CRA dla hiszpańskich producentów: INCIBE-CERT, CCN i ENAC

Profil kraju dla hiszpańskich producentów wg CRA: zgłoszenie prawdopodobnie przez INCIBE-CERT, podział CCN/ENAC, obowiązki językowe i finansowanie.

Zespół CRA Evidence Opublikowano 1 stycznia 2026 Zaktualizowano 31 maja 2026
Nota krajowa CRA dla hiszpańskich producentów pokazująca krajowy łańcuch instytucjonalny: CSIRT dla zgłoszeń podatności, jednostka notyfikowana dla certyfikatów zgodności, organ nadzoru rynku dla egzekwowania przepisów
W tym artykule

Hiszpańscy producenci podlegają tym samym obowiązkom wynikającym z aktu o cyberodporności co każdy inny producent w Unii. Niniejsza strona to nota krajowa dla Hiszpanii: jak zgłoszenia podatności i incydentów trafiają przez INCIBE-CERT, jak ciała oceniające zgodność uzyskują wyznaczenie w ramach hiszpańskiego podziału (CCN notyfikuje, ENAC akredytuje), czego faktycznie wymagają obowiązki językowe dotyczące języka hiszpańskiego oraz co pozostaje z krajowych programów finansowania w miarę zamykania okna funduszu odbudowy. Pełny zestaw obowiązków producenta omówiony jest w przewodniku klastrowym dla producentów.

Podsumowanie

  • CRA, akt o cyberodporności, to rozporządzenie UE o bezpośrednim zastosowaniu. Nie istnieją żadne zwolnienia specyficzne dla Hiszpanii dla producentów produktów.
  • INCIBE-CERT jest odbierającym hiszpańskim CSIRT dla zgłoszeń podatności i incydentów CRA, gdy główna siedziba producenta znajduje się w Hiszpanii.
  • CCN (Centro Criptológico Nacional) notyfikuje hiszpańskie jednostki oceniające zgodność do Komisji Europejskiej. ENAC akredytuje je jako techniczny krok poprzedzający tę notyfikację.
  • SETID (Secretaría de Estado de Telecomunicaciones e Infraestructuras Digitales) w Ministerio para la Transformación Digital y de la Función Pública (MTDFP) jest wskazywana jako hiszpański organ nadzoru rynku CRA. Formalne krajowe ramy stosuje się od 11 czerwca 2026 r. Przed jakimkolwiek formalnym zgłoszeniem należy zweryfikować ostateczne wyznaczenie w BOE.
  • Język hiszpański (kastylijski) jest wymagany dla informacji produktowych skierowanych do użytkowników, dostarczanych na rynku hiszpańskim. Współurzędowe języki wspólnot autonomicznych (kataloński, galicyjski, baskijski) nie są wymagane przez CRA.
  • CDTI ma aktywne linie innowacyjne na 2026 r., które mogą finansować prace R&D powiązane z CRA. Nabory Kit Digital zakończyły się w październiku 2025 r. Projekty Plan de Recuperación muszą być zrealizowane do 31 sierpnia 2026 r. i nie stanowią instrumentu planistycznego dla terminu 11 grudnia 2027 r.

Kiedy ten przewodnik dotyczy producenta

Docelowym czytelnikiem jest podmiot, którego „główna siedziba producenta w Unii" mieści się w Hiszpanii. Chodzi o miejsce, w którym decyzje dotyczące cyberbezpieczeństwa produktów z elementami cyfrowymi są podejmowane przede wszystkim. Hiszpańska filia sprzedaży z inżynierią za granicą nie jest główną siedzibą. Jeżeli zespół inżynierów, zarządzanie cyklem SDLC i osoby zatwierdzające wydania aktualizacji bezpieczeństwa działają w Hiszpanii, ten przewodnik jest właściwy dla tego podmiotu.

Jeżeli główna siedziba producenta mieści się gdzie indziej w UE, a wysyłka odbywa się tylko do Hiszpanii, zgłoszenia CRA trafiają przez CSIRT państwa członkowskiego głównej siedziby, a nie przez INCIBE-CERT. Obowiązek językowy w zakresie informacji dla użytkowników w języku hiszpańskim nadal obowiązuje dla każdego produktu wprowadzonego na rynek hiszpański.

