CRA dla polskich producentów: CSIRT NASK, KSC i PCA

Profil kraju dla polskich producentów wg CRA: ścieżka CSIRT NASK, akredytacja PCA, nakładanie się KSC, obowiązki językowe i finansowanie FENG/KPO.

Zespół CRA Evidence Opublikowano 7 stycznia 2026 Zaktualizowano 11 czerwca 2026
Krajowy przewodnik CRA dla polskich producentów: dwa nakładające się dokumenty pokazują akt o cyberodporności (CRA) obejmujący produkt oraz ustawę o krajowym systemie cyberbezpieczeństwa (KSC) obejmującą organizację, z łańcuchem instytucjonalnym CSIRT NASK i PCA
W tym artykule

Polscy producenci ponoszą te same obowiązki wynikające z aktu o cyberodporności co każdy inny producent w UE, plus jedno wyzwanie, którego inne państwa członkowskie nie mają w takiej skali: równoległy krajowy akt prawny w dziedzinie cyberbezpieczeństwa (znowelizowana ustawa o KSC), który wszedł w życie 3 kwietnia 2026 r. i w niektórych obszarach nakłada się na akt o cyberodporności, lecz go nie zastępuje. Poniżej znajduje się krajowy przewodnik dla Polski: jak powiadomienia o podatnościach i incydentach trafiają przez CSIRT NASK, gdzie w tym układzie mieści się PCA jako podmiot akredytujący, jak KSC plasuje się obok aktu o cyberodporności, jakie obowiązki językowe nakłada ustawa z 1999 r. oraz które z programów FENG, KPO i dedykowanych linii cyberbezpieczeństwa są realistycznym źródłem finansowania działań zgodności. Pełny zestaw obowiązków producenta omawia przewodnik klastra producenta.

Podsumowanie

  • Akt o cyberodporności jest rozporządzeniem UE o bezpośrednim skutku. Dla producentów produktów nie istnieją żadne polskie wyłączenia.
  • CSIRT NASK (prowadzony przez NASK jako krajowy CSIRT sektora cywilnego) jest polską ścieżką CRA dla powiadomień o podatnościach i incydentach, gdy główne miejsce prowadzenia działalności producenta w Unii mieści się w Polsce. CSIRT MON (sektor wojskowy) i CSIRT GOV (centralna administracja rządowa) nie dotyczą komercyjnych producentów produktów.
  • PCA (Polskie Centrum Akredytacji) jest jedynym polskim podmiotem akredytującym i opracowuje schemat akredytacji i notyfikacji dla CRA. Formalne polskie organy powiadamiające dla jednostek notyfikowanych CRA nie zostały dotychczas wyznaczone w Dzienniku Ustaw. Konsultacje nad instrumentem wykonawczym prowadzi Ministerstwo Cyfryzacji.
  • KSC i akt o cyberodporności nakładają się, lecz tylko częściowo. Znowelizowana ustawa o krajowym systemie cyberbezpieczeństwa (ustawa o KSC), opublikowana w Dzienniku Ustaw 2 marca 2026 r. i obowiązująca od 3 kwietnia 2026 r., obejmuje organizację jako podmiot kluczowy lub podmiot ważny. Akt o cyberodporności obejmuje produkt. Polski producent objęty oboma reżimami prowadzi oddzielne rejestry, osobne strumienie raportowania i odpowiada za oddzielne kary (KSC: do 100 milionów PLN, CRA: do 15 milionów EUR lub 2,5% globalnego obrotu).
  • Język polski jest wymagany dla informacji produktowych skierowanych do użytkowników na rynku polskim na podstawie art. 7 i 7a ustawy z dnia 7 października 1999 r. o języku polskim. Obowiązek wynikający z aktu o cyberodporności jest zgodny z tym krajowym wymogiem.
  • FENG (Fundusze Europejskie dla Nowoczesnej Gospodarki) jest głównym unijnym programem inwestycyjnym dla MŚP do 2027 r., z Priorytetem 5, wprowadzonym w 2025 r. zmianą FENG/STEP, obejmującym bezpośrednio cyberbezpieczeństwo. KPO (Krajowy Plan Odbudowy) jest w zamykającym oknie NextGenerationEU (termin wykonania: 31 sierpnia 2026 r.) i nie nadaje się do planowania inwestycji na potrzeby obowiązków z 2027 r.

