Jak powstało CRA Evidence

Wszystko zaczęło się w 2025 roku, gdy Joan Romero po raz pierwszy usłyszał o rozporządzeniu o cyberodporności.

Od tego momentu zaczął łączyć to z całą swoją karierą jako Cloud Engineer i SRE. Budujemy i wysyłamy więcej produktów niż kiedykolwiek, ale nie dbamy o cyberbezpieczeństwo. Liczba incydentów stale rośnie.

Rozporządzenie o cyberodporności powstało właśnie dlatego. Europa dostrzegła problem i postanowiła działać. Joan postanowił pomóc zespołom przez ten proces i zaczął budować CRA Evidence.

Stało się to rzeczywistością w 2026 roku. Pierwszym etapem była współpraca z CEEI, Europejskim Centrum Przedsiębiorczości i Innowacji Księstwa Asturii. Dzięki ich pomocy firma ruszyła.

Z Oviedo w Hiszpanii Pomagamy zespołom produktowym przekładać obowiązki CRA na dowody, które da się realnie utrzymywać.
Hiszpańska certyfikacja startupu Firma stojąca za CRA Evidence uzyskała status innowacyjnego startupu na podstawie hiszpańskiej ustawy o startupach, co daje certyfikowanym firmom dostęp do hiszpańskich ram dla startupów. Status jest wydawany przez hiszpańskiej Enisa (Empresa Nacional de Innovación, hiszpańską publiczną agencję innowacji, a nie unijną agencję cyberbezpieczeństwa ENISA). Sprawdź wpis w publicznym rejestrze, wyszukując SENDA TECH SOLUTIONS S.L.
Madrid Barcelona Lizbona Oviedo Asturias HISZPANIA Portugalia Francja Baleary 200 km 0 200 N
The problem we solve

Dlaczego powstało CRA Evidence

Coraz więcej produktów cyfrowych trafia każdego roku do Europy, od przemysłowych sterowników po urządzenia domowe, a akt o cyberodporności to pierwsza regulacja, która wymaga od każdego z nich rzeczywistych dowodów bezpieczeństwa przez cały cykl życia. Naszym celem było wsparcie zespołów wykonujących tę pracę.

Nikt wyraźnie nie miał w swojej gestii aktu o cyberodporności. Ani inżynieria, ani dział prawny, ani produkt. CRA Evidence powstało po to, by ta praca miała swoje miejsce: śledzona, korygowana i gotowa na audyt przez dziesięcioletni okres wymagany przez rozporządzenie.

Zobacz, jak współpracujemy z zespołami

Każdy produkt z elementami cyfrowymi sprzedawany w UE musi być projektowany, wytwarzany i utrzymywany z rzetelnymi dowodami cyberbezpieczeństwa przez cały jego cykl życia, a dokumentacja musi być przechowywana przez co najmniej dziesięć lat.

Rozporządzenie (UE) 2024/2847, art. 13–14 · parafraza

Dla tej pracy istniejemy.

Komu służymy

CRA obowiązuje różnie w zależności od roli. Dostosowujemy się do każdej.

Producenci, importerzy i dystrybutorzy mają różne obowiązki na mocy rozporządzenia. CRA Evidence dostarcza odpowiedni przepływ pracy dla każdego.

Producenci

CRA Artykuł 13

Państwo wytwarzają produkty z elementami cyfrowymi. To na Państwu spoczywają najcięższe obowiązki CRA.

  • Walidacja SBOM zgodnie z BSI TR-03183
  • Ciągłe monitorowanie podatności z wykrywaniem nowych CVE w ciągu 15 minut
  • Generator deklaracji zgodności UE
  • Kreator informacji i instrukcji dla użytkownika (UII)
  • Śledzenie zgodności na poziomie wersji
Przeciętny producent ma ponad 200 zależności na produkt. Nie da się tego śledzić w arkuszu kalkulacyjnym.

Importerzy

CRA Artykuł 19

Państwo wprowadzają produkty na rynek UE. Przed sprzedażą muszą Państwo zweryfikować zgodność producenta.

  • Listy kontrolne weryfikacji zgodnie z Artykułem 19
  • Żądania dokumentacji od producentów
  • Przechowywanie dowodów ze ścieżką audytu
  • Dokumentacja dla nadzoru rynku
Jeśli importowany przez Państwa produkt nie spełnia wymogów CRA, ponoszą Państwo odpowiedzialność. CRA Evidence pomaga zweryfikować przed podjęciem zobowiązania.

Dystrybutorzy

CRA Artykuł 20

Państwo sprzedają produkty w UE, ale ich nie produkują ani nie importują. Lżejsze obowiązki.

  • Przepływy pracy weryfikacji zgodności
  • Dostęp do dokumentacji produktów
  • Wytyczne Artykułu 20
  • Ścieżki eskalacji incydentów
Lżejsze obowiązki, ale system nadal jest potrzebny. CRA Evidence utrzymuje prostotę.

Pytania, które słyszymy bez przerwy

Każdy zespół przygotowujący się do CRA pracuje nad tymi samymi podstawami:

  • W jakim formacie powinien być mój SBOM?
  • Jak śledzić podatności w 300 zależnościach?
  • Co dokładnie powinno znaleźć się w dokumentacji technicznej?
  • Jak udowodnić zgodność organowi nadzoru rynku?

Rozporządzenie jest wystarczająco skomplikowane. Twoje narzędzia nie muszą takie być.

Z Siedzibą w Unii Europejskiej
Wyróżnienie

Niezależne wyróżnienia

Sygnały od stron trzecich, które możesz samodzielnie zweryfikować. Pełne ogłoszenia w newsroomie.

Status innowacyjnego startupu, hiszpańska Enisa

Krajowa agencja innowacji Hiszpanii

Członek Cluster TIC Asturias

Regionalny klaster branży ICT
Odwiedź newsroom →

Gotowi uprościć zgodność z CRA?

Mapuj obowiązki, generuj dowody i bądź gotowy na audyt dla wszystkich wersji produktów przed 11 grudnia 2027 r.

Rozpocznij bezpłatny okres próbny Zobacz cennik