INCIBE-CERT: hiszpańska ścieżka CSIRT

Zgłoszenia CRA trafiają do CSIRT wyznaczonego jako koordynator państwa członkowskiego, w którym producent ma główną siedzibę w Unii. Dla producenta z główną siedzibą w Hiszpanii tym CSIRT jest INCIBE-CERT.

INCIBE-CERT publikuje hiszpańskojęzyczne biuletyny o podatnościach i prowadzi strumień reagowania na incydenty dotyczące produktów konsumenckich. CCN-CERT obsługuje sektor publiczny i systemy niejawne i nie jest ścieżką CRA dla komercyjnych producentów wprowadzających produkty na otwarty rynek.

Kanałem technicznym dla cyklu raportowania 24h / 72h / 14 dni jest platforma jednolitego zgłaszania ENISA, która staje się operacyjna 11 września 2026 r. Hiszpański producent składa zgłoszenia przez tę platformę, a INCIBE-CERT pełni rolę koordynatora odbierającego. Wyznaczenie CSIRT to routing. Platforma to kanał transportu.

Jednostki notyfikowane: CCN wyznacza, ENAC akredytuje

Produkty Important Klasy I wymagają jednostki notyfikowanej (Moduł B+C lub Moduł H) wyłącznie w przypadku, gdy normy zharmonizowane, wspólne specyfikacje lub schemat certyfikacji nie pokrywają ich w pełni. Produkty Important Klasy II korzystają z jednostki notyfikowanej (Moduł B+C lub Moduł H) lub dostępnego i mającego zastosowanie schematu certyfikacji. Produkty Krytyczne (Załącznik IV) stosują Artykuł 32(4): ścieżkę certyfikacji z Artykułu 8(1) tam, gdzie Komisja ją uruchomiła, w przeciwnym razie te same ścieżki z Artykułu 32(3).

Hiszpański podział instytucjonalny wygląda następująco:

  • CCN (Centro Criptológico Nacional) pełni rolę organu notyfikującego, który formalnie wyznacza hiszpańskie jednostki notyfikowane do Komisji Europejskiej na podstawie CRA.
  • ENAC (Entidad Nacional de Acreditación) jest hiszpańskim krajowym organem akredytującym i ocenia kompetencje techniczne kandydata przed notyfikacją przez CCN.

Ramy CRA dla jednostek notyfikowanych stosuje się od 11 czerwca 2026 r., po czym wyznaczone jednostki mogą rozpocząć wydawanie certyfikatów oceny zgodności CRA. Do tego czasu hiszpański łańcuch jest w fazie organizowania.

Hiszpański producent może korzystać z dowolnej jednostki notyfikowanej w UE, nie tylko wyznaczonej w Hiszpanii. Wybór jednostki wyznaczonej w Hiszpanii to preferencja zakupowa (ocena w języku hiszpańskim, logistyka audytów w kraju) i nie stanowi wymogu CRA.

Nadzór rynku: SETID w MTDFP

Hiszpański projekt Real Decreto wyznacza SETID w MTDFP jako organ nadzoru rynku dla produktów CRA w Hiszpanii. To wyznaczenie pozostaje tymczasowe do czasu ostatecznej publikacji w BOE.

INCIBE wspiera stronę techniczną jako preferowane laboratorium. Projekt nie przyznaje jednak INCIBE publicznych uprawnień decyzyjnych w zakresie nadzoru rynku CRA. Przed jakimkolwiek formalnym zgłoszeniem należy sprawdzić ostateczny tekst BOE.

Wymogi językowe w języku hiszpańskim w praktyce

CRA wymaga, aby informacje produktowe skierowane do użytkowników były sporządzone w języku zrozumiałym dla użytkowników i lokalnego organu nadzoru rynku. Dla produktów wprowadzanych na rynek hiszpański jest to język hiszpański (kastylijski).

