Cyber Resilience Act (CRA) to pierwsze unijne prawo cyberbezpieczeństwa dotyczące produktów. Od 11 grudnia 2027 r. wszystko, co jest sprzedawane na rynek UE i zawiera oprogramowanie albo układ scalony, musi być wprowadzane do obrotu z wbudowanym bezpieczeństwem, z wykazem materiałów oprogramowania (SBOM), z deklaracją zgodności UE oraz z procesem obsługi podatności prowadzonym przez cały okres wsparcia. Niniejsza strona omawia, czego wymaga ustawa, kiedy zaczyna gryźć i co dzieje się w razie jej zignorowania.
Podsumowanie
- CRA obowiązuje, ale jest jeszcze czas. Rozporządzenie (UE) 2024/2847 weszło w życie 10 grudnia 2024 r. i stosuje się w pełni od 11 grudnia 2027 r. (art. 71 ust. 2).
- Zgłaszanie startuje 15 miesięcy wcześniej. Od 11 września 2026 r. producenci muszą zgłaszać poważne incydenty oraz aktywnie wykorzystywane podatności do ENISA i swojego CSIRT (art. 14).
- Zgodność wytwarza cztery artefakty. SBOM, deklarację zgodności UE, dokumentację techniczną z załącznika VII oraz udokumentowany proces obsługi podatności. Tak właśnie wygląda gotowość do CRA.
- Kary są realne. Do 15 000 000 EUR lub 2,5% całkowitego rocznego obrotu na poziomie światowym, w zależności od tego, która kwota jest wyższa, dla najpoważniejszych naruszeń (art. 64 ust. 2).
- To nie jest GDPR ani NIS2. CRA reguluje cyberbezpieczeństwo samego produktu, a nie danych osobowych ani bezpieczeństwa operacyjnego podmiotów kluczowych.
- Twoje obowiązki zależą od roli i klasy produktu. Producent, importer, dystrybutor lub opiekun oprogramowania open source; klasa domyślna, klasa istotna I lub II albo produkt krytyczny. Sortuje to kolejna strona.
Cztery liczby definiujące CRA: kiedy się stosuje, kiedy startuje zgłaszanie, maksymalna kara oraz minimalny okres wsparcia dla aktualizacji bezpieczeństwa.
Co reguluje Cyber Resilience Act
CRA to rozporządzenie (UE) 2024/2847. Artykuł 1 obejmuje cztery obszary:
| Co obejmuje CRA | Gdzie jest to umiejscowione w rozporządzeniu |
|---|---|
| Zasady wprowadzania do obrotu na rynku UE produktów z elementami cyfrowymi | Rozdział I, artykuły 1 do 7 |
| Istotne wymogi cyberbezpieczeństwa dla projektowania, opracowania i wytwarzania | Załącznik I, część I, wraz z obowiązkami producenta z art. 13 |
| Obsługa podatności tak długo, jak produkt jest wspierany | Załącznik I, część II, art. 13 ust. 8 oraz art. 14 |
| Nadzór rynku i egzekwowanie zasad | Rozdział VII, artykuły 52 do 66 |
W praktyce CRA wprowadza reżim oznakowania CE dla cyberbezpieczeństwa. Produkt z elementami cyfrowymi (sprzęt, oprogramowanie albo komponent zdalnego przetwarzania danych dostarczany przez producenta) nie może zostać wprowadzony do obrotu na rynek UE, jeżeli producent nie potrafi wykazać, że spełnia on załącznik I i prowadzi proces obsługi podatności przez cały okres wsparcia.
CRA jest horyzontalne: tnie w poprzek kategorii produktów, zamiast siedzieć w pojedynczym sektorze. Tam, gdzie produkt jest już objęty sektorowym reżimem cyberbezpieczeństwa (wyroby medyczne, pojazdy silnikowe, lotnictwo cywilne, wyposażenie morskie albo obrona), art. 2 wykrawa nakładanie się reżimów, tak aby ten sam produkt nie był regulowany dwukrotnie z tytułu tego samego ryzyka.
Kiedy CRA się stosuje: kluczowe daty
| Data | Co się stosuje | Źródło |
|---|---|---|
| 10 grudnia 2024 r. | Rozporządzenie wchodzi w życie (dwudziestego dnia po publikacji w Dz.U.) | art. 71 ust. 1 |
| 11 czerwca 2026 r. | Rozdział IV (artykuły 35 do 51) o notyfikacji jednostek oceniających zgodność stosuje się | art. 71 ust. 2 |
| 11 września 2026 r. | Stosują się obowiązki zgłaszania z art. 14 dotyczące poważnych incydentów i aktywnie wykorzystywanych podatności, w tym dla produktów już znajdujących się na rynku | art. 71 ust. 2 oraz art. 69 ust. 3 |
| 11 grudnia 2027 r. | Rozporządzenie stosuje się w pełni do wszystkich produktów z elementami cyfrowymi wprowadzanych do obrotu na rynek UE od tej daty | art. 71 ust. 2 |
Produkty wprowadzone do obrotu na rynek UE przed 11 grudnia 2027 r. nie podlegają pełnemu rozporządzeniu, chyba że od tej daty przechodzą istotną modyfikację (art. 69 ust. 2). Obowiązek zgłaszania z art. 14 stosuje się jednak do wszystkich produktów objętych zakresem znajdujących się na rynku od 11 września 2026 r., niezależnie od tego, kiedy zostały wprowadzone (art. 69 ust. 3).
