CRA dla holenderskich producentów: NCSC, RDI i Rotterdam

Profil kraju dla holenderskich producentów wg CRA: zgłoszenia NCSC, przewidywany nadzór rynku RDI, akredytacja RvA, wymóg języka, Rotterdam.

Zespół CRA Evidence Opublikowano 5 stycznia 2026 Zaktualizowano 11 czerwca 2026
Krajowy przewodnik CRA dla holenderskich producentów: etykieta przesyłki z przekreśloną etykietą producenta spoza UE i nową etykietą holenderskiego podmiotu poniżej
W tym artykule

Holenderscy producenci mają takie same obowiązki wynikające z aktu o cyberodporności jak każdy inny producent unijny, plus jedno krajowe uwarunkowanie, którego inne państwa członkowskie nie znają w podobnej skali: znaczna część towarów przepływa przez Rotterdam jako największy port UE pod względem wolumenu importu spoza Unii, a holenderskie podmioty często importują gotowe produkty, przemianowują je pod własną marką i wprowadzają do obrotu w całej UE. To sprawia, że podmiot z siedzibą w Niderlandach często przejmuje rolę producenta, nawet jeśli nie wynika to wprost z jego statusu prawnego. Niniejszy przewodnik omawia: jak powiadomienia o podatnościach trafiają do NCSC po fuzji z 1 stycznia 2026 r., gdzie RDI pełni rolę organu notyfikującego i organu nadzoru rynku, jak RvA mieści się w łańcuchu akredytacji, czego wymagają przepisy językowe, jak most rebrandingowy w Rotterdamie przesuwa granicę między producentem a importerem oraz które programy finansowe na 2026 r. są realistyczne. Pełny zestaw obowiązków opisują przewodnik klastra producenta oraz przewodnik klastra importera.

Podsumowanie

  • Akt o cyberodporności jest rozporządzeniem UE o bezpośrednim skutku. Obowiązki merytoryczne wchodzą w życie 11 grudnia 2027 r., a zegar zgłaszania podatności startuje 11 września 2026 r.
  • NCSC (Nationaal Cyber Security Centrum) jest holenderską ścieżką dla powiadomień o podatnościach i incydentach. CSIRT-DSP był już zintegrowany z NCSC, a Digital Trust Center dołączył do wzmocnionego NCSC 1 stycznia 2026 r. Zgłoszenia trafiają przez platformę pojedynczego zgłaszania ENISA i mijn.NCSC.nl od 11 września 2026 r.
  • RDI (Rijksinspectie Digitale Infrastructuur, dawniej Agentschap Telecom, podlega Ministerie van Economische Zaken en Klimaat) jest przewidywanym wiodącym organem notyfikującym CRA i przewidywanym krajowym organem nadzoru rynku na podstawie wciąż procedowanej ustawy wykonawczej. RvA (Raad voor Accreditatie) akredytuje kandydatów na jednostki oceniające zgodność według ISO/IEC 17065:2012.
  • Uitvoeringswet verordening cyberweerbaarheid (projekt 36875) to holenderski instrument wykonawczy do aktu o cyberodporności. Do końca kwietnia 2026 r. projekt był wciąż w trakcie prac w Tweede Kamer i nie pojawił się w Staatsblad. Przed jakimkolwiek formalnym zgłoszeniem należy sprawdzić ostateczny tekst.
  • Rotterdam jest największą w UE bramą dla importu spoza Unii. Podmiot z siedzibą w Niderlandach, który importuje i rebranduje produkty, podlega reżimowi producenta przez most rebrandingowy CRA, a nie lżejszemu reżimowi importera.
  • Język niderlandzki (Nederlands) jest wymagany dla informacji o produktach skierowanych do użytkowników na rynku holenderskim na podstawie Warenwet.
  • Finansowanie krajowe na 2026 r.: WBSO (ulga podatkowa B+R, budżet EUR 1 817 mln), MIT (regionalne innowacje MŚP), Innovation Box, CIF-NL (Cybersecurity Innovation Fund). Holenderski plan naprawczy Herstel- en Veerkrachtplan jest w ostatniej fazie okna NextGenerationEU i nie stanowi realnej opcji dla zobowiązań z terminem 2027 r.

