Czym jest CRA? Cyber Resilience Act (UE) 2024/2847

Opublikowano 6 maja 2026 Zaktualizowano 15 czerwca 2026

Cyber Resilience Act (CRA) to pierwsze unijne prawo cyberbezpieczeństwa dotyczące produktów. Od 11 grudnia 2027 r. wszystko, co jest sprzedawane na rynek UE i zawiera oprogramowanie albo układ scalony, musi być wprowadzane do obrotu z wbudowanym bezpieczeństwem, z wykazem materiałów oprogramowania (SBOM), z deklaracją zgodności UE oraz z procesem obsługi podatności prowadzonym przez cały okres wsparcia. Niniejsza strona omawia, czego wymaga rozporządzenie, kiedy zaczyna gryźć i co dzieje się w razie jego zignorowania.

Podsumowanie

  • CRA obowiązuje, ale jest jeszcze czas. Rozporządzenie (UE) 2024/2847 weszło w życie 10 grudnia 2024 r. i stosuje się w pełni od 11 grudnia 2027 r.
  • Zgłaszanie startuje 15 miesięcy wcześniej. Od 11 września 2026 r. producenci muszą zgłaszać poważne incydenty oraz aktywnie wykorzystywane podatności do ENISA i swojego CSIRT.
  • Zgodność wytwarza cztery artefakty. SBOM, deklarację zgodności UE, dokumentację techniczną oraz udokumentowany proces obsługi podatności. Tak właśnie wygląda gotowość do CRA.
  • Kary są realne. Do 15 000 000 EUR lub 2,5% całkowitego rocznego obrotu na poziomie światowym, w zależności od tego, która kwota jest wyższa, dla najpoważniejszych naruszeń.
  • To nie jest GDPR ani NIS2. CRA reguluje cyberbezpieczeństwo samego produktu, a nie danych osobowych ani bezpieczeństwa operacyjnego podmiotów kluczowych.
  • Twoje obowiązki zależą od roli i klasy produktu. Producent, importer, dystrybutor lub opiekun oprogramowania otwartego; klasa domyślna, klasa istotna I lub II albo produkt krytyczny. Strona Kto musi przestrzegać CRA sortuje to krok po kroku.
11 grudnia 2027
Pełna stosowalność
Rozporządzenie 2024/2847
11 września 2026
Start zgłaszania
Poważne incydenty i wykorzystywane podatności
€15M / 2,5%
Kara najwyższego poziomu
W zależności od tego, która jest wyższa
5 lat
Minimalny okres wsparcia
Chyba że przewidywane użycie jest krótsze

Cztery liczby definiujące CRA: kiedy się stosuje, kiedy startuje zgłaszanie, maksymalna kara oraz minimalny okres wsparcia dla aktualizacji bezpieczeństwa.

Co reguluje Cyber Resilience Act

CRA to rozporządzenie (UE) 2024/2847. Wprowadza obowiązkowe wymogi cyberbezpieczeństwa dla produktów z elementami cyfrowymi wprowadzanych do obrotu na rynku UE i obejmuje zarówno sprzęt, jak i oprogramowanie. Producent musi wykazać, że produkt jest projektowany i wytwarzany z zachowaniem zasad bezpieczeństwa, wprowadzany do obrotu z SBOM i deklaracją zgodności UE oraz że przez cały okres wsparcia działa udokumentowany proces obsługi podatności.

CRA jest horyzontalne: tnie w poprzek kategorii produktów, zamiast siedzieć w pojedynczym sektorze. Tam, gdzie produkt jest już objęty sektorowym reżimem cyberbezpieczeństwa (wyroby medyczne, pojazdy silnikowe, lotnictwo cywilne, wyposażenie morskie albo obrona), CRA wykrawa nakładanie się reżimów, tak aby ten sam produkt nie był regulowany dwukrotnie z tytułu tego samego ryzyka.