Zakres stosowania przewodnika

Przewodnik jest skierowany do podmiotów, których główne miejsce prowadzenia działalności w Unii mieści się w Polsce. To znaczy: miejsce, w którym zapadają decyzje dotyczące cyberbezpieczeństwa produktów z elementami cyfrowymi. Polska spółka handlowa z inżynierami za granicą nie spełnia tego kryterium. Jeżeli zespół inżynierski, zarządzanie SDLC i osoby zatwierdzające wydania aktualizacji bezpieczeństwa działają w Polsce, ten przewodnik ich dotyczy.

Producent z głównym miejscem prowadzenia działalności poza Unią, który wysyła produkty wyłącznie do Polski, kieruje powiadomienia CRA przez CSIRT państwa członkowskiego swojego głównego miejsca prowadzenia działalności, nie przez CSIRT NASK. Wymóg języka polskiego dla informacji skierowanych do użytkowników obowiązuje jednak dla każdego produktu wprowadzonego na rynek polski.

NASK i CSIRT NASK: polska ścieżka CSIRT

Powiadomienia CRA trafiają do CSIRT wyznaczonego jako koordynator państwa członkowskiego, w którym producent ma główne miejsce prowadzenia działalności w Unii. Dla producenta z głównym miejscem prowadzenia działalności w Polsce tym CSIRT jest CSIRT NASK, krajowy CSIRT sektora cywilnego działający w ramach NASK (Naukowej i Akademickiej Sieci Komputerowej), krajowego operatora sieci badawczo-edukacyjnej i wieloletniego gospodarz CERT Polska.

Polska utrzymuje trzy krajowe CSIRT w ramach systemu KSC: CSIRT NASK dla sektora cywilnego (w tym komercyjnych producentów, samorządu terytorialnego i większości podmiotów publicznych), CSIRT MON dla sektora wojskowego oraz CSIRT GOV dla centralnej administracji rządowej. Dla komercyjnego producenta wprowadzającego produkt z elementami cyfrowymi na rynek UE właściwą ścieżką jest CSIRT NASK. Pozostałe dwa CSIRT-y nie wchodzą w grę.

Technicznym kanałem dla rytmu zgłaszania 24 godziny / 72 godziny / 14 dni jest platforma pojedynczego zgłaszania ENISA, która ruszy 11 września 2026 r. Polski producent składa zgłoszenie przez tę platformę z CSIRT NASK jako koordynatorem przyjmującym. Wyznaczenie CSIRT to routing. Platforma to kanał transportowy. CERT Polska to długoletnia marka operacyjna wewnątrz NASK, która publikuje polskojęzyczne komunikaty o podatnościach.

Jednostki notyfikowane: PCA akredytuje, wyznaczenie organu powiadamiającego oczekuje

Produkty Important Klasy I wymagają jednostki notyfikowanej (Moduł B+C lub Moduł H) wyłącznie w przypadku, gdy normy zharmonizowane, wspólne specyfikacje lub schemat certyfikacji nie pokrywają ich w pełni. Produkty Important Klasy II korzystają z jednostki notyfikowanej (Moduł B+C lub Moduł H) lub dostępnego i mającego zastosowanie schematu certyfikacji. Produkty Krytyczne (Załącznik IV) stosują Artykuł 32(4): ścieżkę certyfikacji z Artykułu 8(1) tam, gdzie Komisja ją uruchomiła, w przeciwnym razie te same ścieżki z Artykułu 32(3).

Polski łańcuch instytucjonalny wygląda następująco:

  • PCA (Polskie Centrum Akredytacji) jest jedynym krajowym podmiotem akredytującym w Polsce, posiadającym status państwowej osoby prawnej nadzorowanej przez ministra właściwego do spraw gospodarki. PCA jest jedyną instytucją upoważnioną do udzielania akredytacji jednostkom oceny zgodności i aktywnie opracowuje schemat akredytacji i notyfikacji dla jednostek oceny zgodności CRA. Akredytacja zgodna z ISO/IEC 17065:2012 to krok techniczny poprzedzający notyfikację.
  • Organ powiadamiający, który formalnie wyznacza polskie jednostki notyfikowane CRA wobec Komisji Europejskiej, nie został dotychczas potwierdzony w Dzienniku Ustaw. Ministerstwo Cyfryzacji jest wiodącym kandydatem na podstawie swojej roli w konsultacjach, a formalne wyznaczenie zostanie zawarte w polskim instrumencie wykonawczym.