Kiedy ten przewodnik dotyczy danego podmiotu

Przewodnik jest przeznaczony dla producentów, których główne miejsce prowadzenia działalności w Unii znajduje się w Niderlandach: miejsca, gdzie zapadają decyzje dotyczące cyberbezpieczeństwa produktów z elementami cyfrowymi. Holenderski podmiot rejestracyjny lub holdingowy z centrum inżynieryjnym za granicą nie jest głównym miejscem prowadzenia działalności. Jeśli zespół inżynierski, nadzór nad procesem SDLC i osoby zatwierdzające wydanie aktualizacji zabezpieczeń mają siedzibę w Niderlandach, ten przewodnik jest właściwy.

Jeśli główne miejsce prowadzenia działalności jest w innym państwie UE, a produkty są jedynie dostarczane na rynek holenderski, powiadomienia CRA trafiają do CSIRT właściwego dla państwa, w którym znajduje się główne miejsce prowadzenia działalności, a nie do holenderskiego NCSC. Obowiązek stosowania języka niderlandzkiego w informacjach dla użytkowników nadal obowiązuje dla każdego produktu wprowadzonego na rynek holenderski.

Przewodnik obejmuje też drugą grupę podmiotów: holenderskie podmioty importujące produkty spoza UE przez Rotterdam, które następnie wprowadzają je do obrotu pod własną marką lub istotnie je modyfikują przed pierwszym wprowadzeniem. Taki podmiot podlega reżimowi producenta przez most rebrandingowy CRA, a nie lżejszemu reżimowi importera. Szczegóły opisuje osobna sekcja poniżej.

NCSC: holenderska ścieżka CSIRT

Powiadomienia CRA trafiają do CSIRT wyznaczonego jako koordynator dla państwa członkowskiego, w którym producent ma główne miejsce prowadzenia działalności. Dla producenta z głównym miejscem prowadzenia działalności w Niderlandach tym CSIRT jest NCSC.

Jedna zmiana w stosunku do poprzedniej generacji holenderskich wytycznych w zakresie cyberbezpieczeństwa jest istotna dla nowych czytelników. CSIRT-DSP był już zintegrowany z NCSC, a 1 stycznia 2026 r. Digital Trust Center dołączył do wzmocnionego NCSC. Powstał jeden krajowy CSIRT dla producentów, podmiotów kluczowych, dostawców usług cyfrowych i MŚP, które wcześniej obsługiwał DTC. Starsze dokumenty odnoszące się do modelu dwóch CSIRT (NCSC-NL i CSIRT-DSP) opisują strukturę sprzed fuzji.

Kanałem technicznym dla rytmu zgłaszania 24h / 72h / 14d jest platforma pojedynczego zgłaszania ENISA, która zacznie działać 11 września 2026 r., równolegle z holenderskim portalem krajowym mijn.NCSC.nl. Producent z siedzibą w Niderlandach składa zgłoszenia przez platformę ENISA z NCSC jako koordynatorem odbierającym. Wyznaczenie CSIRT wyznacza routing. Platforma jest nośnikiem transmisji.

Jednostki notyfikowane: RDI notyfikuje, RvA akredytuje

Produkty Important Klasy I wymagają jednostki notyfikowanej (Moduł B+C lub Moduł H) wyłącznie w przypadku, gdy normy zharmonizowane, wspólne specyfikacje lub schemat certyfikacji nie pokrywają ich w pełni. Produkty Important Klasy II korzystają z jednostki notyfikowanej (Moduł B+C lub Moduł H) lub dostępnego i mającego zastosowanie schematu certyfikacji. Produkty Krytyczne (Załącznik IV) stosują Artykuł 32(4): ścieżkę certyfikacji z Artykułu 8(1) tam, gdzie Komisja ją uruchomiła, w przeciwnym razie te same ścieżki z Artykułu 32(3).

Holenderski łańcuch instytucjonalny jest wyraźnie podzielony:

  • RvA (Raad voor Accreditatie) jest jedyną krajową jednostką akredytującą, ze statusem ustawowym na podstawie Wet aanwijzing nationale accreditatie-instantie. RvA akredytuje jednostki oceniające zgodność według ISO/IEC 17065:2012. Akredytacja to krok techniczny.
  • RDI (Rijksinspectie Digitale Infrastructuur) jest przewidywanym wiodącym organem notyfikującym, który będzie formalnie rejestrować holenderskie jednostki notyfikowane CRA w Komisji Europejskiej po finalizacji holenderskiej ustawy wykonawczej. RDI podlega Ministerie van Economische Zaken en Klimaat i przejął tę rolę po dawnym Agentschap Telecom. Notyfikacja to krok prawny.

