Słownik Zgodności CRA
Podstawowa terminologia do zrozumienia unijnego rozporządzenia o cyberodporności, standardów bezpieczeństwa łańcucha dostaw oprogramowania i wymagań zgodności.
Nie znaleziono pasujących terminów.
A
Artykuł 13 - Obowiązki Producentów
Artykuł 13 CRA określa podstawowe obowiązki producenta: bezpieczeństwo przez projekt, utrzymywanie SBOM, obsługa podatności, zapewnianie aktualizacji bezpieczeństwa przez cały cykl życia produktu i utrzymywanie dokumentacji technicznej przez co najmniej 10 lat.
Artykuł 14 - Obowiązki Raportowania
Artykuł 14 CRA wymaga od producentów zgłaszania aktywnie wykorzystywanych podatności do ENISA w ciągu 24 godzin (wczesne ostrzeżenie), 72 godzin (szczegółowy raport) i 14 dni (raport końcowy). Poważne incydenty podlegają temu samemu wzorowi, ale z 30-dniowym terminem raportu końcowego.
C
CRA - Akt o Cyberodporności
Rozporządzenie UE 2024/2847 ustanawiające obowiązkowe wymagania cyberbezpieczeństwa dla produktów z elementami cyfrowymi (PDE) sprzedawanych w Unii Europejskiej. Weszło w życie 10 grudnia 2024. Główne obowiązki obowiązują od 11 grudnia 2027. Obejmuje produkty sprzętowe i programowe z łącznością sieciową.
CSAF - Wspólne Ramy Komunikatów Bezpieczeństwa
Standard OASIS dla czytelnych maszynowo poradników bezpieczeństwa. Umożliwia automatyczne przetwarzanie ujawnień podatności. Używany do skoordynowanego ujawniania podatności (CVD) i raportowania ENISA zgodnie z wymaganiami CRA.
CSIRT - Computer Security Incident Response Teams
Designated cybersecurity bodies that manufacturers must notify of actively exploited vulnerabilities and significant incidents under CRA Article 14, and that coordinate with ENISA on EU-level vulnerability response.
CVD - Skoordynowane Ujawnianie Luk w Zabezpieczeniach
Proces odpowiedzialnego ujawniania podatności bezpieczeństwa dostawcom przed publicznym ogłoszeniem. Artykuł 13(8) CRA wymaga od producentów ustanowienia i opublikowania polityk CVD, w tym informacji kontaktowych dotyczących bezpieczeństwa.
CVE - Powszechne Luki i Narażenia
Standaryzowany identyfikator dla publicznie znanych podatności cyberbezpieczeństwa (np. CVE-2024-12345). Zarządzany przez MITRE Corporation. Używany globalnie do śledzenia podatności, ujawniania i koordynacji napraw.
CVSS - Wspólny System Oceny Luk w Zabezpieczeniach
Standard branżowy do oceny powagi podatności w skali 0-10. CVSS 4.0 to najnowsza wersja. Zapewnia metryki bazowe, czasowe i środowiskowe. Krytyczny (9.0-10.0), Wysoki (7.0-8.9), Średni (4.0-6.9), Niski (0.1-3.9).
CycloneDX
Standard OWASP do tworzenia List Materiałów Oprogramowania (SBOM) i powiązanych artefaktów. Obsługuje SBOM, VEX, HBOM, SaaSBOM i więcej. Zalecana wersja 1.5+. Przywoływany przez BSI TR-03183 jako preferowany format dla zgodności CRA.
D
Deklaracja zgodności UE
Formalny dokument stwierdzający, że produkt jest zgodny z obowiązującym prawodawstwem UE, w tym CRA. Musi być podpisany przez producenta lub upoważnionego przedstawiciela. Wymagany dla oznakowania CE. Musi odwoływać się do obowiązujących norm zharmonizowanych.
Dokumentacja Techniczna
Kompletny pakiet dokumentacji potwierdzający zgodność z CRA. Obejmuje ocenę ryzyka, SBOM, dokumentację projektową bezpieczeństwa, procedury obsługi podatności, wyniki testów i Deklarację Zgodności UE. Musi być przechowywany przez 10 lat lub okres życia produktu (w zależności od tego, co jest dłuższe).
Dystrybutor
Każdy podmiot w łańcuchu dostaw, inny niż producent lub importer, który udostępnia produkt z elementami cyfrowymi na rynku UE. Dystrybutorzy muszą przed udostępnieniem sprawdzić, czy produkt posiada oznakowanie CE i towarzyszy mu deklaracja zgodności UE. Jeśli dystrybutor zmodyfikuje produkt, staje się producentem w rozumieniu CRA.
