Wdrożenie techniczne i kierowanie programem dla unijnego Cyber Resilience Act

Potrzebują Państwo kogoś, kto przejmie Państwa program CRA? Prowadzimy prace techniczne wspólnie z Państwa zespołem, korzystając z narzędzi pasujących do Państwa stosu.

Obowiązki raportowania CRA rozpoczynają się 11 września 2026 r. Zaplanuj swój program już teraz.

Umów bezpłatną rozmowę strategiczną CRA
Nowość w akcie o cyberodporności? Proszę przeczytać bezpłatny przewodnik po zgodności z CRA
Jak współpracujemy

Trzy typowe punkty wyjścia. Każdy projekt dopasowujemy do Twojej sytuacji.

To trzy sytuacje, które widzimy najczęściej: przygotowanie do terminu raportowania 11 września 2026 r., przejęcie międzydziałowej pracy nad CRA, której Twój zespół nie ma jak udźwignąć, albo przygotowanie na pierwszą podatność podlegającą zgłoszeniu lub pierwsze pismo od organu. Większość projektów to połączenie tych sytuacji, a wiele nie przypomina tej listy w ogóle. Dopasowujemy się do sytuacji, w której naprawdę jesteś.

Zakres jest stały i ustalany z góry. Czas trwania omawiamy podczas rozmowy strategicznej, ponieważ realne terminy zależą od liczby produktów i zakresu już wykonanych prac.

Od czego zwykle zaczynają zespoły

Sprint gotowości technicznej CRA

Dla kogo

Producenci bez wewnętrznego właściciela CRA, z jedną do trzech linii produktowych, którzy muszą być gotowi na zgłaszanie na podstawie Artykułu 14 od 11 września 2026 r., równolegle budując dokumentację techniczną i kontrole z Załącznika I wymagane do pełnego stosowania CRA 11 grudnia 2027 r.

Co Państwo otrzymują
  • Pisemny opis zakresu CRA dla każdej linii produktowej, obejmujący obowiązki z Artykułu 13 i decyzje klasyfikacyjne
  • Priorytetyzowana analiza luk względem Załącznika I, wraz z planem naprawczym do realizacji przez Państwa lidera inżynierii
  • Dokumentacja techniczna CRA zgodna z załącznikiem VII, podpisana przez Twojego kierownika inżynierii
  • Operacyjny proces obsługi podatności, prowadzony przez Państwa zespół w sposób ciągły, a nie jednorazowe skanowanie
  • Pisemny runbook zgłaszania podatności dopasowany do terminów z Artykułu 14

Prowadzenie programu CRA

Dla kogo

Firmy, w których nikt nie prowadzi międzyzespołowych prac CRA, a założyciel lub CTO zajmuje się tym nieformalnie.

Za co bierzemy odpowiedzialność
  • Odpowiedzialność za program CRA, z koordynacją prac zespołów produktu, inżynierii, bezpieczeństwa i kierownictwa przez CRA Evidence
  • Wsparcie wdrożeniowe dla kontroli technicznych, luk w dowodach i pytań o zakres, które blokują postęp
  • Aktywny kalendarz obowiązków powiązany z terminami CRA, wydaniami produktów, normami i otwartymi odpowiedzialnościami
  • Dokumentacja techniczna utrzymywana przez nas na bieżąco wraz z wydawaniem produktów, tak aby dowody nie dezaktualizowały się między audytami
  • Operacyjna odpowiedzialność za reagowanie na podatności, z przeglądami względem obowiązków z Załącznika I i uzgodnionymi ścieżkami eskalacji

Plan reagowania na incydenty i kontakt z organami

Dla kogo

Zespoły, których realnym zmartwieniem jest pierwsza podatność podlegająca zgłoszeniu lub pierwsze pismo od ENISA albo krajowego organu.

Co obejmuje zakres
  • Pisemny podręcznik reagowania na incydenty, który inżynier dyżurny może zrealizować w reżimie czasowym Artykułu 14
  • Szablony wczesnego ostrzeżenia i powiadomień o incydencie, przygotowane dla każdego krajowego CSIRT, który mają Państwo obowiązek powiadomić
  • Okno dyżuru obejmujące incydenty podlegające zgłoszeniu w okresie abonamentu
  • Runbook przygotowania pełnego pakietu dowodów na żądanie organu nadzoru rynku
Nie ma tego na liście?

Twoja sytuacja wygląda inaczej?

Wiele zespołów nie pasuje dokładnie do żadnej z trzech sytuacji i to jest w porządku. Większość projektów okazuje się połączeniem, a niektóre to coś zupełnie innego. Powiedz nam, z czym naprawdę się mierzysz, a przygotujemy projekt dopasowany do Twojej sytuacji. Podczas rozmowy o planie działania ustalamy właściwy kształt albo to, czy lepszym wyborem jest samoobsługa.

Umów bezpłatną rozmowę strategiczną CRA →

Wycena dla każdego pakietu

Nie publikujemy widełek cenowych. Kształt projektu CRA zależy od Państwa roli w rozumieniu rozporządzenia, złożoności technicznej produktów i zakresu już wykonanych prac. Startup z jednym złożonym produktem wbudowanym to inny projekt niż producent z kilkunastoma prostszymi SKU. Dokładną kwotę ustalamy podczas 30-minutowej rozmowy strategicznej, a pisemną propozycję z zakresem dostarczamy w ciągu 48 godzin.