Ramy CRA dla jednostek notyfikowanych obowiązują od 11 czerwca 2026 r., po czym jednostki notyfikowane mogą zacząć wydawać certyfikaty oceny zgodności CRA. Uitvoeringswet verordening cyberweerbaarheid jest holenderskim instrumentem, który ma postawić RDI na miejscu organu notyfikującego. Projekt był wciąż w trakcie prac w Tweede Kamer do końca kwietnia 2026 r. i nie pojawił się jeszcze w Staatsblad. Holenderski producent może korzystać z dowolnej unijnej jednostki notyfikowanej, nie tylko z jednostek notyfikowanych w Holandii. Ostateczne notyfikacje pojawiają się w bazie NANDO Komisji Europejskiej.

RDI: organ nadzoru rynku CRA

Uitvoeringswet verordening cyberweerbaarheid ma wyznaczyć Ministra Spraw Gospodarczych, a w praktyce RDI, jako holenderski organ nadzoru rynku CRA. RDI uzyskałby formalne uprawnienia nadzorcze i wykonawcze, w tym prawo nakładania administracyjnych kar pieniężnych w granicach unijnych pułapów CRA (do EUR 15 mln lub 2,5% globalnych obrotów, w zależności od tego, która kwota jest wyższa).

Niderlandy należałyby do grupy państw konsolidujących obie role w jednej instytucji, podobnie jak włoska ACN, jeśli ostateczny tekst utrzyma projektowane rozwiązanie. Hiszpania (CCN + MTDFP) i Francja (ANSSI + ANFR) podzieliły role organu notyfikującego i organu nadzoru rynku między odrębne instytucje. Holenderski producent miałby wtedy jednego krajowego partnera do formalnej korespondencji CRA: NCSC dla przepływu zgłoszeń, RDI dla wszystkiego pozostałego.

Rotterdam i aspekt importu

Rotterdam jest największym portem UE pod względem wolumenu towarów: około 14,5 mln TEU rocznie i najwyższa masa brutto importu spoza UE spośród wszystkich portów unijnych. Dla produktów z elementami cyfrowymi znaczna część pierwszych wprowadzeń do obrotu na rynek UE odbywa się właśnie tutaj, często przez holenderski podmiot, który nabywa gotowe towary od dostawcy spoza UE i dystrybuuje je do belgijskich, niemieckich, francuskich i szerszych sieci handlu w UE.

Akt o cyberodporności uwzględnia faktycznie pełnioną rolę, a nie rolę widniejącą w dokumentach celnych. W przepływach przez Rotterdam typowe są dwa schematy operacyjne, które trafiają pod różne reżimy:

  • Schemat 1: podmiot importuje produkt spoza UE i wprowadza go do obrotu w UE bez zmian, pod oryginalną marką producenta. To reżim importera. Podmiot wykonuje cztery kontrole przedrynkowe (dowód oceny zgodności, unijna deklaracja zgodności UE, oznakowanie CE, tożsamość i adres producenta na produkcie), pozostaje w awaryjnym łańcuchu kontaktowym, gdy producent spoza UE jest nieosiągalny, i przechowuje odniesienia do dokumentacji technicznej przez co najmniej dziesięć lat. Szczegóły zawiera przewodnik klastra importera.
  • Schemat 2: podmiot importuje produkt spoza UE, a następnie rebranduje go pod własną nazwą, zmienia zamierzone zastosowanie lub istotnie modyfikuje przed pierwszym wprowadzeniem. To reżim producenta przez most rebrandingowy CRA. Holenderski podmiot staje się producentem. Obowiązki producenta stosują się w całości, w tym spełnienie wymagań zasadniczych, dokumentacja techniczna, ocena zgodności, ujawnienie daty zakończenia wsparcia i rytm zgłaszania 24h / 72h / 14d.

Powszechnym błędem jest traktowanie Schematu 2 jak Schematu 1, ponieważ dokumenty celne wskazują podmiot jako „importer of record". Role CRA nie wynikają z Incoterms. W momencie, gdy oryginalna marka zostaje zastąpiona własną lub zmienia się pierwotnie zamierzone zastosowanie, dany podmiot jest producentem. Listy przewozowe SBOM i oznakowania CE dostarczone przez dostawcę spoza UE są danymi wejściowymi do własnej dokumentacji technicznej, a nie jej zamiennikami. Ta sama logika dotyczy marek własnych w handlu detalicznym: holenderski detalista sprzedający produkty pod własną marką podlega reżimowi producenta niezależnie od miejsca wytworzenia sprzętu.