E
ENISA - Agencja Unii Europejskiej ds. Cyberbezpieczeństwa
Agencja UE odpowiedzialna za politykę cyberbezpieczeństwa i koordynację incydentów. Zgodnie z CRA producenci muszą zgłaszać ENISA aktywnie wykorzystywane podatności w ciągu 24 godzin i poważne incydenty w ciągu 72 godzin. Obowiązek zgłaszania zaczyna się 11 września 2026.
EPSS - System Przewidywania Prawdopodobieństwa Wykorzystania
Model FIRST.org szacujący prawdopodobieństwo (0-100%), że podatność zostanie wykorzystana w ciągu najbliższych 30 dni. Używany do priorytetyzacji podatności opartej na ryzyku wraz z CVSS. Wyższy EPSS = wyższy priorytet naprawy.
H
HBOM - Wykaz Komponentów Sprzętowych
Czytelny maszynowo inwentarz komponentów sprzętowych w produkcie, w tym procesory, pamięć, układy scalone i firmware. Uzupełnia SBOM dla pełnej przejrzystości produktu. CycloneDX obsługuje format HBOM.
I
Importer
Podmiot z siedzibą w UE, który wprowadza na rynek europejski produkt z elementami cyfrowymi od producenta spoza UE. Importerzy muszą sprawdzić, czy producent przeprowadził ocenę zgodności, czy zastosowano oznakowanie CE i czy dokumentacja techniczna jest dostępna. Ponoszą współodpowiedzialność za produkty niezgodne z wymogami.
J
Jednostka Notyfikowana
Niezależna jednostka oceny zgodności wyznaczona przez państwo członkowskie UE do oceny, czy produkty spełniają wymagania regulacyjne. Wymagana dla oceny zgodności przez stronę trzecią Ważny produkt (Klasa I), Ważny produkt (Klasa II) i Produkty krytyczne zgodnie z Załącznikami III i IV CRA.
K
KEV - Znane Aktywnie Wykorzystywane Luki
Oficjalny katalog CISA podatności aktywnie wykorzystywanych w środowisku produkcyjnym. Najwyższy priorytet do naprawy, ponieważ reprezentują potwierdzone zagrożenia w świecie rzeczywistym. Agencje federalne muszą naprawić podatności KEV w określonych ramach czasowych.
N
Normy Zharmonizowane
Europejskie normy przyjęte przez uznane organy normalizacyjne (CEN, CENELEC, ETSI) i przywoływane w Dzienniku Urzędowym UE. Produkty zgodne z normami zharmonizowanymi korzystają z domniemania zgodności z odpowiednimi podstawowymi wymaganiami CRA, upraszczając ocenę zgodności.
NVD - Krajowa Baza Danych Luk w Zabezpieczeniach
Amerykańskie rządowe repozytorium danych o podatnościach utrzymywane przez NIST. Oparte na identyfikatorach CVE. Dostarcza wyniki CVSS, informacje CPE (dotknięty produkt), klasyfikacje CWE i wskazówki naprawcze.
O
Ocena ryzyka
Systematyczny proces identyfikacji, analizy i oceny ryzyka cyberbezpieczeństwa związanego z produktem z elementami cyfrowymi. Wymagany przez Artykuł 13(2) CRA i musi być udokumentowany w dokumentacji technicznej. Obejmuje zagrożenia, podatności, potencjalny wpływ i środki ograniczania ryzyka przez cały cykl życia produktu.
Ocena zgodności
Proces weryfikacji, czy produkt spełnia zasadnicze wymagania cyberbezpieczeństwa CRA. Produkty domyślne mogą korzystać z samooceny (Moduł A), podczas gdy Ważny produkt (Klasa I), Ważny produkt (Klasa II) i Produkty krytyczne wymagają oceny przez stronę trzecią w jednostkach notyfikowanych.
OSV.dev - Baza danych podatności open source
Baza danych podatności open source utrzymywana przez Google. Agreguje ostrzeżenia bezpieczeństwa z GitHub (GHSA), Go, Rust, PyPI i ponad 15 ekosystemów w jedno zapytywalne API. CRA Evidence używa OSV.dev jako drugorzędnego źródła podatności obok NVD, aby przechwytywać ostrzeżenia, które bazy danych specyficzne dla ekosystemu śledzą, zanim otrzymają identyfikatory CVE.
Oznakowanie CE
Europejski znak zgodności wskazujący na zgodność z prawodawstwem UE. Zgodnie z CRA produkty z elementami cyfrowymi muszą nosić oznakowanie CE, aby mogły być legalnie sprzedawane na rynku UE. Wymaga przeprowadzenia oceny zgodności i Deklaracji Zgodności UE.