Pracujemy z Państwa istniejącymi narzędziami

Każdy pakiet jest niezależny od narzędzi. Prowadzimy prace techniczne wewnątrz Państwa stosu, niezależnie od tego, czy jest to open source (CycloneDX, SPDX, Grype, Trivy), narzędzia komercyjne, za które już Państwo płacą, czy systemy wewnętrzne zbudowane przez Państwa zespół. Tam, gdzie platforma CRA Evidence jest odpowiednim rozwiązaniem, zaproponujemy ją, ale nigdy nie jest wymagana ani nie stanowi rezultatu. Rezultatem są efekty zgodności.

Dlaczego to działa

Zbudowaliśmy CRA Evidence w oparciu o pełny tekst Rozporządzenia (UE) 2024/2847, Załączniki od I do VIII oraz 41 norm zharmonizowanych w ramach wniosku normalizacyjnego Komisji M/606. Platforma mapuje każdy obowiązek na dowód, przepływ pracy i raportowanie. To samo mapowanie napędza każdy pakiet.

CRA Evidence zostało zbudowane przez inżynierów, którzy w europejskich firmach technologicznych wprowadzali produkty, prowadzili programy podatności i utrzymywali dowody techniczne. Platforma i każdy projekt odzwierciedlają to operacyjne doświadczenie.

Podejmujemy się ograniczonej liczby nowych programów CRA w każdym kwartale, aby utrzymać wysoką jakość realizacji. Każdy pakiet prowadzony jest przez tych samych doświadczonych specjalistów, którzy budują platformę.

Co dzieje się podczas 30-minutowej rozmowy

Rozmowa robocza, a nie sprzedażowa. Obejmuje trzy rzeczy, w tej kolejności:

1
Państwa rola w rozumieniu rozporządzenia. Obowiązki producenta i importera się różnią. Przypadki wyłącznie dystrybutorskie zwykle lepiej obsługuje ścieżka samoobsługowa, a prawidłowe ustalenie tego decyduje o dopasowaniu pakietu.
2
Który pakiet pasuje, lub czy wystarczy sama platforma. Nie każda firma potrzebuje wsparcia wdrożeniowego. Jeśli lepszym dopasowaniem jest sama platforma, powiemy to.
3
Pisemna propozycja z zakresem w ciągu 48 godzin. Po rozmowie otrzymują Państwo pisemną propozycję z zakresem, rezultatami i ceną dopasowaną do Państwa sytuacji.

Zakres i ograniczenia

CRA Evidence dostarcza platformę zgodności i techniczne usługi wdrożeniowe. Jesteśmy transparentni co do tego, czym jesteśmy i czym nie jesteśmy.

Nie jesteśmy jednostką notyfikowaną. Nie przeprowadzamy oceny zgodności w rozumieniu Artykułu 32 Rozporządzenia (UE) 2024/2847, a nasze usługi nie stanowią oceny zgodności ani certyfikacji Państwa produktów. Tam, gdzie produkt wymaga oceny zgodności przez stronę trzecią, należy zaangażować akredytowaną jednostkę notyfikowaną.

Nie jesteśmy kancelarią prawną. Nie udzielamy porad prawnych. W zakresie interpretacji regulacyjnej, opinii prawnych dotyczących klasyfikacji produktów lub pytań o zgodność kontraktową współpracujemy z Państwa doradcami prawnymi.

Jesteśmy komercyjnym dostawcą platformy CRA Evidence. Nasze usługi wdrożeniowe są niezależne od platformy: pracujemy z dowolnymi narzędziami pasującymi do Państwa sytuacji, w tym z oprogramowaniem open source, komercyjnym oprogramowaniem stron trzecich, za które już Państwo płacą, oraz z naszą platformą tam, gdzie jest to najlepsze dopasowanie. Jeśli Państwa potrzeby zostaną lepiej zaspokojone przez narzędzia lub usługi spoza naszego produktu, powiemy to.

Najczęściej zadawane pytania

Oba, i są niezależne. CRA Evidence to platforma SaaS do zgodności z unijnym aktem o cyberodporności, z której można korzystać samodzielnie, a dodatkowo świadczymy praktyczne usługi wdrożeniowe prowadzone przez inżynierów infrastruktury. Usługi są niezależne od narzędzi: pracujemy wewnątrz Twojego istniejącego stosu technologicznego, korzystając z oprogramowania open source, narzędzi komercyjnych, za które już płacisz, lub naszej platformy, jeśli to najlepsze dopasowanie. Trzy projekty obejmują najczęstsze sytuacje: Sprint gotowości technicznej dla producentów przygotowujących się do terminu zgłaszania z 11 września 2026 r., abonament Prowadzenia programu dla stałej odpowiedzialności technicznej za Twój program CRA oraz Plan reagowania na incydenty i kontakt z organami obejmujący zgłaszanie podatności i pisma z nadzoru rynku. Większość projektów to połączenie tych elementów, a gdy Twoja sytuacja nie pasuje do żadnego, przygotowujemy projekt dopasowany do Twoich potrzeb.