Musi być w języku hiszpańskim:

  • Instrukcje użytkowania i informacje o produkcie dołączone do produktu.
  • Dane kontaktowe producenta (nazwa, adres, adres e-mail lub inny kontakt cyfrowy) wszędzie tam, gdzie są podane, w tym na samym produkcie, opakowaniu lub towarzyszącym dokumencie.
  • Informacja o dacie zakończenia wsparcia widoczna w miejscu zakupu.

Może być wielojęzyczne:

  • Etykieta produktu i oznakowanie CE.
  • Tekst opakowania.
  • Dokumentacja online, pod warunkiem że wersja w języku hiszpańskim jest dostępna.

Język angielski jest co do zasady akceptowany dla:

  • Wewnętrznej dokumentacji technicznej. Organy nadzoru rynku mogą zażądać tłumaczenia na język hiszpański na uzasadniony wniosek, dlatego producent powinien być na tę ewentualność przygotowany, nawet jeśli nie wykonuje tłumaczenia proaktywnie.

Kataloński, galicyjski i baskijski są współurzędowe w swoich wspólnotach autonomicznych. CRA nie wymaga tłumaczenia na języki współurzędowe. Konkretne regionalne umowy zamówień publicznych lub regulatorzy sektorowi mogą dodawać własne klauzule językowe, odrębne od CRA.

Sprzedaż transgraniczna z Hiszpanii

Producenci z Hiszpanii sprzedający do Portugalii, Francji, Włoch lub innego państwa członkowskiego UE obowiązuje ta sama zasada jednolitego routingu: zgłoszenia nadal trafiają do INCIBE-CERT, ponieważ routing wynika z głównej siedziby, a nie z miejsca dostawy. Producent nie składa zgłoszeń do portugalskiego, francuskiego ani włoskiego CSIRT.

Obowiązek językowy rozszerza się natomiast proporcjonalnie do rynków docelowych. Produkt wysyłany na rynek francuski wymaga treści skierowanych do użytkowników w języku francuskim. Produkt wysyłany na rynek portugalski wymaga treści w języku portugalskim. Jeden pakiet w języku hiszpańskim nie pokrywa tych rynków.

Organ nadzoru rynku każdego państwa członkowskiego może również zażądać dokumentacji technicznej w języku zrozumiałym dla tego organu. Jeżeli produkt jest dystrybuowany szeroko w całej UE, producent powinien liczyć się z wnioskami w co najmniej jednym szeroko stosowanym języku roboczym i traktować wcześniejsze tłumaczenie najczęściej żądanych sekcji dokumentacji technicznej jako praktyczne zabezpieczenie.

Krajowe programy finansowania

Obraz finansowania zmienił się wraz z zamykaniem okna funduszy odbudowy i odporności. Przed zaplanowaniem jakiejkolwiek pozycji budżetowej w oparciu o te programy należy zweryfikować, co jest aktualnie dostępne.

  • CDTI (Centro para el Desarrollo Tecnológico Industrial) ma aktywne linie na 2026 r.: NEOTEC (wczesne startupy technologiczne), Línea Directa de Innovación (LIC) oraz Misiones Ciencia e Innovación (duże konsorcja R&D). Prace nakierowane przez CRA kwalifikują się tam, gdzie kąt jest autentycznym R&D i innowacją, a nie czystym wdrożeniem lub zgodnością. CDTI planuje zmobilizować ponad 1,8 miliarda euro w ramach swoich linii na 2026 r.
  • Activa Ciberseguridad to mały program voucherowy (około 2 140 euro na beneficjenta) dla przemysłowych MŚP, realizowany przez SGIPYME z udziałem wspólnot autonomicznych i EOI. Przydatny dla wstępnej diagnozy cyberbezpieczeństwa lub planu cyberbezpieczeństwa, nie zaś dla pełnych inwestycji w narzędzia CRA.
  • Kit Digital jest w fazie przejściowej. Wszystkie nabory Kit Digital zamknęły się w październiku 2025 r. Orden TDF/39/2026 (BOE, 28 stycznia 2026 r.) pozwala na redystrybucję pozostałych środków, ale na 25 maja 2026 r. nie ma otwartego okna aplikacyjnego. Przed uwzględnieniem tego źródła należy sprawdzić kitdigital.red.es/convocatorias.
  • Plan de Recuperación, Transformación y Resiliencia (PRTR) jest w swoim końcowym oknie. Wszystkie projekty muszą być zrealizowane do 31 sierpnia 2026 r., a ostateczne wnioski o płatność do Komisji są wymagane do 30 września 2026 r. PRTR nie jest zatem realnym instrumentem planistycznym dla terminu zgodności CRA wynoszącego 11 grudnia 2027 r. Inicjatywa RETECH o wartości 162 milionów euro realizowana przez INCIBE jest w swojej końcowej fazie wypłat.