Ramy CRA dla jednostek notyfikowanych stosują się od 11 czerwca 2026 r., od kiedy wyznaczone jednostki mogą wydawać certyfikaty oceny zgodności CRA. W połowie 2026 r. polskie struktury są budowane równolegle z instrumentem wykonawczym. Polski producent może korzystać z dowolnej unijnej jednostki notyfikowanej, nie tylko z jednostek wyznaczonych w Polsce. Wybór jednostki wyznaczonej w Polsce to preferencja zakupowa, nie wymóg CRA. Ostateczne wyznaczenia CRA są publikowane w bazie danych NANDO Komisji Europejskiej.

KSC i akt o cyberodporności: obszary nakładania się i różnice

Znowelizowana ustawa o krajowym systemie cyberbezpieczeństwa (ustawa o KSC) to polska transpozycja dyrektywy NIS2. Opublikowano ją w Dzienniku Ustaw 2 marca 2026 r., weszła w życie 3 kwietnia 2026 r. po miesięcznym vacatio legis, daje podmiotom objętym jej zakresem 12 miesięcy na dostosowanie się (do 3 kwietnia 2027 r.) i wymaga samoidentyfikacji oraz rejestracji w rejestrze KSC do 3 października 2026 r. Maksymalne kary sięgają 100 milionów PLN.

Oba reżimy nakładają się, lecz jeden nie zastępuje drugiego:

  • KSC obejmuje organizację. Stosuje się do podmiotu jako podmiotu kluczowego lub podmiotu ważnego, jeśli mieści się on w jednym z sektorów wymienionych w ustawie. Obowiązki w zakresie zarządzania, zarządzania ryzykiem, zgłaszania incydentów i bezpieczeństwa łańcucha dostaw dotyczą organizacji.
  • Akt o cyberodporności obejmuje produkt. Stosuje się do każdego produktu z elementami cyfrowymi wprowadzanego na rynek UE, niezależnie od tego, czy organizacja mieści się w zakresie KSC. Zasadnicze wymagania dotyczące cyberbezpieczeństwa, obsługa podatności, dokumentacja techniczna i oznakowanie CE dotyczą produktu.

Polski producent objęty zarówno zakresem KSC jako podmiot, jak i zakresem CRA jako producent produktów, prowadzi oba reżimy równocześnie. Powiadomienia o incydentach trafiają do CSIRT NASK w obu przypadkach, lecz same obowiązki są różne: KSC śledzi incydenty operacyjne na poziomie organizacji, akt o cyberodporności śledzi aktywnie wykorzystywane podatności i poważne incydenty na poziomie produktu. Termin samoidentyfikacji KSC przypadający na 3 października 2026 r. to zadanie na poziomie organizacji, odrębne od gotowości produktowej CRA. Rejestr KSC to nie platforma zgłaszania CRA.

Wymóg języka polskiego w praktyce

Akt o cyberodporności wymaga, aby informacje produktowe skierowane do użytkowników były w języku łatwo zrozumiałym dla użytkowników i krajowego organu nadzoru rynku. Dla produktów wprowadzanych na rynek polski jest to język polski. Art. 7 i 7a ustawy z dnia 7 października 1999 r. o języku polskim (Ustawa z dnia 7 października 1999 r. o języku polskim) niezależnie wymagają polskiego w nazwach produktów konsumenckich, warunkach gwarancji, fakturach, rachunkach, ostrzeżeniach, instrukcjach obsługi i informacjach o właściwościach produktu. Obowiązek wynikający z aktu o cyberodporności jest spójny z tym długotrwałym wymogiem krajowym.