P
PDE - Produkt z Elementami Cyfrowymi
A product with digital elements is hardware or software placed on the EU market whose intended or reasonably foreseeable use involves a direct or indirect data connection to another device or network. The legal definition is in CRA Article 3(1). The CRA distinguishes four forms: software products (Article 3(4)), hardware products (Article 3(5)), components placed on the market separately (Article 3(6), including firmware and SDKs), and remote data processing solutions supplied by the manufacturer (Article 3(2), cloud or remote services necessary for the product to perform its functions). A pure cloud SaaS without an installable client is generally outside the CRA; a hybrid product where the manufacturer's cloud service is necessary for the product to function is in scope through Article 3(2). The decisive test is the data connection, and Article 3(8), (9), and (10) distinguish logical, physical, and indirect connections.
prEN 50742
Projekt europejskiej normy dotyczącej bezpieczeństwa maszyn obejmującej wymagania ochrony przed uszkodzeniem. Zawiera specyfikacje techniczne dotyczące wdrożenia §1.1.9 Rozporządzenia w sprawie Maszyn (UE) 2023/1230. Definiuje dwie ścieżki zgodności: podejście autonomiczne i integrację z IEC 62443 dla producentów działających już w ramach tego przemysłowego systemu cyberbezpieczeństwa. Po opublikowaniu jako norma zharmonizowana, zgodność tworzy domniemanie zgodności z wymogami cyberbezpieczeństwa Rozporządzenia w sprawie Maszyn. Publikacja oczekiwana pod koniec 2026 r.
Producent
Podmiot, który opracowuje lub wytwarza produkt z elementami cyfrowymi i wprowadza go na rynek UE pod własną nazwą lub znakiem towarowym. Producenci ponoszą główne obowiązki wynikające z CRA: przeprowadzanie ocen ryzyka, utrzymywanie SBOM, obsługa podatności, dostarczanie aktualizacji bezpieczeństwa przez co najmniej pięć lat oraz zgłaszanie wykorzystywanych podatności do ENISA.
Produkt domyślny
Produkty z elementami cyfrowymi, które nie należą do kategorii Ważne lub Krytyczne zdefiniowanych w Załącznikach III i IV CRA. Produkty domyślne mogą przejść ocenę zgodności poprzez kontrolę wewnętrzną (samoocenę) przeprowadzoną przez producenta zgodnie z Załącznikiem VIII CRA, bez udziału stron trzecich. Obejmuje to zdecydowaną większość komercyjnego oprogramowania i sprzętu konsumenckiego.
Produkt krytyczny (Załącznik IV) - CRA Załącznik IV
Produkty z elementami cyfrowymi, które pełnią istotne funkcje cyberbezpieczeństwa dla innych produktów, sieci lub usług. Wymienione w Załączniku IV CRA obejmują sprzętowe moduły bezpieczeństwa (HSM), czytniki kart inteligentnych, elementy bezpieczne i urządzenia sprzętowe z modułami bezpieczeństwa. Produkty krytyczne wymagają europejskiej certyfikacji cyberbezpieczeństwa w ramach odpowiedniego programu lub — w przypadku braku takiego programu — oceny zgodności przez stronę trzecią w jednostce notyfikowanej.
PURL - URL Pakietu
Standaryzowany format do identyfikacji pakietów oprogramowania w różnych ekosystemach (np. pkg:npm/lodash@4.17.21). Używany w SBOM do jednoznacznej identyfikacji komponentów. Umożliwia automatyczne dopasowywanie podatności i zgodność licencji.
R
RDPS - Rozwiązania do zdalnego przetwarzania danych
Cloud or SaaS functionality that processes data remotely as part of a product with digital elements. Falls within the product's CRA conformity assessment scope if it meets a three-part test: data is processed 'at a distance', the product would lose a core function without it, and it is designed by or under the responsibility of the manufacturer. Third-party SaaS that does not meet this test must still be treated as a component under Article 13(5) due diligence.
S
SBOM - Wykaz Komponentów Oprogramowania
Formalny, czytelny maszynowo inwentarz komponentów oprogramowania i zależności, w tym wersje, licencje i relacje. Wymagany przez Artykuł 13(4) CRA do zarządzania podatnościami i przejrzystości łańcucha dostaw. Może być w formacie CycloneDX lub SPDX.
SCA - Analiza składu oprogramowania
Analiza składu oprogramowania (SCA) identyfikuje komponenty open source i komponenty zewnętrzne, wersje, licencje oraz znane podatności w produkcie oprogramowania. Jest często używana do generowania SBOM-ów, utrzymywania ich aktualności między wydaniami i zasilania monitorowania podatności na potrzeby art. 13 CRA.
SPDX - Wymiana Danych Pakietów Oprogramowania
Standard ISO/IEC 5962:2021 do komunikowania informacji o liście materiałów oprogramowania. Opracowany przez Linux Foundation. Szeroko stosowany do zgodności licencji i śledzenia podatności. Wersja 2.2.1+ zalecana dla zgodności CRA.