Jak wygląda zgodność z CRA
Cztery artefakty razem czynią produkt zgodnym z CRA. To, które z nich należą do obowiązków, zależy od pełnionej roli i od klasy oceny zgodności produktu; zob. Kto musi przestrzegać CRA.
| Artefakt | Odpowiedź w prostym języku | Gdzie jest wymagane |
|---|---|---|
| SBOM (szczegóły) | Lista tego, co znajduje się w produkcie, w CycloneDX lub SPDX, utrzymywana na bieżąco przez cały okres wsparcia. | Załącznik I, część I |
| Deklaracja zgodności UE (szczegóły) | Podpisane oświadczenie, że „ten produkt spełnia przepisy", ze wskazaniem zastosowanej drogi oceny zgodności. Jedna na produkt, przechowywana przez dziesięć lat. | Artykuł 28, załącznik V |
| Dokumentacja techniczna z załącznika VII (szczegóły) | Teczka dowodów stojąca za deklaracją: ocena ryzyka, informacje o projekcie i rozwoju, proces obsługi podatności oraz dowód oceny zgodności. | Załącznik VII |
| Proces obsługi podatności (szczegóły) | W jaki sposób wykrywa się, usuwa i wydaje aktualizacje bezpieczeństwa przez cały okres wsparcia: polityka ujawniania, triage, naprawa i bezpłatne łatki. | Załącznik I, część II |
Kary na podstawie artykułu 64
Artykuł 64 wprowadza trzy przedziały kar. Stosuje się wyższą z dwóch wartości: kwotę bezwzględną albo procent obrotu na poziomie światowym.
| Przedział | Wyzwalające naruszenie | Maksymalna kara |
|---|---|---|
| Przedział 1 | Nieprzestrzeganie istotnych wymogów cyberbezpieczeństwa z załącznika I albo obowiązków z artykułów 13 i 14 | 15 000 000 EUR lub 2,5% całkowitego rocznego obrotu na poziomie światowym za poprzedni rok obrotowy, w zależności od tego, która kwota jest wyższa |
| Przedział 2 | Nieprzestrzeganie obowiązków z artykułów 18 do 23, 28, 30 ust. 1 do 4, 31 ust. 1 do 4, 32 ust. 1 do 3, 33 ust. 5, 39, 41, 47, 49 oraz 53 | 10 000 000 EUR lub 2% całkowitego rocznego obrotu na poziomie światowym, w zależności od tego, która kwota jest wyższa |
| Przedział 3 | Dostarczanie nieprawidłowych, niekompletnych lub wprowadzających w błąd informacji jednostkom notyfikowanym i organom nadzoru rynku | 5 000 000 EUR lub 1% całkowitego rocznego obrotu na poziomie światowym, w zależności od tego, która kwota jest wyższa |
Organy nadzoru rynku biorą pod uwagę charakter, wagę i czas trwania naruszenia, naruszenia powtarzające się oraz wielkość operatora, a wobec mikroprzedsiębiorstw, małych przedsiębiorstw i start-upów stosują łagodniejszą ocenę (art. 64 ust. 5 oraz 64 ust. 10). Opiekunowie oprogramowania open source są zwolnieni z kar przedziału 2 i przedziału 3 (art. 64 ust. 10 lit. b)). Poza karami finansowymi organy nadzoru rynku mogą również nakazać podjęcie działań naprawczych, ograniczyć sprzedaż, wycofać niezgodne produkty oraz zakazać ich dalszej dostępności na rynku UE (artykuł 54).
Czym CRA nie jest
CRA siedzi obok kilku innych unijnych ustaw, które również dotykają cyberbezpieczeństwa. Trzy częste pomyłki:
- CRA to nie GDPR. GDPR (rozporządzenie 2016/679) chroni dane osobowe. CRA chroni cyberbezpieczeństwo produktu. Produkt może być istotny pod kątem GDPR, istotny pod kątem CRA, jednocześnie obu albo żadnego.
- CRA to nie NIS2. NIS2 (dyrektywa 2022/2555) reguluje operacyjne cyberbezpieczeństwo podmiotów kluczowych i ważnych. CRA reguluje cyberbezpieczeństwo na etapie projektowania i przez cały cykl życia produktów, które te podmioty kupują i używają.
