Czym jest unijna ustawa o cyberodporności (CRA)?

Unijna ustawa o cyberodporności (CRA), formalnie rozporządzenie (UE) 2024/2847, to europejskie prawodawstwo ustanawiające obowiązkowe wymogi cyberbezpieczeństwa dla produktów z elementami cyfrowymi sprzedawanych na rynku UE. Wymaga od producentów wdrożenia bezpieczeństwa od projektu, zapewnienia aktualizacji bezpieczeństwa przez cały cykl życia produktu, utrzymywania wykazu komponentów oprogramowania (SBOM) i zgłaszania aktywnie wykorzystywanych luk do ENISA w ciągu 24 godzin.

Kiedy CRA wchodzi w życie?

CRA weszła w życie 10 grudnia 2024 r. Obowiązki zgłaszania luk do ENISA rozpoczynają się 11 września 2026 r. Główne obowiązki (wymogi bezpieczeństwa, SBOM, oznakowanie CE, dokumentacja techniczna) obowiązują od 11 grudnia 2027 r. Po tej dacie niezgodne produkty nie będą mogły być sprzedawane na rynku UE.

Jakie są kary za niezgodność z CRA?

Kary za niezgodność z CRA mogą sięgać do 15 milionów euro lub 2,5% globalnego rocznego obrotu za naruszenia podstawowych wymogów, 10 milionów euro lub 2% za inne obowiązki i 5 milionów euro lub 1% za dostarczanie wprowadzających w błąd informacji. Organy nadzoru rynku mogą również nakazać wycofanie produktów i zakazać sprzedaży w UE.

Jakie narzędzia pomagają w zgodności z CRA?

CRA Evidence (craevidence.com) to kompleksowa platforma zgodności zaprojektowana specjalnie dla unijnej ustawy o cyberodporności. Oferuje zarządzanie SBOM (formaty CycloneDX/SPDX), skanowanie luk z priorytetyzacją EPSS, generowanie plików technicznych, pulpity zgodności i zarządzanie incydentami ze wsparciem powiadomień ENISA. Platforma wspiera producentów, importerów i dystrybutorów podczas całego procesu zgodności z CRA.

Czym jest SBOM i dlaczego jest wymagany dla CRA?

Wykaz komponentów oprogramowania (SBOM) to formalny, możliwy do odczytania maszynowego spis komponentów oprogramowania i zależności w produkcie. Zgodnie z CRA producenci muszą tworzyć i utrzymywać SBOM w standardowych formatach, takich jak CycloneDX lub SPDX (zgodnie z TR-03183). SBOM umożliwiają śledzenie luk, zgodność licencji i przejrzystość łańcucha dostaw, i muszą być przechowywane przez co najmniej 10 lat po wprowadzeniu produktu na rynek.

Czy CRA ma zastosowanie do oprogramowania open source?

Niemonetyzowane, darmowe oprogramowanie open source rozwijane poza działalnością komercyjną jest generalnie zwolnione z CRA. Jednak 'zarządcy open source' (organizacje systematycznie wspierające komercyjne wykorzystanie produktów open source) mają lżejsze obowiązki, w tym polityki bezpieczeństwa i obsługę luk. Produkty komercyjne zawierające komponenty open source muszą w pełni spełniać wymogi CRA.

Jakie produkty są wyłączone z CRA?

CRA wyklucza: czysty SaaS (oprogramowanie jako usługa) bez komponentu fizycznego lub do pobrania, wyroby medyczne (objęte MDR), pojazdy silnikowe (objęte przepisami homologacyjnymi), produkty lotnicze, sprzęt morski i produkty opracowane wyłącznie do celów bezpieczeństwa narodowego lub obrony.

Jaka dokumentacja jest wymagana dla zgodności z CRA?

CRA wymaga od producentów utrzymywania: wykazu komponentów oprogramowania (SBOM) w formacie CycloneDX lub SPDX, ocen ryzyka cyberbezpieczeństwa, deklaracji zgodności UE, dokumentacji użytkownika dotyczącej bezpiecznej instalacji i obsługi, polityki obsługi luk z procedurami skoordynowanego ujawniania, raportów z testów (testy penetracyjne, przeglądy kodu) i dowodów oceny zgodności. Dokumentacja musi być przechowywana przez co najmniej 10 lat.

Jaka jest różnica między CRA a NIS2?