Wymogi językowe w praktyce

Akt o cyberodporności wymaga, by informacje o produktach dla użytkowników były w języku łatwo zrozumiałym dla użytkowników i krajowego organu nadzoru rynku. Dla produktów wprowadzanych na rynek holenderski jest to niderlandzki (Nederlands). Warenwet (ustawa o towarach) i powiązane sektorowe przepisy dotyczące informacji o produktach niezależnie wymagają niderlandzkiego dla nazw produktów konsumenckich, warunków gwarancji, instrukcji obsługi, ostrzeżeń i informacji o właściwościach produktu.

Wymagane po niderlandzku:

  • Instrukcje obsługi i informacje o produkcie dołączone do produktu.
  • Dane kontaktowe producenta, niezależnie od miejsca ich zamieszczenia.
  • Informacja o dacie zakończenia wsparcia widoczna w punkcie sprzedaży.
  • Warunki gwarancji i informacje o prawach konsumenta dołączane do produktu.

Dopuszczalne wielojęzycznie:

  • Etykieta produktu i oznakowanie CE.
  • Tekst na opakowaniu.
  • Dokumentacja online, pod warunkiem dostępności wersji niderlandzkiej.

Język angielski jest powszechnie akceptowany dla:

  • Informacji B2B między profesjonalnymi nabywcami, którzy uzgodnili roboczy język angielski.
  • Wewnętrznej dokumentacji technicznej. RDI może jednak na uzasadniony wniosek zażądać tłumaczenia na niderlandzki, dlatego warto uwzględnić tę ewentualność.

Znaki towarowe, zwyczajowe terminy naukowe lub techniczne oraz wskazania pochodzenia produktu są zwolnione. Unijna deklaracja zgodności może być sporządzona w dowolnym oficjalnym języku UE. Fryzyjski jest językiem współurzędowym we Fryzji, ale akt o cyberodporności nie wymaga tłumaczenia fryzyjskiego.

Sprzedaż transgraniczna z Niderlandów

Holenderscy producenci sprzedający do Niemiec, Belgii, Francji lub innych państw UE stosują tę samą zasadę jednego routingu: powiadomienia CRA trafiają do NCSC, ponieważ routing wynika z głównego miejsca prowadzenia działalności, a nie z miejsca przeznaczenia poszczególnych przesyłek. Obowiązki językowe rozchodzą się natomiast per rynek. Produkt dostarczany do Niemiec wymaga treści dla użytkowników po niemiecku, produkt dostarczany do Francji wymaga treści po francusku. Holenderski pakiet językowy nie pokrywa tych rynków. Organ nadzoru rynku każdego państwa przyjmującego może też zażądać dokumentacji technicznej w języku przez siebie zrozumiałym. Warto z wyprzedzeniem przygotować najczęściej żądane sekcje w powszechnie używanym języku roboczym, by sprawnie reagować na transgraniczne uzasadnione wnioski.

Krajowe programy finansowania

Holenderski obraz finansowania inwestycji CRA w 2026 r. obejmuje jeden duży program ulg podatkowych, dwa programy innowacyjne dla MŚP i dedykowany fundusz na cyberbezpieczeństwo.

  • WBSO (Wet Bevordering Speur- en Ontwikkelingswerk) to ulga podatkowa od kosztów wynagrodzeń B+R administrowana przez RVO. Budżet na 2026 r. wynosi EUR 1 817 mln, z ulgą 36% od kwalifikowanych kosztów wynagrodzeń B+R do EUR 391 020 (50% dla startupów). Prace nad bezpieczeństwem wbudowanym w projekt, narzędzia SBOM, platformy obsługi podatności i projektowanie procesów CVD kwalifikują się, jeśli są ujęte jako rzetelna B+R.
  • MIT (MKB-Innovatiestimulering Regio en Topsectoren) finansuje projekty innowacyjne MŚP regionalnie, ze ścieżkami studiów wykonalności i współpracy B+R w zakresie EUR 20 000 do EUR 350 000.
  • Innovation Box (Innovatiebox) to obniżona stawka podatku dochodowego od osób prawnych (efektywnie 9%) od zysków z kwalifikowanych działań innowacyjnych. Często stosowana łącznie z WBSO.
  • CIF-NL (Cybersecurity Innovation Fund) to dedykowana linia dotacji RVO na innowacje w zakresie produktów cyberbezpieczeństwa. Nabór 2025-2026 dysponował pulą EUR 2,5 mln (EUR 60 000 do EUR 100 000 na projekt), skupioną na kryptografii adaptacyjnej i dostępności. Wnioski zamknięto 10 lutego 2026 r. Warto śledzić RVO i NCSC po fuzji w oczekiwaniu na kolejne nabory CIF-NL.
  • Holenderski Herstel- en Veerkrachtplan (plan naprawczy, RRF) jest w końcowym oknie NextGenerationEU z wykonaniem do 31 sierpnia 2026 r. i finalnymi wnioskami o płatność do 30 września 2026 r. Nie stanowi realnego instrumentu planowania dla terminu CRA z 11 grudnia 2027 r.