Dla nowych inwestycji compliance z datą wymagalności 11 grudnia 2027 r. realistyczny obraz publicznego finansowania w Hiszpanii to linie innowacyjne CDTI oraz ewentualne programy sektorowe za pośrednictwem wspólnot autonomicznych. Programy finansowane z funduszy odbudowy i odporności nie wchodzą w ten obraz od 2027 r.

Najczęściej zadawane pytania

Który hiszpański CSIRT odbiera zgłoszenia podatności CRA?

INCIBE-CERT, gdy główna siedziba producenta mieści się w Hiszpanii. CRA określa główną siedzibę jako miejsce, w którym decyzje dotyczące cyberbezpieczeństwa produktów z elementami cyfrowymi są podejmowane przede wszystkim. CCN-CERT nie pełni roli koordynatora CRA dla komercyjnych producentów. Zgłoszenia są składane przez platformę jednolitego zgłaszania ENISA od 11 września 2026 r., z INCIBE-CERT jako koordynatorem odbierającym.

Kto wyznacza hiszpańskie jednostki notyfikowane: ENAC czy CCN?

CCN (Centro Criptológico Nacional) jest organem notyfikującym, który formalnie wyznacza hiszpańskie jednostki notyfikowane CRA do Komisji Europejskiej. ENAC akredytuje kandydujące jednostki jako techniczny krok poprzedzający tę notyfikację. Obie instytucje uczestniczą w procesie, pełniąc odrębne role. Hiszpański producent może nadal korzystać z dowolnej jednostki notyfikowanej w UE do oceny zgodności CRA. Wyznaczenie w Hiszpanii ma znaczenie zakupowe, a nie stanowi wymogu CRA.

Czy certyfikacja ENS lub LINCE pokrywa ocenę zgodności CRA?

Nie. Żadna z nich nie zastępuje oceny zgodności CRA, choć obie mogą dostarczać dowodów wspierających tę ocenę. ENS (Esquema Nacional de Seguridad, Real Decreto 311/2022) to organizacyjne ramy bezpieczeństwa dla systemów informacyjnych sektora publicznego i ich dostawców, a nie certyfikacja produktów. LINCE to lekka ocena produktów CCN warunkująca wpis do katalogu CPSTIC na potrzeby zamówień publicznych w sektorze publicznym w Hiszpanii. LINCE zostało zharmonizowane na poziomie UE przez FITCEM EN 17640:2022 razem z metodologiami CSPN (FR) i BSZ (DE), dlatego jego wyniki mogą zasilać dokumentację techniczną CRA jako materiał wspierający. Własne ścieżki oceny zgodności CRA (moduł A, moduł B+C, moduł H) działają jako odrębny łańcuch. Posiadanie certyfikacji ENS lub LINCE należy traktować jako dane wejściowe do akt CRA, a nie jako substytut samej oceny zgodności.

Który hiszpański organ jest organem nadzoru rynku CRA?

SETID (Secretaría de Estado de Telecomunicaciones e Infraestructuras Digitales) w Ministerio para la Transformación Digital y de la Función Pública (MTDFP) jest wskazywana w hiszpańskim projekcie jako organ nadzoru rynku CRA. Ramy CRA w zakresie krajowych organów właściwych stosuje się od 11 czerwca 2026 r., a oficjalne wyznaczenie w BOE może być nadal finalizowane w chwili czytania tego tekstu. Przed jakimkolwiek formalnym zgłoszeniem należy zweryfikować ostateczne wyznaczenie. INCIBE wspiera jako preferowane laboratorium techniczne, bez publicznych uprawnień decyzyjnych w zakresie nadzoru rynku.