Obowiązkowo po polsku:

  • Instrukcje użytkowania i informacje o produkcie dołączone do produktu.
  • Dane kontaktowe producenta, niezależnie od miejsca ich podania.
  • Ujawnienie daty zakończenia wsparcia widoczne w punkcie sprzedaży.
  • Warunki gwarancji i informacje o prawach konsumenta dołączone do produktu.

Dopuszczalne wielojęzycznie:

  • Etykieta produktu i oznakowanie CE.
  • Tekst na opakowaniu.
  • Dokumentacja online, pod warunkiem dostępności wersji polskiej.

Język angielski jest zazwyczaj akceptowany w:

  • Wewnętrznej dokumentacji technicznej. Krajowy organ nadzoru rynku może zażądać polskiego tłumaczenia na uzasadniony wniosek, dlatego warto zawczasu się na to przygotować.

Art. 7a ust. 1 ustawy z 1999 r. pozwala stosować czytelny wizualnie symbol lub znak, gdy charakter informacji na to pozwala. Art. 11 wyłącza nazwy własne, znaki towarowe, oznaczenia pochodzenia produktu oraz zwyczajowo stosowaną terminologię naukową lub techniczną z wymogu języka polskiego. Deklaracja zgodności UE musi być udostępniona w językach wymaganych przez państwo członkowskie, w którym produkt jest wprowadzany do obrotu lub udostępniany na rynku.

Sprzedaż transgraniczna z Polski

Polski producent sprzedający do Niemiec, Czech, Francji lub innego państwa członkowskiego UE podlega tej samej zasadzie pojedynczego routingu: powiadomienia nadal trafiają do CSIRT NASK, bo routing wynika z głównego miejsca prowadzenia działalności, nie z miejsca dostawy poszczególnych przesyłek. Zgłoszeń do CSIRT niemieckiego, czeskiego ani francuskiego nie składa się.

Obowiązek językowy rozgałęzia się natomiast na poszczególne rynki. Produkt wysyłany na rynek niemiecki wymaga treści skierowanych do użytkownika po niemiecku. Produkt wysyłany na rynek francuski wymaga treści po francusku. Jeden komplet materiałów w języku polskim nie pokrywa tych rynków.

Organ nadzoru rynku każdego państwa członkowskiego będącego odbiorcą może również zażądać dokumentacji technicznej w języku łatwo dla niego zrozumiałym. Producent działający szeroko na terenie całej UE powinien spodziewać się żądań w co najmniej jednym powszechnie stosowanym języku roboczym i traktować wcześniejsze tłumaczenie najczęściej wnioskowanych sekcji dokumentacji technicznej jako praktyczne zabezpieczenie.

Krajowe programy finansowania

W 2026 r. polska oferta finansowania inwestycji CRA obejmuje jeden wieloletni aktywny program, jeden zamykający się program oraz kilka dedykowanych linii cyberbezpieczeństwa.

  • FENG (Fundusze Europejskie dla Nowoczesnej Gospodarki) to główny unijny program innowacji i wsparcia MŚP na lata 2021-2027, administrowany przez PARP. W maju 2025 r. Komisja zaakceptowała zmianę FENG wprowadzającą Priorytet 5 dla technologii obronnych zgodnych ze STEP i inwestycji podwójnego zastosowania, w tym cyberbezpieczeństwa. Odrębny Fundusz Transformacji Cyfrowej i Środowiskowej wewnątrz FENG otwiera nabór wniosków o pożyczki dla MŚP w III kwartale 2026 r. Narzędzia SBOM napędzane CRA, platformy obsługi podatności i infrastruktura bezpieczeństwa by design kwalifikują się tam, gdzie praca stanowi prawdziwą innowację lub cyfryzację procesu produkcyjnego.
  • KPO (Krajowy Plan Odbudowy) to polski Plan Odbudowy i Zwiększania Odporności, z łączną pulą około 54,7 miliarda EUR (25,3 miliarda EUR dotacji, 29,4 miliarda EUR preferencyjnych pożyczek). Inwestycje KPO muszą być zrealizowane do 31 sierpnia 2026 r. zgodnie z wymogiem zachodu słońca NextGenerationEU, a ostateczne wnioski o płatność przypadają na 30 września 2026 r. KPO nie jest zatem realnym instrumentem planowania dla terminu CRA 11 grudnia 2027 r.
  • Regionalne dotacje cyberbezpieczeństwa dla MŚP przez PARP i regionalne programy operacyjne mieszczą się zazwyczaj w przedziale od 20 000 do 200 000 PLN i obejmują audyty diagnostyczne, szkolenia z bezpiecznego wytwarzania i pilotaże narzędzi. Przydatne na etapie diagnozy wstępnej, niewystarczające dla pełnego programu CRA.