- CRA nie zastępuje ustaw sektorowych. Wyroby medyczne (MDR, IVDR), pojazdy silnikowe (rozp. 2018/858), lotnictwo (rozp. 2018/1139) i wyposażenie morskie (dyr. 2014/90/UE) zachowują własne reżimy cyberbezpieczeństwa; CRA wykrawa je w art. 2. Rozporządzenie w sprawie maszyn 2023/1230 oraz dyrektywa o urządzeniach radiowych nakładają się na CRA w wąski sposób omówiony w przewodniku po nakładaniu się CRA i rozporządzenia w sprawie maszyn.
Najczęściej zadawane pytania
Kiedy CRA faktycznie stosuje się do mojego produktu?
To zależy od tego, kiedy produkt zostaje wprowadzony do obrotu na rynek UE. Pełne rozporządzenie stosuje się do każdego produktu z elementami cyfrowymi wprowadzonego do obrotu od 11 grudnia 2027 r. Produkty wprowadzone przed tą datą nie są retroaktywnie objęte zakresem, chyba że po 11 grudnia 2027 r. przechodzą istotną modyfikację, w którym to przypadku traktuje się je jako nowy produkt (artykuły 71 ust. 2 i 69 ust. 2).
Co zmienia się 11 września 2026 r., zanim zacznie obowiązywać pełny reżim?
Zaczyna się zgłaszanie z artykułu 14. Od tej daty producenci produktów objętych zakresem muszą zgłaszać poważne incydenty oraz aktywnie wykorzystywane podatności do ENISA i właściwego CSIRT, również dla produktów już znajdujących się na rynku. Reszta rozporządzenia jeszcze nie obowiązuje, ale obowiązek zgłaszania już tak (art. 69 ust. 3).
Czy CRA to to samo co GDPR lub NIS2?
Nie. GDPR chroni dane osobowe. NIS2 reguluje bezpieczeństwo operacyjne podmiotów kluczowych i ważnych (operatorzy energii, szpitale, dostawcy usług chmurowych itd.). CRA reguluje cyberbezpieczeństwo samego produktu: jak jest projektowany, z jakimi podatnościami jest wprowadzany do obrotu i jak producent radzi sobie z podatnościami przez okres wsparcia. Ta sama spółka może podlegać wszystkim trzem reżimom jednocześnie, ale obowiązki siedzą na różnych obiektach: dane, organizacje i produkty.
Czy CRA stosuje się do wolnego oprogramowania i open source?
Wyłącznie wtedy, gdy jest dostarczane w toku działalności komercyjnej. Czysto niekomercyjne projekty open source są poza zakresem. Gdy projekt jest monetyzowany (płatne wsparcie, dystrybucja komercyjna, osadzenie w produkcie wprowadzonym do obrotu), CRA się stosuje. Artykuł 24 tworzy lżejszy reżim dla opiekunów oprogramowania open source (fundacji i podobnych podmiotów utrzymujących projekty open source w sposób stały), niosący niektóre obowiązki w zakresie zarządzania, lecz nie pełne obowiązki producenta, ze zwolnieniem z kar przedziału 2 i przedziału 3 (artykuły 2 ust. 2 i 24; zwolnienie z kar w art. 64 ust. 10 lit. b)).
Co dzieje się z produktami już znajdującymi się na rynku 11 grudnia 2027 r.?
Zachowują one istniejący dostęp do rynku i nie są retroaktywnie zmuszane do przejścia oceny zgodności CRA. Produkt już znajdujący się w obrocie wchodzi w zakres pełnego rozporządzenia jedynie wtedy, gdy po 11 grudnia 2027 r. przechodzi istotną modyfikację, w którym to przypadku traktuje się go jako nowy produkt wprowadzony do obrotu. Obowiązek zgłaszania z art. 14 stosuje się do tych produktów odziedziczonych od 11 września 2026 r., a aktualizacje bezpieczeństwa należne na podstawie wcześniejszego zobowiązania do wsparcia są kontynuowane (art. 69 ust. 2; obowiązek zgłaszania w art. 69 ust. 3).
Kto egzekwuje CRA i skąd pochodzą kary?
Każde państwo członkowskie wyznacza jeden lub więcej organów nadzoru rynku, koordynowanych przez Grupę Współpracy Administracyjnej (ADCO) i wspieranych przez ENISA. Organy mogą żądać dokumentacji technicznej, nakazywać działania naprawcze, ograniczać lub wycofywać produkty niezgodne z prawem oraz nakładać kary z artykułu 64. Komisja może działać w odniesieniu do produktów o oddziaływaniu w skali UE. ENISA prowadzi jednolitą platformę zgłaszania incydentów i podatności z artykułu 14.