Kiedy Hiszpania opublikuje krajową ustawę wdrażającą CRA w BOE?

CRA jest rozporządzeniem UE o bezpośrednim zastosowaniu, dlatego Hiszpania nie musi transponować go do prawa krajowego, aby materialne obowiązki weszły w życie 11 grudnia 2027 r. Co Hiszpania musi opublikować przed 11 czerwca 2026 r., to instrument wdrożeniowy (zwykle Real Decreto lub Orden Ministerial) formalnie wyznaczający organ nadzoru rynku CRA, organ notyfikujący dla jednostek oceniających zgodność oraz krajowy pojedynczy punkt kontaktowy. Ten sam lub kolejny instrument powinien ustanowić hiszpańską skalę kar w ramach unijnych pułapów CRA, określić procedurę egzekwowania i doprecyzować koordynację z obowiązującym hiszpańskim prawem cyberbezpieczeństwa. Na 25 maja 2026 r. ta publikacja w BOE jeszcze nie pojawiła się. Warto śledzić BOE w okolicach terminu 11 czerwca 2026 r. dla wyznaczającego Real Decreto i traktować wszelkie wcześniejsze branżowe atrybucje organów jako tymczasowe do czasu publikacji tego tekstu.

Czy producent musi tłumaczyć wszystko na kataloński, galicyjski lub baskijski?

CRA wymaga informacji użytkownika w języku zrozumiałym w państwie członkowskim dostarczenia. Dla Hiszpanii jest to język hiszpański (kastylijski). Współurzędowe języki wspólnot autonomicznych nie są wymagane przez sam CRA. Konkretne regionalne umowy zamówień publicznych lub regulatorzy sektorowi mogą dodawać własne klauzule językowe, odrębne od CRA.

Czy CDTI lub Kit Digital mogą sfinansować narzędzia zgodności CRA?

CDTI: tam gdzie praca to autentyczne R&D i innowacje (nowe metody wykrywania, narzędzia do analizy SBOM, potoki obsługi podatności), tak. Plan CDTI na 2026 r. mobilizuje ponad 1,8 miliarda euro w ramach NEOTEC, LIC, Misiones i innych linii. Czyste prace compliance (audyty, opłaty za ocenę zgodności, budowa wewnętrznych procesów) trudniej zmieścić, ponieważ CDTI finansuje innowacje. Kit Digital: nabory zamknęły się w październiku 2025 r., brak otwartego okna na 25 maja 2026 r. Orden TDF/39/2026 pozwala na redystrybucję pozostałości, ale nie otwiera nowych naborów. Plan de Recuperación jest w swoim końcowym oknie, z realizacją projektów wymaganą do 31 sierpnia 2026 r., dlatego nie może finansować prac zaplanowanych pod termin 11 grudnia 2027 r.

Producent wysyłający z Hiszpanii do innych państw UE. Gdzie zgłaszać incydenty?

Przez INCIBE-CERT, niezależnie od tego, do których państw członkowskich produkty są wysyłane. CRA wiąże routing zgłoszeń z główną siedzibą, a nie z miejscem dostawy. Obowiązek językowy rozszerza się natomiast proporcjonalnie do rynków: informacje produktowe w języku francuskim dla produktów wysyłanych do Francji, w języku portugalskim dla produktów wysyłanych do Portugalii i tak dalej. Producent powinien z wyprzedzeniem przygotować przynajmniej najczęściej żądane sekcje dokumentacji technicznej w szeroko stosowanym języku roboczym, aby sprawnie odpowiadać na transgraniczne uzasadnione wnioski.

Dla hiszpańskich producentów przygotowujących się do 11 grudnia 2027 r.