Dla inwestycji w zgodność z terminem 11 grudnia 2027 r. realistyczna holenderska kombinacja to WBSO plus MIT plus Innovation Box, z CIF-NL dla genuinnie innowacyjnych elementów.

Często zadawane pytania

Który holenderski CSIRT przyjmuje powiadomienia o podatnościach CRA?

NCSC (Nationaal Cyber Security Centrum), jedna krajowa ścieżka CSIRT po wcześniejszej integracji CSIRT-DSP z NCSC i dołączeniu Digital Trust Center do wzmocnionego NCSC 1 stycznia 2026 r. Zgłoszenia składa się przez platformę pojedynczego zgłaszania ENISA od 11 września 2026 r., z NCSC jako koordynatorem odbierającym. Holenderski portal krajowy to `mijn.NCSC.nl`. Starsze dokumenty odnoszące się do modelu dwóch CSIRT opisują strukturę sprzed fuzji.

Kto wyznacza holenderskie jednostki notyfikowane: RvA czy RDI?

RvA (Raad voor Accreditatie) akredytuje kandydatów na jednostki oceniające zgodność według ISO/IEC 17065:2012. RDI (Rijksinspectie Digitale Infrastructuur), podlegający Ministrowi Spraw Gospodarczych, jest przewidywanym wiodącym organem notyfikującym, który będzie formalnie rejestrować holenderskie jednostki notyfikowane CRA w Komisji Europejskiej po finalizacji holenderskiej ustawy wykonawczej. Uitvoeringswet verordening cyberweerbaarheid ma postawić RDI w tej roli. Holenderski producent może korzystać z dowolnej unijnej jednostki notyfikowanej do oceny zgodności CRA.

Producent importuje produkty z Azji przez Rotterdam i sprzedaje je pod własną marką. Czy jest producentem czy importerem?

Producentem. Most rebrandingowy CRA przypisuje obowiązki producenta każdemu, kto wprowadza produkt pod własną nazwą lub znakiem towarowym, niezależnie od miejsca wytworzenia sprzętu. To samo dotyczy istotnej modyfikacji produktu lub zmiany zamierzonego zastosowania przed pierwszym wprowadzeniem. Obowiązki producenta stosują się do holenderskiego podmiotu w całości. Listy przewozowe SBOM i oznakowania CE dostarczone przez dostawcę spoza UE są danymi wejściowymi do własnej dokumentacji technicznej, a nie jej zamiennikami. Schemat bez rebrandingu opisuje przewodnik klastra importera.

Który holenderski organ jest organem nadzoru rynku CRA?

RDI (Rijksinspectie Digitale Infrastructuur), podlegający Ministrowi Spraw Gospodarczych, jest przewidywanym holenderskim organem nadzoru rynku CRA. Uitvoeringswet verordening cyberweerbaarheid ma postawić RDI zarówno w roli organu notyfikującego, jak i krajowego organu nadzoru rynku. Niderlandy należą do grupy państw, które skonsolidowały obie role (ten sam schemat co włoska ACN), w odróżnieniu od Hiszpanii (CCN + MTDFP) i Francji (ANSSI + ANFR), gdzie role te są rozdzielone. Przed jakimkolwiek formalnym zgłoszeniem należy sprawdzić ostateczne wyznaczenie w tekście opublikowanym w Staatsblad. Instrument wykonawczy był wciąż w trakcie prac w Tweede Kamer do końca kwietnia 2026 r.

Kiedy Niderlandy opublikują krajową ustawę wykonawczą do aktu o cyberodporności w Staatsblad?

