Wdrożenie i prowadzenie programu

Wdrożenie techniczne i kierowanie programem dla unijnego Cyber Resilience Act.

Potrzebują Państwo kogoś, kto przejmie Państwa program CRA? Prowadzimy prace techniczne wspólnie z Państwa zespołem, korzystając z narzędzi pasujących do Państwa stosu.

Umów bezpłatną rozmowę strategiczną CRA
Nowość w akcie o cyberodporności? Proszę przeczytać bezpłatny przewodnik po zgodności z CRA
Jak współpracujemy

Trzy sytuacje, trzy pakiety.

Każdy pakiet odpowiada konkretnej sytuacji: przygotowanie do terminu zgłaszania z 11 września 2026 r., prowadzenie międzyzespołowych prac CRA, których zespół nie ma mocy przejąć, lub gotowość na pierwszą podatność podlegającą zgłoszeniu albo pierwsze pismo od organu.

Zakres jest stały i ustalany z góry. Czas trwania omawiamy podczas rozmowy strategicznej, ponieważ realne terminy zależą od liczby produktów i zakresu już wykonanych prac.

Proszę wybrać pasujący pakiet

Sprint gotowości technicznej CRA

Projekt o stałym zakresie
Dla kogo

Producenci bez wewnętrznego właściciela CRA, z jedną do trzech linii produktowych, przygotowujący się do terminu zgłaszania z 11 września 2026 r.

Co Państwo otrzymują
  • Pisemny opis zakresu CRA dla każdej linii produktowej, obejmujący obowiązki z Artykułu 13 i decyzje klasyfikacyjne
  • Priorytetyzowana analiza luk względem Załącznika I, wraz z planem naprawczym do realizacji przez Państwa lidera inżynierii
  • Dokumentacja techniczna zgodna z Załącznikiem VII, zatwierdzona przez Państwa lidera inżynierii
  • Operacyjny proces obsługi podatności, prowadzony przez Państwa zespół w sposób ciągły, a nie jednorazowe skanowanie
  • Pisemny runbook zgłaszania podatności dopasowany do terminów z Artykułu 14
Zakres i cena ustalane podczas rozmowy strategicznej.

Prowadzenie programu CRA

Stały abonament, kadencja ustalana z Państwa zespołem
Dla kogo

Firmy, w których nikt nie prowadzi międzyzespołowych prac CRA, a założyciel lub CTO zajmuje się tym nieformalnie.

Co Państwo otrzymują
  • Techniczna odpowiedzialność za Państwa program CRA, z rytmem pracy ustalonym z zespołami produktu, inżynierii i bezpieczeństwa
  • Aktywny kalendarz obowiązków powiązany z terminami CRA, aktualizowany wraz ze zmianą obowiązków i norm
  • Dokumentacja techniczna aktualizowana na bieżąco wraz z wydawaniem kolejnych produktów, a nie dokument niszczejący pomiędzy audytami
  • Operacyjny proces reagowania na podatności, który inżynier dyżurny może poprowadzić bez wątpliwości
  • Regularne przeglądy zgodności względem obowiązków z Załącznika I, ze ścieżkami eskalacji ustalonymi z wyprzedzeniem
Zakres i cena ustalane podczas rozmowy strategicznej.

Plan reagowania na incydenty i kontakt z organami

Projekt wdrożeniowy plus abonament dyżurowy
Dla kogo

Zespoły, których realnym zmartwieniem jest pierwsza podatność podlegająca zgłoszeniu lub pierwsze pismo od ENISA albo krajowego organu.

Co Państwo otrzymują
  • Pisemny podręcznik reagowania na incydenty, który inżynier dyżurny może zrealizować w reżimie czasowym Artykułu 14
  • Szablony wczesnego ostrzeżenia i powiadomień o incydencie, przygotowane dla każdego krajowego CSIRT, który mają Państwo obowiązek powiadomić
  • Okno dyżuru obejmujące incydenty podlegające zgłoszeniu w okresie abonamentu
  • Runbook przygotowania pełnego pakietu dowodów na żądanie organu nadzoru rynku
Zakres i cena ustalane podczas rozmowy strategicznej.

Wycena dla każdego pakietu

Nie publikujemy widełek cenowych. Kształt projektu CRA zależy od Państwa roli w rozumieniu rozporządzenia, złożoności technicznej produktów i zakresu już wykonanych prac. Startup z jednym złożonym produktem wbudowanym to inny projekt niż producent z kilkunastoma prostszymi SKU. Dokładną kwotę ustalamy podczas 30-minutowej rozmowy strategicznej, a pisemną propozycję z zakresem dostarczamy w ciągu 48 godzin.

