Zgodność z Cyber Resilience Act dla Producentów Maszyn
Twoja maszyna ma elementy cyfrowe. Twoje oznakowanie CE wymaga teraz dowodów cyberbezpieczeństwa. CRA Evidence pomaga producentom maszyn spełnić wymagania zarówno Cyber Resilience Act, jak i Unijne Rozporządzenie w sprawie Maszyn, z jednej platformy.
Rzeczywistość podwójnej zgodności
Od 20 stycznia 2027 r. unijne Rozporządzenie w sprawie Maszyn (UE) 2023/1230 wymaga dowodów bezpieczeństwa cybernetycznego w dokumentacji technicznej (Załącznik III §1.1.9 „ochrona przed uszkodzeniem"). Od 11 grudnia 2027 r. CRA nakłada obowiązek pełnego bezpieczeństwa produktu przez cały cykl życia. Oba akty prawne mają zastosowanie do maszyn z PLC, HMI, wbudowanymi kontrolerami lub łącznością sieciową.
Motyw 53 CRA jest jednoznaczny: produkty objęte innymi rozporządzeniami UE zawierającymi wymagania dotyczące cyberbezpieczeństwa muszą również spełniać wymogi CRA. Dowody zgodności z CRA mogą spełniać te wymagania, jeśli są odpowiednio ustrukturyzowane.
Jak CRA Evidence pomaga producentom maszyn
| Twoja Potrzeba Compliance | Jak CRA Evidence Pomaga | Podstawa Regulacyjna |
|---|---|---|
| Śledzenie oprogramowania w maszynach | Zarządzanie SBOM + HBOM | CRA Załącznik I + dokumentacja techniczna RM |
| Analiza wbudowanego firmware | Prześlij SBOM firmware i skanuj pod kątem CVE | Zarządzanie podatnościami CRA + RM §1.1.9 |
| Ocena ryzyka cyberbezpieczeństwa | Ocena ryzyka STRIDE z zasobami sprzętowymi | CRA Art. 13(2) + RM §1.1.9 |
| Zgłaszanie podatności do ENISA | Przepływ powiadomień 24h/72h/14d | CRA Art. 14 (od wrz. 2026) |
| Generowanie dowodów oznakowania CE | Generator EU DoC + eksport dokumentacji technicznej | CRA Art. 22-23 + zgodność RM |
| Zapewnienie przejrzystości produktu | Cyfrowy Paszport Produktu z kodami QR | CRA + Ekoprojektowanie |
| Zarządzanie komponentami łańcucha dostaw | Weryfikacja importerów/dystrybutorów | CRA Art. 19-20 |
Objęte produkty
Maszyny CNC, coboty, maszyny pakujące, bezpieczeństwo PLC, roboty przemysłowe, HMI, przemienniki częstotliwości z interfejsami sieciowymi, AGV/AMR, wtryskarki, maszyny do obróbki drewna z cyfrowymi sterownikami, połączone maszyny ze zdalnym monitorowaniem lub telemetrią. W zasadzie każda maszyna z oprogramowaniem lub łącznością sieciową.
Kluczowe terminy
11 września 2026: Rozpoczyna się obowiązek zgłaszania podatności do ENISA. Producenci maszyn z elementami cyfrowymi muszą zgłaszać aktywnie wykorzystywane podatności w ciągu 24 godzin.
20 stycznia 2027: Pełne stosowanie unijnego Rozporządzenia w sprawie Maszyn. Dowody cyberbezpieczeństwa wymagane w dokumentacji technicznej zgodnie z Załącznikiem III §1.1.9.
11 grudnia 2027: Pełne egzekwowanie CRA. Wszystkie produkty z elementami cyfrowymi muszą spełniać zasadnicze wymagania cyberbezpieczeństwa.
Norma w opracowaniu: prEN 50742
prEN 50742 to projekt normy europejskiej dotyczącej ochrony przed uszkodzeniem w maszynach, zawierający specyfikacje techniczne dla §1.1.9 Rozporządzenia w sprawie Maszyn. Definiuje dwie ścieżki zgodności: podejście autonomiczne oraz integrację z IEC 62443 dla producentów działających już w ramach tego przemysłowego systemu cyberbezpieczeństwa. Po opublikowaniu jako norma zharmonizowana, zgodność z prEN 50742 stworzy domniemanie zgodności z wymogami cyberbezpieczeństwa Rozporządzenia w sprawie Maszyn. Publikacja oczekiwana jest pod koniec 2026 r.
Co obejmujemy i czego nie
CRA Evidence obejmuje aspekty zgodności z cyberbezpieczeństwem Rozporządzenia w sprawie Maszyn: SBOM, HBOM, śledzenie podatności, ocenę ryzyka, zgłoszenia do ENISA, dokumentację oznakowania CE oraz Cyfrowe Paszporty Produktów.
W zakresie bezpieczeństwa mechanicznego, elektrycznego, hałasu, drgań i innych wymagań niecybernetycznych Rozporządzenia w sprawie Maszyn należy skonsultować się z istniejącym procesem zgodności. CRA Evidence adresuje część cyberbezpieczeństwa, nie pełny zakres Rozporządzenia w sprawie Maszyn.
Oficjalne źródła
- Rozporządzenie w sprawie Maszyn (UE) 2023/1230, EUR-Lex. Dziennik Urzędowy, przyjęte 14 czerwca 2023 r., stosowane od 20 stycznia 2027 r.
- Maszyny, Komisja Europejska. Wytyczne i zasoby dotyczące wdrożenia DG GROW
- Cyber Resilience Act (UE) 2024/2847, EUR-Lex. Pełne egzekwowanie od 11 grudnia 2027 r.
Gotowy, aby Rozpocząć Swoją Drogę do Zgodności z CRA?
Wrzesień 2026 jest bliżej niż się wydaje. Zacznij już dziś dokumentować dowody cyberbezpieczeństwa swoich maszyn.