Dla inwestycji zgodności datowanych na termin 11 grudnia 2027 r. realistyczna publiczna oferta finansowania w Polsce to FENG (Priorytet 5 i Fundusz Transformacji Cyfrowej) oraz regionalne programy dla MŚP.

Często zadawane pytania

Który polski CSIRT przyjmuje powiadomienia CRA o podatnościach?

CSIRT NASK, krajowy CSIRT sektora cywilnego, gdy główne miejsce prowadzenia działalności producenta mieści się w Polsce. CSIRT MON (wojskowy) i CSIRT GOV (centralna administracja rządowa) nie dotyczą komercyjnych producentów produktów. Zgłoszenia składa się przez platformę pojedynczego zgłaszania ENISA od 11 września 2026 r. z CSIRT NASK jako koordynatorem przyjmującym. CERT Polska to długoletnia marka operacyjna wewnątrz NASK, publikująca polskojęzyczne komunikaty o podatnościach.

Kto wyznacza polskie jednostki notyfikowane: PCA czy ministerstwo?

PCA (Polskie Centrum Akredytacji) jest jedynym polskim krajowym podmiotem akredytującym i opracowuje schemat akredytacji i notyfikacji dla CRA. PCA akredytuje kandydujące jednostki zgodnie z ISO/IEC 17065:2012. Organ powiadamiający, który formalnie wyznaczy polskie jednostki notyfikowane CRA wobec Komisji Europejskiej, nie został dotychczas potwierdzony w Dzienniku Ustaw. Ministerstwo Cyfryzacji jest wiodącym kandydatem ze względu na swoją rolę w konsultacjach, a formalne wyznaczenie znajdzie się w polskim instrumencie wykonawczym. Polski producent może korzystać z dowolnej unijnej jednostki notyfikowanej do oceny zgodności CRA.

Czy akt o cyberodporności zastępuje obowiązki KSC, czy oba reżimy obowiązują równocześnie?

Oba. Znowelizowana ustawa o KSC (obowiązująca od 3 kwietnia 2026 r.) obejmuje organizację jako podmiot kluczowy lub podmiot ważny. Akt o cyberodporności obejmuje każdy produkt z elementami cyfrowymi wprowadzany na rynek UE. Oba reżimy nakładają się w zakresie routingu CSIRT (CSIRT NASK przyjmuje oba strumienie) i w dyscyplinach bezpieczeństwa, lecz jeden nie zastępuje drugiego. Polski producent objęty zakresem KSC jako podmiot prowadzi oba reżimy równocześnie, z oddzielnymi wpisami do rejestru, oddzielnymi strumieniami raportowania i oddzielnymi karami (KSC: do 100 milionów PLN, CRA: do 15 milionów EUR lub 2,5% globalnego obrotu).

Który polski organ pełni funkcję organu nadzoru rynku CRA?

Formalne wyznaczenie nie zostało dotychczas opublikowane w Dzienniku Ustaw w połowie 2026 r. Ministerstwo Cyfryzacji prowadzi konsultacje nad instrumentem wykonawczym i jest najbardziej prawdopodobnym kandydatem, przy czym PCA oraz organ sektorowy (UKE lub UOKiK) mogą pełnić rolę wspierającą w zależności od kategorii produktu. Przed jakimkolwiek formalnym zgłoszeniem należy zweryfikować ostateczne wyznaczenie w polskim instrumencie wykonawczym. Przepływ zgłoszeń CRA przez CSIRT NASK działa niezależnie od tego, jak zostaną podzielone role nadzoru rynku.

Kiedy Polska opublikuje krajowy instrument wykonawczy CRA w Dzienniku Ustaw?