Pracujemy z Państwa istniejącymi narzędziami

Każdy pakiet jest niezależny od narzędzi. Prowadzimy prace techniczne wewnątrz Państwa stosu, niezależnie od tego, czy jest to open source (CycloneDX, SPDX, Grype, Trivy), narzędzia komercyjne, za które już Państwo płacą, czy systemy wewnętrzne zbudowane przez Państwa zespół. Tam, gdzie platforma CRA Evidence jest odpowiednim rozwiązaniem, zaproponujemy ją, ale nigdy nie jest wymagana ani nie stanowi rezultatu. Rezultatem są efekty zgodności.

Dlaczego to działa

Zbudowaliśmy CRA Evidence w oparciu o pełny tekst Rozporządzenia (UE) 2024/2847, Załączniki od I do VIII oraz 41 norm zharmonizowanych w ramach wniosku normalizacyjnego Komisji M/606. Platforma mapuje każdy obowiązek na dowód, przepływ pracy i raportowanie. To samo mapowanie napędza każdy pakiet.

CRA Evidence zostało zbudowane przez inżynierów z doświadczeniem w infrastrukturze i bezpieczeństwie chmury w europejskich firmach technologicznych. Platforma i każdy pakiet odzwierciedlają to operacyjne doświadczenie.

Podejmujemy się ograniczonej liczby nowych programów CRA w każdym kwartale, aby utrzymać wysoką jakość realizacji. Każdy pakiet prowadzony jest przez tych samych doświadczonych specjalistów, którzy budują platformę.

Co dzieje się podczas 30-minutowej rozmowy

Rozmowa robocza, a nie sprzedażowa. Obejmuje trzy rzeczy, w tej kolejności:

1
Państwa rola w rozumieniu rozporządzenia. Producent, importer i dystrybutor mają różne obowiązki. Prawidłowe ustalenie tego decyduje o dopasowaniu pakietu.
2
Który pakiet pasuje, lub czy wystarczy sama platforma. Nie każda firma potrzebuje wsparcia wdrożeniowego. Jeśli lepszym dopasowaniem jest sama platforma, powiemy to.
3
Pisemna propozycja z zakresem w ciągu 48 godzin. Po rozmowie otrzymują Państwo pisemną propozycję z zakresem, rezultatami i ceną dopasowaną do Państwa sytuacji.

Zakres i ograniczenia

CRA Evidence dostarcza platformę zgodności i techniczne usługi wdrożeniowe. Jesteśmy transparentni co do tego, czym jesteśmy i czym nie jesteśmy.

Nie jesteśmy jednostką notyfikowaną. Nie przeprowadzamy oceny zgodności w rozumieniu Artykułu 32 Rozporządzenia (UE) 2024/2847, a nasze usługi nie stanowią oceny zgodności ani certyfikacji Państwa produktów. Tam, gdzie produkt wymaga oceny zgodności przez stronę trzecią, należy zaangażować akredytowaną jednostkę notyfikowaną.

Nie jesteśmy kancelarią prawną. Nie udzielamy porad prawnych. W zakresie interpretacji regulacyjnej, opinii prawnych dotyczących klasyfikacji produktów lub pytań o zgodność kontraktową współpracujemy z Państwa doradcami prawnymi.

Jesteśmy komercyjnym dostawcą platformy CRA Evidence. Nasze usługi wdrożeniowe są niezależne od platformy: pracujemy z dowolnymi narzędziami pasującymi do Państwa sytuacji, w tym z oprogramowaniem open source, komercyjnym oprogramowaniem stron trzecich, za które już Państwo płacą, oraz z naszą platformą tam, gdzie jest to najlepsze dopasowanie. Jeśli Państwa potrzeby zostaną lepiej zaspokojone przez narzędzia lub usługi spoza naszego produktu, powiemy to.

Najczęściej zadawane pytania

Oba, i są niezależne. CRA Evidence to platforma SaaS do zgodności z unijnym aktem o cyberodporności, z której można korzystać samodzielnie, a dodatkowo świadczymy praktyczne usługi wdrożeniowe prowadzone przez inżynierów infrastruktury. Usługi są niezależne od narzędzi: pracujemy wewnątrz Państwa istniejącego stosu technologicznego, korzystając z oprogramowania open source, narzędzi komercyjnych, za które już Państwo płacą, lub naszej platformy, jeśli to najlepsze dopasowanie. Dostępne są trzy pakiety o stałym zakresie: Sprint gotowości technicznej dla producentów przygotowujących się do terminu zgłaszania z 11 września 2026 r., abonament Prowadzenia programu dla stałej odpowiedzialności technicznej za Państwa program CRA oraz Plan reagowania na incydenty i kontakt z organami obejmujący zgłaszanie podatności i pisma z nadzoru rynku.

Nie publikujemy widełek cenowych, ponieważ zakres zależy od zbyt wielu realnych zmiennych: Państwa roli w rozumieniu rozporządzenia, złożoności technicznej każdego produktu, liczby wprowadzanych do obrotu produktów, zakresu prac wykonanych wewnętrznie oraz narzędzi, z których Państwo korzystają. Startup z jednym złożonym produktem wbudowanym to inny projekt niż producent z kilkunastoma prostszymi SKU. Dokładną kwotę ustalamy podczas 30-minutowej rozmowy strategicznej, a pisemna propozycja z zakresem trafi do Państwa skrzynki w ciągu 48 godzin.