Akt o cyberodporności jest rozporządzeniem UE o bezpośrednim skutku, więc Niderlandy nie muszą go transponować, by obowiązki merytoryczne weszły w życie 11 grudnia 2027 r. Potrzebna jest natomiast Uitvoeringswet verordening cyberweerbaarheid (projekt 36875), która ma formalnie wyznaczyć organ nadzoru rynku (RDI), organ notyfikujący (RDI) i krajowy CSIRT (NCSC) oraz ustalić holenderską skalę kar w granicach unijnych pułapów CRA. Projekt był wciąż w trakcie prac w Tweede Kamer do końca kwietnia 2026 r. Warto śledzić termin 11 czerwca 2026 r. jako punkt odniesienia dla ram, a wcześniejsze branżowe przypisania traktować jako tymczasowe do czasu ukazania się tekstu w Staatsblad.

Czy Cyberbeveiligingswet zastępuje lub dubluje obowiązki wynikające z aktu o cyberodporności?

Ani jedno, ani drugie. Cyberbeveiligingswet to holenderska transpozycja dyrektywy NIS2, uchwalona przez Tweede Kamer 15 kwietnia 2026 r. i oczekująca na wejście w życie po uchwaleniu przez Eerste Kamer i publikacji w Staatsblad, przewidywanym w II kwartale 2026 r. Dotyczy organizacji jako podmiotów kluczowych lub ważnych w wyznaczonym sektorze. Akt o cyberodporności dotyczy każdego produktu z elementami cyfrowymi wprowadzanego do obrotu na rynku UE. Oba reżimy korzystają z tego samego kanału CSIRT (NCSC przyjmuje powiadomienia w obu przypadkach), ale nie zastępują się nawzajem. Holenderski producent objęty obydwoma prowadzi je równolegle z oddzielnymi zgłoszeniami.

Czy w sprzedaży B2B wszystko musi być przetłumaczone na niderlandzki?

Dla produktów wprowadzanych na rynek holenderski z użytkownikami końcowymi w Niderlandach: tak. Akt o cyberodporności wymaga informacji dla użytkowników po niderlandzku, a Warenwet oraz sektorowe przepisy niezależnie wymagają niderlandzkiego dla nazw produktów, warunków gwarancji, instrukcji, ostrzeżeń i informacji o właściwościach. Sprzedaż B2B między profesjonalnymi nabywcami ma pewną elastyczność co do języka umów, gdy strony się na to zgadzają, ale obowiązek wynikający z aktu o cyberodporności nie rozróżnia na tej podstawie po wprowadzeniu produktu na rynek holenderski. Producent powinien dostarczyć informacje dla użytkowników po niderlandzku, informację o okresie wsparcia w języku niderlandzkim i dane kontaktowe producenta po niderlandzku zarówno w kanałach konsumenckich, jak i profesjonalnych. Znaki towarowe i zwyczajowe terminy techniczne są zwolnione.

Czy WBSO lub CIF-NL może finansować narzędzia zgodności z aktem o cyberodporności?

WBSO tak, gdy praca stanowi rzetelną B+R: prace nad bezpieczeństwem wbudowanym w projekt, narzędzia SBOM, platformy obsługi podatności, nowatorskie projektowanie procesów CVD. Czysta praca compliance (audyty, opłaty za ocenę zgodności) nie kwalifikuje się. Budżet WBSO na 2026 r. wynosi EUR 1 817 mln, z ulgą 36% od pierwszych EUR 391 020 kwalifikowanych kosztów wynagrodzeń B+R (50% dla startupów). CIF-NL to dedykowana dotacja RVO na innowacje w zakresie cyberbezpieczeństwa. Nabór 2025-2026 zamknięto 10 lutego 2026 r. z pulą EUR 2,5 mln skupioną na kryptografii adaptacyjnej i dostępności. Warto śledzić RVO i NCSC po fuzji w oczekiwaniu na kolejne nabory CIF-NL. Holenderski plan naprawczy RRF jest w końcowym oknie NextGenerationEU z wykonaniem projektów do 31 sierpnia 2026 r., więc nie stanowi realnej opcji dla zobowiązań z 2027 r.

Dla holenderskich producentów przygotowujących się na 11 grudnia 2027 r.