Nie publikujemy widełek cenowych, ponieważ zakres zależy od zbyt wielu realnych zmiennych: Państwa roli w rozumieniu rozporządzenia, złożoności technicznej każdego produktu, liczby wprowadzanych do obrotu produktów, zakresu prac wykonanych wewnętrznie oraz narzędzi, z których Państwo korzystają. Startup z jednym złożonym produktem wbudowanym to inny projekt niż producent z kilkunastoma prostszymi SKU. Dokładną kwotę ustalamy podczas 30-minutowej rozmowy strategicznej, a pisemna propozycja z zakresem trafi do Państwa skrzynki w ciągu 48 godzin.

Nie w obu przypadkach. CRA Evidence nie jest jednostką notyfikowaną. Nie przeprowadzamy oceny zgodności w rozumieniu Artykułu 32 Rozporządzenia (UE) 2024/2847, a nasze usługi nie stanowią certyfikacji Państwa produktów. Tam, gdzie produkt wymaga oceny zgodności przez stronę trzecią, należy zaangażować akredytowaną jednostkę notyfikowaną. CRA Evidence nie jest również kancelarią prawną. W zakresie interpretacji regulacyjnej i opinii prawnych współpracujemy z Państwa własnymi doradcami prawnymi.

Firmy Big Four oferują doradztwo strategiczne i prawne, ale rzadko budują lub eksploatują systemy techniczne, które sprawiają, że zgodność z CRA jest trwała. Engagementy CRA Evidence prowadzą inżynierowie, którzy pracują ramię w ramię z Twoim zespołem, aby napisać dokumentację techniczną, uruchomić proces obsługi podatności i zintegrować generowanie dowodów z Twoimi istniejącymi pipeline'ami. Rezultaty są operacyjne, działają w Twoim stacku, a nie na slajdach.

CTO, wiceprezesi ds. inżynierii, liderzy bezpieczeństwa produktu oraz liderzy zgodności u producentów lub importerów wprowadzających produkty z elementami cyfrowymi na rynek UE. Rozmowa jest najbardziej przydatna, gdy wiedzą już Państwo, że mają obowiązki w ramach CRA, ale nikt w zespole nie ma mocy, by przejąć pracę międzyzespołową. Jeśli wciąż ustalają Państwo, czy CRA ma do Państwa zastosowanie, proszę zacząć od bezpłatnej Weryfikacji stosowania CRA.

Każda branża, każdy rozmiar. CRA dotyczy wszystkich, czy jesteś 15-osobowym startupem wprowadzającym pierwszy podłączony produkt, czy producentem z dziesiątkami linii produktowych. Engagementy są najbardziej przydatne, gdy obowiązki CRA są realne, a żaden zespół wewnętrzny nie odpowiada jeszcze za pracę międzydziałową.

Tak. Platforma i usługi są niezależne. Można używać platformy CRA Evidence w trybie samoobsługi z 14-dniowym bezpłatnym okresem próbnym i cennikiem opartym na rolach, bez angażowania nas do doradztwa. Usługi są dla firm, w których nikt wewnętrznie nie prowadzi międzyzespołowej pracy CRA, albo w których konkretnym zmartwieniem jest pierwsza podatność podlegająca zgłoszeniu lub pierwsze pismo od organu. Usługi nie wymagają też naszej platformy: projekt działa z każdym zestawem narzędzi pasującym do Państwa stosu. Cennik samoobsługowy dostępny jest na osobnej stronie.

Tak. Akt o cyberodporności dotyczy każdej firmy wprowadzającej produkty z elementami cyfrowymi na rynek UE, niezależnie od siedziby firmy. Jeśli wysyłasz produkty do UE, jesteś w zakresie i możemy pomóc. Projekty realizowane są po angielsku.

11 września 2026 r. to data, od której zaczynają obowiązywać obowiązki zgłaszania podatności i incydentów wynikające z Artykułu 14 Rozporządzenia (UE) 2024/2847. Producenci muszą być w stanie zgłosić aktywnie wykorzystywane podatności oraz poważne incydenty do ENISA i właściwego krajowego CSIRT w ciągu 24 godzin, z powiadomieniem uzupełniającym po 72 godzinach i raportem końcowym po 14 dniach w przypadku podatności lub w ciągu miesiąca w przypadku poważnych incydentów. Całość CRA zaczyna obowiązywać 11 grudnia 2027 r. Pełny harmonogram opisaliśmy w naszym przewodniku po zgodności z CRA.
Kolejny krok

Jeśli pasuje jeden z tych pakietów, proszę wskazać który. Jeśli potrzeba wdrożenia CRA jest inna, proszę napisać, w czym potrzebna jest pomoc.

Otrzymają Państwo na skrzynkę mailową szczegółową ofertę pisemną, bez presji na kontynuację.

Skontaktuj się

Wolą Państwo od razu zarezerwować termin? Proszę zarezerwować 30-minutową rozmowę strategiczną.