciowe przemysłowe, przemysłowe systemy IDS/IPS oraz mikroprocesory i mikrokontrolery odporne na manipulacje. Sprzętowe moduły bezpieczeństwa i bramki liczników inteligentnych mają podstawową funkcjonalność kategorii z Załącznika IV i są produktami Krytycznymi. Mikrokontrolery i mikroprocesory z funkcjami związanymi z bezpieczeństwem oraz przemysłowe routery i przełączniki to Important Klasa I. Produkty Important Klasa II wymagają oceny zgodności przez stronę trzecią za pomocą Jednostki Notyfikowanej (Moduł B+C lub Moduł H) lub dostępnego i mającego zastosowanie schematu certyfikacji. Pełną ścieżkę decyzyjną znajdziesz w przewodniku klasyfikacji produktów.

Czy minimalny 5-letni okres wsparcia CRA obowiązuje także produkty o 15 do 20-letnim cyklu życia?

Tak. Pięć lat to minimum ustawione przez CRA Artykuł 13 ust. 8. Gdy można rozsądnie oczekiwać, że produkt będzie w użyciu dłużej, producent musi wyznaczyć dłuższy okres wsparcia odpowiadający temu czasowi życia. Produkty przemysłowe o 15 do 20-letnim cyklu życia zwykle wymagają planowania wsparcia znacznie ponad 5-letnie minimum, a datę końca wsparcia komunikuj jasno w momencie sprzedaży.

Jak realizować aktualizacje bezpieczeństwa CRA w środowiskach OT bez okien serwisowych?

Zastosuj połączenie wdrożenia etapowego (test, pilotaż, pełna produkcja), planowych okien aktualizacji skoordynowanych z planowaną konserwacją, mechanizmów dostarczania offline, takich jak pakiety USB lub serwery aktualizacji wewnątrz sieci OT, oraz udokumentowanej rewalidacji safety dla każdej aktualizacji. CRA nie wymaga ciągłej łączności online, ale wymaga, aby istniał mechanizm dostarczania aktualizacji i aby podatności usuwać w rozsądnym czasie.

Jakie wymagania CRA nie są pokryte przez IEC 62443?

Generowanie i utrzymanie SBOM, zgłaszanie podatności i poważnych incydentów do wyznaczonego koordynującego CSIRT oraz ENISA w rytmie 24 godziny / 72 godziny / 14 dni ustawionym przez CRA Artykuł 14 ust. 2, oznakowanie CE z deklaracją zgodności UE, minimalne 5-letnie zobowiązanie wsparcia oraz koordynacja z organami nadzoru rynku. Dowody z IEC 62443 pomagają w wymaganiach technicznych, ale nie zwalniają z żadnego z tych obowiązków.

Czy certyfikacja IEC 62443-4-2 może zawęzić zakres testów jednostki notyfikowanej?

Tak, może. Jednostka notyfikowana uznająca IEC 62443-4-2 jako materiał dowodowy zweryfikuje pokrycie wymagań CRA, zidentyfikuje luki i może odpowiednio zawęzić zakres testów. Przedstaw certyfikat, osiągnięty poziom bezpieczeństwa (SL 1 do SL 4), certyfikat ISASecure, jeśli jest, oraz raport z oceny. Dodatkowo wciąż musisz dostarczyć dowody SBOM, zdolność zgłaszania do ENISA, udokumentowane 5-letnie zobowiązanie wsparcia oraz dokumentację dla użytkownika. Pełne porównanie modułów znajdziesz w przewodniku decyzyjnym oceny zgodności.

Co zrobić dalej

  1. Sklasyfikuj każdy produkt (Domyślny / Important I / Important II) za pomocą przewodnika klasyfikacji produktów CRA.
  2. Zmapuj swoje dowody IEC 62443 na strukturę dokumentacji technicznej CRA opisaną w przewodniku dokumentacji technicznej z Załącznika VII.
  3. Dodaj generowanie SBOM do pipeline'u budowania. IEC 62443 tego nie obejmuje. Zobacz przewodnik generowania SBOM.
  4. Uruchom zgłaszanie incydentów do ENISA w cyklu 24 godziny / 72 godziny / 14 dni przed 11 września 2026 r. zgodnie z przewodnikiem zgłaszania.
  5. Zdefiniuj okres wsparcia i komunikuj go w momencie sprzedaży zgodnie z przewodnikiem planowania okresu wsparcia.
  6. Jeśli produkt jest Important Klasa II, wybierz moduł oceny zgodności zgodnie z przewodnikiem decyzyjnym Moduł A / B+C / H.

Ten artykuł ma charakter wyłącznie informacyjny i nie stanowi porady prawnej. W celu uzyskania szczegółowych wskazówek dotyczących zgodności należy skonsultować się z wykwalifikowanym doradcą prawnym.

CRA Standardy Bezpieczeństwa Klasy Produktów Przemysłowy
Share

Powiązane artykuły

Powrót do wszystkich artykułów

Czy CRA dotyczy Twojego produktu?

Odpowiedz na 6 prostych pytań, aby dowiedzieć się, czy Twój produkt podlega pod Cyber Resilience Act UE. Uzyskaj wynik w mniej niż 2 minuty.

Sprawdź teraz

Gotowy na osiągnięcie zgodności z CRA?

Zacznij zarządzać swoimi SBOM-ami i dokumentacją zgodności z CRA Evidence.

Rozpocznij 14-dniowy bezpłatny okres próbny

Szczegółowe omówienie zagadnień CRA

Stale aktualizowane przewodniki po wymaganiach, procesach i rolach określonych przez akt o cyberodporności (CRA).

Deklaracja zgodności UE

Co musi zawierać Deklaracja zgodności, kto ją podpisuje i kiedy jest wymagana.

Przeczytaj przewodnik →
Ocena zgodności

Jak działa ocena zgodności w ramach CRA i kiedy wymagana jest jednostka notyfikowana.

Przeczytaj przewodnik →
Dokumentacja techniczna

Co musi zawierać dokumentacja techniczna CRA (Załącznik VII sekcja po sekcji) i jak producenci powinni ją strukturyzować.

Przeczytaj przewodnik →
Wymagania SBOM

Czego CRA wymaga w zakresie SBOM i jak BSI TR-03183 definiuje kryteria jakości.

Przeczytaj przewodnik →
Zgłaszanie podatności

Jak działa wymóg powiadamiania ENISA w ciągu 24 godzin i co liczy się jako aktywnie wykorzystywana podatność.

Przeczytaj przewodnik →
Obowiązki importera

Czego artykuł 19 wymaga od importerów i jak weryfikować zgodność producenta.

Przeczytaj przewodnik →
Planowanie okresu wsparcia

Co oznacza obowiązek okresu wsparcia CRA dla aktualizacji zabezpieczeń i planowania końca życia.

Przeczytaj przewodnik →
View full CRA compliance guide