  1. Potwierdzić obowiązki producenta, korzystając z przewodnika klastrowego dla producentów.
  2. Zweryfikować, że główna siedziba producenta mieści się w Hiszpanii, i udokumentować uzasadnienie. Liczy się lokalizacja podejmowania decyzji cyberbezpieczeństwa, a nie siedziba rejestrowa.
  3. Zmapować przepływ zgłoszeń CRA z INCIBE-CERT jako odbierającym CSIRT i przetestować złożenie zgłoszenia przez platformę jednolitego zgłaszania ENISA po jej uruchomieniu 11 września 2026 r.
  4. Jeżeli ścieżka oceny zgodności wymaga jednostki notyfikowanej, uwzględnić jednostki akredytowane przez ENAC i wyznaczone przez CCN jako opcję krajową oraz co najmniej jedną alternatywę transgraniczną dla zapewnienia odporności.
  5. Przetłumaczyć instrukcje użytkowania i informacje o produkcie na język hiszpański. Uzupełnić tłumaczeniami na języki pozostałych państw członkowskich UE, do których produkty są wysyłane.
  6. Zweryfikować linie CDTI (NEOTEC, LIC, Misiones) pod kątem prac CRA z komponentem R&D. Plan de Recuperación ani Kit Digital nie powinny być brane pod uwagę jako instrumenty planistyczne inwestycji compliance na 2027 r., ponieważ oba są w końcowych oknach realizacji.
  7. Po publikacji ponownie sprawdzić ostateczne wyznaczenie w BOE i zaktualizować mapę kontaktów SETID, CCN, ENAC oraz INCIBE-CERT przed jakimkolwiek formalnym zgłoszeniem.
  8. Zapoznać się z kwestionariuszem due diligence dostawców, opisującym ramy due diligence komponentów po stronie producenta.

Niniejszy artykuł ma charakter wyłącznie informacyjny i nie stanowi porady prawnej. W sprawach konkretnej zgodności z CRA należy skonsultować się z wykwalifikowanym doradcą prawnym.

CRA Hiszpania Zarządzanie podatnościami
Share

Powiązane artykuły

Powrót do wszystkich artykułów

Czy CRA dotyczy Twojego produktu?

Odpowiedz na 6 prostych pytań, aby dowiedzieć się, czy Twój produkt podlega pod Cyber Resilience Act UE. Uzyskaj wynik w mniej niż 2 minuty.

Sprawdź teraz

Gotowy na osiągnięcie zgodności z CRA?

Zacznij zarządzać swoimi SBOM-ami i dokumentacją zgodności z CRA Evidence.

Rozpocznij 14-dniowy bezpłatny okres próbny

Szczegółowe omówienie zagadnień CRA

Stale aktualizowane przewodniki po wymaganiach, procesach i rolach określonych przez akt o cyberodporności (CRA).

Deklaracja zgodności UE

Co musi zawierać Deklaracja zgodności, kto ją podpisuje i kiedy jest wymagana.

Przeczytaj przewodnik →
Ocena zgodności

Jak działa ocena zgodności w ramach CRA i kiedy wymagana jest jednostka notyfikowana.

Przeczytaj przewodnik →
Dokumentacja techniczna

Co musi zawierać dokumentacja techniczna CRA (Załącznik VII sekcja po sekcji) i jak producenci powinni ją strukturyzować.

Przeczytaj przewodnik →
Wymagania SBOM

Czego CRA wymaga w zakresie SBOM i jak BSI TR-03183 definiuje kryteria jakości.

Przeczytaj przewodnik →
Zgłaszanie podatności

Jak działa wymóg powiadamiania ENISA w ciągu 24 godzin i co liczy się jako aktywnie wykorzystywana podatność.

Przeczytaj przewodnik →
Obowiązki importera

Czego artykuł 19 wymaga od importerów i jak weryfikować zgodność producenta.

Przeczytaj przewodnik →
Planowanie okresu wsparcia

Co oznacza obowiązek okresu wsparcia CRA dla aktualizacji zabezpieczeń i planowania końca życia.

Przeczytaj przewodnik →
View full CRA compliance guide