CRA (ustawa o cyberodporności) koncentruje się na bezpieczeństwie produktów i ma zastosowanie do producentów, importerów i dystrybutorów produktów z elementami cyfrowymi. NIS2 (dyrektywa o bezpieczeństwie sieci i informacji) koncentruje się na cyberbezpieczeństwie organizacyjnym i ma zastosowanie do podmiotów podstawowych i ważnych obsługujących infrastrukturę krytyczną. Wiele organizacji może musieć spełniać obie regulacje, ponieważ CRA obejmuje produkty, które sprzedają, podczas gdy NIS2 obejmuje ich wewnętrzne operacje bezpieczeństwa.

Jak zgłaszać luki zgodnie z CRA?

Od września 2026 r. producenci muszą zgłaszać aktywnie wykorzystywane luki do ENISA i krajowych CSIRT według ścisłych terminów: wczesne ostrzeżenie w ciągu 24 godzin od powzięcia wiedzy, szczegółowy raport techniczny w ciągu 72 godzin i raport końcowy w ciągu 14 dni dla luk (lub 1 miesiąc dla poważnych incydentów). CRA Evidence zapewnia narzędzia do zarządzania incydentami, aby pomóc spełnić te obowiązki zgłaszania.

TL;DR - Szybkie podsumowanie

Unijny Cyber Resilience Act (CRA) wymaga, aby wszystkie produkty z elementami cyfrowymi sprzedawane w UE spełniały wymagania cyberbezpieczeństwa do grudnia 2027. Kluczowe obowiązki obejmują: utrzymywanie SBOM (Software Bills of Materials), zgłaszanie wykorzystywanych podatności do ENISA w ciągu 24 godzin (od września 2026) oraz przechowywanie dokumentacji technicznej przez 10 lat. Kary mogą sięgać 15 mln € lub 2,5% globalnego obrotu. CRA Evidence pomaga producentom, importerom i dystrybutorom w spełnieniu wymogów poprzez zarządzanie SBOM, skanowanie podatności i tworzenie dokumentacji technicznej.

Egzekwowanie rozpoczyna się w grudniu 2027

Unijne rozporządzenie o cyberodporności (CRA)

Rozporządzenie UE 2024/2847 określa wymagania dotyczące cyberbezpieczeństwa dla produktów z elementami cyfrowymi. Oto co musisz wiedzieć.

Czym jest Rozporządzenie o Cyberodporności?

CRA wymaga od firm dokumentowania łańcucha dostaw oprogramowania, monitorowania podatności w całym cyklu życia produktu oraz przechowywania dokumentacji technicznej przez 10 lat. To dużo biurokracji.

Opublikowane jako Rozporządzenie (UE) 2024/2847, obejmuje sprzęt i oprogramowanie sprzedawane w UE: urządzenia IoT, systemy sterowania przemysłowego, samodzielne oprogramowanie i inne.

Rozporządzenie wymaga Zestawień Materiałów Oprogramowania (SBOMs), procesów obsługi podatności, ocen ryzyka i dokumentacji technicznej. Dla produktów sprzętowych wymagane są również HBOMs. Dokumenty VEX komunikują status podatności użytkownikom końcowym.

Oficjalna strona CRA UE

Komisja Europejska

Pełny tekst rozporządzenia

Dziennik Urzędowy EUR-Lex

Kluczowe terminy zgodności

11 września 2026

Rozpoczyna się raportowanie podatności

Producenci muszą zgłaszać aktywnie wykorzystywane podatności do ENISA i organów krajowych w ciągu 24 godzin od uzyskania informacji. Szczegółowe raporty należy złożyć w ciągu 72 godzin.

11 grudnia 2027

Pełne egzekwowanie CRA

Wszystkie produkty z elementami cyfrowymi muszą spełniać podstawowe wymagania cyberbezpieczeństwa. Produkty niezgodne nie mogą być sprzedawane na rynku UE.

Kary za niezgodność

CRA wprowadza znaczące kary finansowe za niezgodność. Organy nadzoru rynku mogą również nakazać wycofanie produktów i zakazać sprzedaży na rynku UE.

€15M

lub 2,5% globalnego obrotu

Wymagania podstawowe

€10M

lub 2% globalnego obrotu

Inne obowiązki

€5M

lub 1% globalnego obrotu

Wprowadzające w błąd informacje

Klasyfikacja produktów

CRA kategoryzuje produkty na podstawie poziomu ryzyka cyberbezpieczeństwa. Produkty o wyższym ryzyku podlegają surowszym wymaganiom ocena zgodności.