Nie w obu przypadkach. CRA Evidence nie jest jednostką notyfikowaną. Nie przeprowadzamy oceny zgodności w rozumieniu Artykułu 32 Rozporządzenia (UE) 2024/2847, a nasze usługi nie stanowią certyfikacji Państwa produktów. Tam, gdzie produkt wymaga oceny zgodności przez stronę trzecią, należy zaangażować akredytowaną jednostkę notyfikowaną. CRA Evidence nie jest również kancelarią prawną. W zakresie interpretacji regulacyjnej i opinii prawnych współpracujemy z Państwa własnymi doradcami prawnymi.

Firmy Big Four oferują doradztwo strategiczne i prawne, ale rzadko budują lub obsługują systemy techniczne, które sprawiają, że zgodność z CRA jest trwała. Pakiety CRA Evidence prowadzą inżynierowie infrastruktury i bezpieczeństwa chmury, którzy pracują wspólnie z Państwa zespołem inżynierii, aby opracować dokumentację techniczną, uruchomić proces obsługi podatności i zintegrować generowanie dowodów z istniejącymi potokami. Rezultaty są operacyjne, działające wewnątrz Państwa stosu, a nie prezentacja w slajdach.

CTO, wiceprezesi ds. inżynierii, liderzy bezpieczeństwa produktu oraz liderzy zgodności u unijnych producentów, importerów lub dystrybutorów produktów z elementami cyfrowymi. Rozmowa jest najbardziej przydatna, gdy wiedzą już Państwo, że mają obowiązki w ramach CRA, ale nikt w zespole nie ma mocy, by przejąć pracę międzyzespołową. Jeśli wciąż ustalają Państwo, czy CRA ma do Państwa zastosowanie, proszę zacząć od bezpłatnej Weryfikacji stosowania CRA.

Akt o cyberodporności dotyczy każdego producenta, importera lub dystrybutora wprowadzającego produkty z elementami cyfrowymi na rynek UE, we wszystkich branżach i niezależnie od wielkości firmy. Nasze projekty są najbardziej przydatne, gdy obowiązki CRA są realne, a żaden zespół wewnętrznie nie przejął jeszcze pracy międzyzespołowej, niezależnie od tego, czy chodzi o 15-osobowy startup wypuszczający swój pierwszy produkt podłączony do sieci, czy o większego producenta z kilkunastoma liniami produktowymi. W razie wątpliwości co do dopasowania, proszę umówić rozmowę strategiczną, a powiemy szczerze.

Tak. Platforma i usługi są niezależne. Można używać platformy CRA Evidence w trybie samoobsługi z 14-dniowym bezpłatnym okresem próbnym i cennikiem opartym na rolach, bez angażowania nas do doradztwa. Usługi są dla firm, w których nikt wewnętrznie nie prowadzi międzyzespołowej pracy CRA, albo w których konkretnym zmartwieniem jest pierwsza podatność podlegająca zgłoszeniu lub pierwsze pismo od organu. Usługi nie wymagają też naszej platformy: projekt działa z każdym zestawem narzędzi pasującym do Państwa stosu. Cennik samoobsługowy dostępny jest na osobnej stronie.

Akt o cyberodporności dotyczy każdej firmy wprowadzającej produkty z elementami cyfrowymi na rynek UE, niezależnie od tego, gdzie firma ma siedzibę. Usługi są obecnie świadczone w języku angielskim firmom z Unii Europejskiej. Producenci, importerzy i dystrybutorzy spoza UE obecni na rynku UE mogą umówić rozmowę strategiczną, aby omówić dopasowanie.

11 września 2026 r. to data, od której zaczynają obowiązywać obowiązki zgłaszania podatności i incydentów wynikające z Artykułu 14 Rozporządzenia (UE) 2024/2847. Producenci muszą być w stanie zgłosić aktywnie wykorzystywane podatności oraz poważne incydenty do ENISA i właściwego krajowego CSIRT w ciągu 24 godzin, z powiadomieniem uzupełniającym po 72 godzinach i raportem końcowym po 14 dniach. Całość CRA zaczyna obowiązywać 11 grudnia 2027 r. Pełny harmonogram opisaliśmy w naszym przewodniku po zgodności z CRA.
Kolejny krok

Jeśli Państwa sytuacja pasuje do jednego z trzech pakietów lub mają Państwo wątpliwości, proszę o tym napisać, a odpowiemy w ciągu 48 godzin.

Otrzymają Państwo na skrzynkę mailową szczegółową ofertę pisemną, bez presji na kontynuację.

Skontaktuj się

Wolą Państwo od razu zarezerwować termin? Proszę zarezerwować 30-minutową rozmowę strategiczną.