  1. Sprawdź swoje obowiązki producenta korzystając z przewodnika klastra producenta.
  2. Zweryfikuj, że główne miejsce prowadzenia działalności jest w Niderlandach i udokumentuj uzasadnienie. Liczy się lokalizacja podejmowania decyzji w zakresie cyberbezpieczeństwa, a nie adres rejestracji.
  3. Jeśli jakiekolwiek produkty są importowane przez Rotterdam i sprzedawane pod własną marką, przejdź przez przewodnik klastra importera i potwierdź, czy schemat operacyjny podpada pod reżim producenta czy importera. Most rebrandingowy przesuwa tę granicę.
  4. Zmapuj przepływ zgłoszeń CRA do NCSC, z przetestowanym zgłoszeniem przez platformę pojedynczego zgłaszania ENISA i przez `mijn.NCSC.nl` po uruchomieniu obu platform 11 września 2026 r.
  5. Jeśli ścieżka oceny zgodności wymaga jednostki notyfikowanej, uwzględnij jednostki akredytowane przez RvA jako opcję krajową, a także co najmniej jedną alternatywę transgraniczną. Śledź Staatsblad w oczekiwaniu na ostateczne wyznaczenie organu notyfikującego RDI.
  6. Przetłumacz instrukcje dla użytkowników, informację o okresie wsparcia i dane kontaktowe producenta na niderlandzki zgodnie z Warenwet. Dodaj tłumaczenia na języki poszczególnych rynków dla każdego innego państwa UE, do którego produkty są dostarczane.
  7. Sprawdź WBSO i CIF-NL pod kątem rzetelnych inwestycji B+R w narzędzia do projektowania bezpieczeństwa. Nie planuj względem holenderskiego planu naprawczego RRF dla zobowiązań z 2027 r.
  8. Przeczytaj kwestionariusz należytej staranności wobec dostawców w zakresie ram należytej staranności komponentowej, w szczególności dla komponentów spoza UE przywożonych przez Rotterdam.

Niniejszy artykuł ma charakter wyłącznie informacyjny i nie stanowi porady prawnej. W celu uzyskania szczegółowych wskazówek dotyczących zgodności z aktem o cyberodporności należy skonsultować się z wykwalifikowanym doradcą prawnym.

CRA Netherlands Zarządzanie podatnościami
Share

Powiązane artykuły

Powrót do wszystkich artykułów

Czy CRA dotyczy Twojego produktu?

Odpowiedz na 6 prostych pytań, aby dowiedzieć się, czy Twój produkt podlega pod Cyber Resilience Act UE. Uzyskaj wynik w mniej niż 2 minuty.

Sprawdź teraz

Gotowy na osiągnięcie zgodności z CRA?

Zacznij zarządzać swoimi SBOM-ami i dokumentacją zgodności z CRA Evidence.

Rozpocznij 14-dniowy bezpłatny okres próbny

Szczegółowe omówienie zagadnień CRA

Stale aktualizowane przewodniki po wymaganiach, procesach i rolach określonych przez akt o cyberodporności (CRA).

Deklaracja zgodności UE

Co musi zawierać Deklaracja zgodności, kto ją podpisuje i kiedy jest wymagana.

Przeczytaj przewodnik →
Ocena zgodności

Jak działa ocena zgodności w ramach CRA i kiedy wymagana jest jednostka notyfikowana.

Przeczytaj przewodnik →
Europejska certyfikacja cyberbezpieczeństwa (EUCC)

Jak działa schemat certyfikacji EUCC i kiedy może wspierać zgodność z CRA.

Przeczytaj przewodnik →
Dokumentacja techniczna

Co musi zawierać dokumentacja techniczna CRA (Załącznik VII sekcja po sekcji) i jak producenci powinni ją strukturyzować.

Przeczytaj przewodnik →
Wymagania SBOM

Czego CRA wymaga w zakresie SBOM i jak BSI TR-03183 definiuje kryteria jakości.

Przeczytaj przewodnik →
Zgłaszanie podatności

Jak działa wymóg powiadamiania ENISA w ciągu 24 godzin i co liczy się jako aktywnie wykorzystywana podatność.

Przeczytaj przewodnik →
Obowiązki importera

Czego artykuł 19 wymaga od importerów i jak weryfikować zgodność producenta.

Przeczytaj przewodnik →
Planowanie okresu wsparcia

Co oznacza obowiązek okresu wsparcia CRA dla aktualizacji zabezpieczeń i planowania końca życia.

Przeczytaj przewodnik →
Zobacz pełny przewodnik zgodności z CRA