T
TR-03183
Wytyczne Techniczne niemieckiego BSI (Federalnego Urzędu Bezpieczeństwa Informacji) zawierające szczegółowe wymagania dotyczące tworzenia i zarządzania SBOM. Szeroko przywoływane jako najlepsza praktyka zgodności z Artykułem 13 CRA. Określa minimalne pola SBOM, formaty i wymagania aktualizacji.
U
Unijne Rozporządzenie w sprawie Maszyn - Rozporządzenie (UE) 2023/1230
Rozporządzenie UE zastępujące Dyrektywę Maszynową 2006/42/WE, stosowane od 20 stycznia 2027 r. Wymaga dowodów bezpieczeństwa cybernetycznego w dokumentacji technicznej (Załącznik III §1.1.9 — ochrona przed uszkodzeniem) dla maszyn z elementami cyfrowymi. Produkty z elementami cyfrowymi muszą jednocześnie spełniać wymogi tego rozporządzenia i CRA.
Upoważniony przedstawiciel - Artykuł 18
Under Article 18(1) of Regulation (EU) 2024/2847 (the EU Cyber Resilience Act), a manufacturer may, by written mandate, appoint an EU-established legal or natural person as authorised representative. Appointment is optional under the CRA, unlike MDR Article 11 or RED Article 5 which require an authorised representative for non-EU manufacturers. Under Article 18(3), the authorised representative holds the EU Declaration of Conformity and the technical documentation at the disposal of market surveillance authorities for at least 10 years (or the support period, whichever is longer), provides information on reasoned request, and cooperates on actions taken to eliminate risks. Article 18(2) excludes the substantive Article 13 cybersecurity obligations from the mandate. Distinct from the Article 19 importer role. See the Article 18 explainer at /cra-authorised-representative.
V
VEX - Wymiana Informacji o Exploitowalności Luk
Dokument komunikujący status możliwości wykorzystania podatności w konkretnym produkcie. Określa, czy CVE dotyczy Twojego produktu (dotknięty, niedotknięty, naprawiony, w trakcie badania). Pomaga użytkownikom końcowym zmniejszyć zmęczenie alertami z powodu fałszywych alarmów.
VKB - Baza Wiedzy o Podatnościach
Ciągle aktualizowana baza danych podatności, która agreguje komunikaty z wielu źródeł — takich jak NVD/cvelistV5, OSV.dev, GitHub Advisories, CISA KEV i EPSS — w jedną przeszukiwalną bazę wiedzy. Zamiast skanować zależności na żądanie wobec jednego źródła, VKB utrzymuje lokalny mirror wszystkich znanych podatności i porównuje je z komponentami oprogramowania w miarę publikacji nowych CVE. Skraca to opóźnienie wykrywania z godzin lub dni do minut, a krzyżowe odwoływanie się do wielu źródeł zmniejsza ryzyko przeoczonych komunikatów.
W
Ważny produkt (Klasa I) - CRA Załącznik III, Część I
Produkty z elementami cyfrowymi, które pełnią funkcję istotną dla cyberbezpieczeństwa lub niosą podwyższone ryzyko. Klasa I obejmuje systemy zarządzania tożsamością, VPN, narzędzia do zarządzania siecią, systemy SIEM, menedżery rozruchu i inne kategorie wymienione w Załączniku III Część I CRA. Producenci muszą stosować normy zharmonizowane obejmujące wszystkie wymagania zasadnicze (umożliwiające samoocenę) lub poddać się ocenie zgodności przez stronę trzecią w jednostce notyfikowanej.
Ważny produkt (Klasa II) - CRA Załącznik III, Część II
Produkty z elementami cyfrowymi, które pełnią krytyczne funkcje cyberbezpieczeństwa i niosą znaczące ryzyko. Klasa II obejmuje systemy operacyjne, hiperwizory, zapory sieciowe, systemy wykrywania włamań, mikrokontrolery, systemy automatyki przemysłowej i inne kategorie wymienione w Załączniku III Część II CRA. Produkty te zawsze wymagają oceny zgodności przez stronę trzecią w jednostce notyfikowanej, niezależnie od tego, czy istnieją normy zharmonizowane.
Z
Załącznik VII
Załącznik VII CRA określa minimalną treść Deklaracji Zgodności UE, którą producenci muszą sporządzić dla produktów z elementami cyfrowymi. Obejmuje identyfikację produktu, dane producenta, zastosowane normy i podpis upoważnionego przedstawiciela.
Gotowy na zgodność z CRA?
CRA Evidence pomaga zarządzać SBOM-ami, śledzić podatności i generować dokumentację gotową do audytu.