Akt o cyberodporności jest rozporządzeniem UE o bezpośrednim skutku, więc Polska nie musi transponować go do prawa krajowego, aby obowiązki materialne stosowały się od 11 grudnia 2027 r. Przed 11 czerwca 2026 r. Polska musi opublikować instrument wykonawczy (prawdopodobnie ustawę lub rozporządzenie wykonawcze), który formalnie wyznaczy organ nadzoru rynku CRA, organ powiadamiający dla jednostek oceny zgodności i krajowy pojedynczy punkt kontaktowy oraz ustali polską skalę kar w granicach pułapów unijnych. Ministerstwo Cyfryzacji prowadziło konsultacje. W połowie 2026 r. żaden instrument specyficzny dla CRA nie pojawił się jeszcze w Dzienniku Ustaw. Obserwować należy termin ram 11 czerwca 2026 r. Wszelkie wcześniejsze branżowe przypisywanie uprawnień organom powinno być traktowane jako tymczasowe do czasu ukazania się tego tekstu.

Czy w sprzedaży B2B trzeba tłumaczyć wszystko na język polski?

Dla produktów wprowadzanych na rynek polski z użytkownikami końcowymi w Polsce: tak. Akt o cyberodporności wymaga informacji użytkownika po polsku. Art. 7 i 7a ustawy z 1999 r. o języku polskim niezależnie wymagają polskiego w nazwach produktów konsumenckich, warunkach gwarancji, instrukcjach obsługi i informacjach o właściwościach produktu. Sprzedaż B2B między przedsiębiorcami ma pewną elastyczność co do języka umów, lecz obowiązek wynikający z aktu o cyberodporności nie rozróżnia tego trybu, gdy produkt jest wprowadzany na rynek polski. Polski producent powinien przygotować polskie informacje użytkownika, polskie ujawnienie okresu wsparcia i polskie dane kontaktowe producenta zarówno w kanałach konsumenckich, jak i profesjonalnych. Znaki towarowe, terminologia naukowa i zwyczajowe terminy techniczne są wyraźnie wyłączone z wymogu języka polskiego.

Czy środki FENG lub KPO mogą sfinansować narzędzia zgodności CRA?

FENG tak, gdy praca stanowi prawdziwą innowację lub cyfryzację procesu produkcyjnego. Priorytet 5 wprowadzono zmianą FENG/STEP z 2025 r. i obejmuje on cyberbezpieczeństwo, a Fundusz Transformacji Cyfrowej i Środowiskowej wewnątrz FENG otwiera nabór wniosków o pożyczki dla MŚP w III kwartale 2026 r. Czyste prace zgodności (audyty, opłaty za ocenę zgodności) trudniej zakwalifikować. KPO jest w zamykającym oknie NextGenerationEU z terminem realizacji projektu 31 sierpnia 2026 r. i ostatecznych wniosków o płatność 30 września 2026 r., dlatego nie jest realnym instrumentem planowania dla terminu 11 grudnia 2027 r.

Produkt jest wysyłany z Polski do innych państw członkowskich UE. Gdzie zgłaszać incydenty?

Przez CSIRT NASK, niezależnie od tego, do jakich państw członkowskich produkt jest wysyłany. Akt o cyberodporności wiąże routing powiadomień z głównym miejscem prowadzenia działalności, nie z miejscem dostawy poszczególnych przesyłek. Obowiązek językowy rozgałęzia się jednak na poszczególne rynki: informacje użytkownika po niemiecku dla produktów wysyłanych do Niemiec, po czesku dla produktów wysyłanych do Czech i tak dalej. Warto z wyprzedzeniem przygotować co najmniej najczęściej wnioskowane sekcje dokumentacji technicznej w powszechnie stosowanym języku roboczym, aby absorbować transgraniczne uzasadnione wnioski organów nadzoru rynku innych państw członkowskich.

Dla polskich producentów przygotowujących się na 11 grudnia 2027 r.