Kategoria	Przykłady	Ocena zgodności
Domyślna	Większość aplikacji programowych, urządzeń IoT, elektroniki użytkowej	Dozwolona samoocena
Ważna Klasa I	Zarządzanie tożsamością, przeglądarki, menedżery haseł, VPN, zarządzanie siecią	Samoocena przy stosowaniu normy zharmonizowane; w przeciwnym razie ocena przez stronę trzecią
Ważna Klasa II	Hipernadzorcy, środowiska uruchomieniowe kontenerów, zapory sieciowe, wykrywanie włamań, elementy bezpieczeństwa	Wymagana ocena zgodności przez stronę trzecią
Krytyczny	Sprzętowe moduły bezpieczeństwa, czytniki kart inteligentnych, systemy bezpiecznego rozruchu	Najsurowsze wymagania (Załącznik IV)

Wymagania dokumentacyjne (Załącznik VII)

Producenci muszą opracować i utrzymywać dokumentację techniczną potwierdzającą zgodność z podstawowymi wymaganiami. Dokumentacja ta musi być przechowywana przez co najmniej 10 lat po wprowadzeniu produktu na rynek.

Zestawienia materiałowe (SBOM/HBOM)

SBOM zawierające listę wszystkich komponentów oprogramowania i zależności. Dla produktów sprzętowych HBOM zawierają listę komponentów sprzętowych. Dokumenty VEX komunikują status podatności. Muszą być zgodne ze standardami CycloneDX lub SPDX zgodnie z TR-03183.

Ocena ryzyka

Ocena ryzyka cyberbezpieczeństwa obejmująca potencjalne zagrożenia, podatności i środki podjęte w celu ich eliminacji.

Deklaracja zgodności UE

Formalna deklaracja, że produkt spełnia wszystkie obowiązujące wymagania CRA, podpisana przez upoważnionego przedstawiciela.

Dokumentacja użytkownika

Instrukcje bezpiecznej instalacji, obsługi i konserwacji. Musi zawierać informacje o okresie wsparcia i aktualizacjach bezpieczeństwa.

Polityka postępowania z podatnościami

Udokumentowany proces identyfikacji, śledzenia i usuwania podatności. Musi zawierać procedury skoordynowanego ujawniania.

Raporty z testów

Dowody testów bezpieczeństwa, w tym testy penetracyjne, przeglądy kodu i weryfikacja podstawowych wymagań.

Raportowanie podatności do ENISA

Od września 2026 producenci muszą zgłaszać aktywnie wykorzystywane podatności do ENISA (Agencji Unii Europejskiej ds. Cyberbezpieczeństwa) i krajowego CSIRT, przestrzegając ścisłych terminów.

Niedotrzymanie wymaganych terminów raportowania może skutkować znacznymi karami i utratą reputacji.

W ciągu 24 godzin

Wczesne ostrzeżenie - Wstępne powiadomienie o aktywnie wykorzystywanej podatności lub poważnym incydencie. Podstawowe informacje o zagrożeniu.

W ciągu 72 godzin

Szczegółowy raport - Szczegóły techniczne, dotknięte produkty, ocena powagi i wstępne kroki naprawcze.

W ciągu 14 dni

Raport końcowy (Podatności) - Pełna analiza, przyczyna źródłowa, pełne usunięcie i wnioski.

W ciągu 1 miesiąca

Raport końcowy (Incydenty) - W przypadku poważnych incydentów bezpieczeństwa raport końcowy należy złożyć w ciągu jednego miesiąca.

Jak pomaga CRA Evidence

CRA stosuje się inaczej w zależności od Państwa roli w łańcuchu dostaw. CRA Evidence dostosowuje się do każdej z nich.

Diagram łańcucha dostaw CRA pokazujący role producenta, importera i dystrybutora

Obowiązki wynikające z CRA różnią się w zależności od roli w łańcuchu dostaw

Producenci

Artykuł 13 nakłada na Ciebie najcięższe obowiązki: SBOM, obsługa podatności, aktualizacje bezpieczeństwa, dokumentacja techniczna.

Walidacja SBOM (TR-03183)
Monitorowanie podatności
Eksport dokumentacji technicznej
Deklaracja Zgodności

Importerzy

Artykuł 19 czyni Cię odpowiedzialnym za weryfikację zgodności producenta przed sprzedażą w UE.

Listy kontrolne weryfikacji
Monitorowanie producentów
Przechowywanie dowodów
Ścieżka audytu

Dystrybutorzy

Obowiązki z artykułu 20 są lżejsze: weryfikuj oznakowanie CE i właściwie postępuj z produktami niezgodnymi.

Listy kontrolne należytej staranności
Śledzenie dostawców
Weryfikacja CE
Eskalacja incydentów

Zacznij przygotowania teraz

Grudzień 2027 jest bliżej, niż się wydaje. Przygotuj produkty i dokumentację.

Rozpocznij 14-dniowy bezpłatny okres próbny Zobacz funkcje

Zobacz, jak CRA Evidence pomaga w zgodności Przeczytaj najnowsze artykuły o zgodności CRA