  1. Obowiązki producenta należy potwierdzić, korzystając z przewodnika klastra producenta.
  2. Główne miejsce prowadzenia działalności w Polsce wymaga weryfikacji i udokumentowania uzasadnienia. Decyduje lokalizacja podejmowania decyzji w zakresie cyberbezpieczeństwa, nie siedziba rejestrowa.
  3. Przepływ zgłoszeń CRA do CSIRT NASK należy zmapować, z przetestowanym zgłoszeniem do platformy pojedynczego zgłaszania ENISA, gdy ta ruszy 11 września 2026 r.
  4. Do 3 października 2026 r. producent powinien przeprowadzić weryfikację samoidentyfikacji KSC, jeśli jest też podmiotem kluczowym lub ważnym. KSC i akt o cyberodporności to dwa oddzielne strumienie zgodności dzielące routing CSIRT NASK, lecz nie dzielące obowiązków.
  5. Jeśli ścieżka oceny zgodności wymaga jednostki notyfikowanej, warto przejrzeć jednostki akredytowane przez PCA jako opcję krajową, plus przynajmniej jedną alternatywę transgraniczną. Dziennik Ustaw należy obserwować pod kątem wyznaczenia polskiego organu powiadamiającego.
  6. Instrukcje użytkowania należy przetłumaczyć na język polski zgodnie z ustawą z 1999 r. Dla każdego innego państwa członkowskiego UE, na rynek którego produkt jest wprowadzany, trzeba dodać stosowne tłumaczenia.
  7. FENG Priorytet 5 i Fundusz Transformacji Cyfrowej należy rozważyć pod kątem inwestycji w narzędzia cyberbezpieczeństwa. Na zobowiązania z 2027 r. KPO planować nie należy.
  8. Lekturę kwestionariusza należytej staranności wobec dostawców polecamy dla zapoznania się z ramami należytej staranności komponentowej po stronie producenta.

Artykuł ma charakter wyłącznie informacyjny i nie stanowi porady prawnej. W celu uzyskania szczegółowych wskazówek dotyczących zgodności z CRA należy skonsultować się z wykwalifikowanym radcą prawnym.

CRA Polska Zarządzanie podatnościami
Share

Powiązane artykuły

Powrót do wszystkich artykułów

Czy CRA dotyczy Twojego produktu?

Odpowiedz na 6 prostych pytań, aby dowiedzieć się, czy Twój produkt podlega pod Cyber Resilience Act UE. Uzyskaj wynik w mniej niż 2 minuty.

Sprawdź teraz

Gotowy na osiągnięcie zgodności z CRA?

Zacznij zarządzać swoimi SBOM-ami i dokumentacją zgodności z CRA Evidence.

Rozpocznij 14-dniowy bezpłatny okres próbny

Szczegółowe omówienie zagadnień CRA

Stale aktualizowane przewodniki po wymaganiach, procesach i rolach określonych przez akt o cyberodporności (CRA).

Deklaracja zgodności UE

Co musi zawierać Deklaracja zgodności, kto ją podpisuje i kiedy jest wymagana.

Przeczytaj przewodnik →
Ocena zgodności

Jak działa ocena zgodności w ramach CRA i kiedy wymagana jest jednostka notyfikowana.

Przeczytaj przewodnik →
Europejska certyfikacja cyberbezpieczeństwa (EUCC)

Jak działa schemat certyfikacji EUCC i kiedy może wspierać zgodność z CRA.

Przeczytaj przewodnik →
Dokumentacja techniczna

Co musi zawierać dokumentacja techniczna CRA (Załącznik VII sekcja po sekcji) i jak producenci powinni ją strukturyzować.

Przeczytaj przewodnik →
Wymagania SBOM

Czego CRA wymaga w zakresie SBOM i jak BSI TR-03183 definiuje kryteria jakości.

Przeczytaj przewodnik →
Zgłaszanie podatności

Jak działa wymóg powiadamiania ENISA w ciągu 24 godzin i co liczy się jako aktywnie wykorzystywana podatność.

Przeczytaj przewodnik →
Obowiązki importera

Czego artykuł 19 wymaga od importerów i jak weryfikować zgodność producenta.

Przeczytaj przewodnik →
Planowanie okresu wsparcia

Co oznacza obowiązek okresu wsparcia CRA dla aktualizacji zabezpieczeń i planowania końca życia.

Przeczytaj przewodnik →
Zobacz pełny przewodnik zgodności z CRA