W praktyce CRA robi cztery rzeczy:

  • Zasady wprowadzania do obrotu na rynku UE produktów z elementami cyfrowymi
  • Istotne wymogi cyberbezpieczeństwa dla projektowania, opracowania i wytwarzania
  • Obsługa podatności tak długo, jak produkt jest wspierany
  • Nadzór rynku i egzekwowanie zasad

Kiedy CRA się stosuje: kluczowe daty

Harmonogram wdrożenia CRA 2024–2027 Akt o odporności cybernetycznej: obowiązki producenta i kamienie milowe ekosystemu
10 gru 2024 CRA wchodzi w życie
11 cze 2026 Notyfikacja JN (państwo członkowskie)
11 wrz 2026 Zaczyna się zgłaszanie podatności start 11.09.2026
!
11 gru 2027 Wymagana pełna zgodność
Normy zharmonizowane (seria EN 40000): żadna nie cytowana jeszcze w Dz.U. (najwcześniej w Q4 2026)
ankieta publiczna / rozpatrywanie uwag
Q4 2026 Najwcześniejsza cytacja w Dz.U. (wertikale: prawdopodobnie 2027)
  • Miniony kamień milowy
  • Zbliżające się egzekwowanie
  • Ostateczny termin
  • Kamień milowy ekosystemu
Kamienie milowe wdrożenia CRA. Rozporządzenie weszło w życie 10 grudnia 2024 r.; zgłaszanie incydentów i podatności stosuje się od 11 września 2026 r.; pełen reżim stosuje się od 11 grudnia 2027 r.
Data Co się stosuje
10 grudnia 2024 r. Rozporządzenie wchodzi w życie, 20 dni po publikacji w Dzienniku Urzędowym UE
11 czerwca 2026 r. Zaczynają obowiązywać przepisy o notyfikacji jednostek oceniających zgodność
11 września 2026 r. Zaczyna się zgłaszanie. Producenci muszą zgłaszać poważne incydenty i aktywnie wykorzystywane podatności, w tym dla produktów już znajdujących się na rynku
11 grudnia 2027 r. Rozporządzenie stosuje się w pełni do każdego produktu z elementami cyfrowymi wprowadzonego do obrotu na rynek UE

Produkty wprowadzone do obrotu na rynek UE przed 11 grudnia 2027 r. nie podlegają pełnemu rozporządzeniu, chyba że od tej daty przechodzą istotną modyfikację. Obowiązek zgłaszania stosuje się jednak do wszystkich produktów objętych zakresem znajdujących się na rynku od 11 września 2026 r., niezależnie od tego, kiedy zostały wprowadzone.

Jak wygląda zgodność z CRA

Cztery artefakty razem czynią produkt zgodnym z CRA. To, które z nich należą do obowiązków, zależy od pełnionej roli i od klasy oceny zgodności produktu; zob. Kto musi przestrzegać CRA.

Artefakt Odpowiedź w prostym języku
SBOM Lista tego, co znajduje się w produkcie, w CycloneDX lub SPDX, utrzymywana na bieżąco przez cały okres wsparcia.
Deklaracja zgodności UE Podpisane oświadczenie, że „ten produkt spełnia przepisy", ze wskazaniem zastosowanej drogi oceny zgodności. Jedna na produkt, przechowywana przez co najmniej dziesięć lat, a jeżeli okres wsparcia jest dłuższy, przez cały ten okres.
Dokumentacja techniczna Teczka dowodów stojąca za deklaracją: ocena ryzyka, informacje o projekcie i rozwoju, proces obsługi podatności oraz dowód oceny zgodności.
Proces obsługi podatności W jaki sposób wykrywa się, usuwa i wydaje aktualizacje bezpieczeństwa przez cały okres wsparcia: polityka ujawniania, triage, naprawa i bezpłatne łatki.

Kary i egzekwowanie CRA

CRA przewiduje trzy przedziały kar. W przypadku przedsiębiorstw kwota oparta na procencie obrotu ma zastosowanie, jeśli jest wyższa niż stały pułap w EUR.

Przedział Wyzwalające naruszenie Maksymalna kara
Przedział 1 Nieprzestrzeganie zasadniczych wymagań w zakresie cyberbezpieczeństwa albo obowiązków producenta i zgłaszania 15 000 000 EUR lub 2,5% całkowitego rocznego obrotu na poziomie światowym za poprzedni rok obrotowy, w zależności od tego, która kwota jest wyższa
Przedział 2 Naruszenia innych obowiązków operatorów i zgodności: kontrole importerów i dystrybutorów, obowiązki CE i dokumentacyjne, współpraca z organami oraz zasady dla jednostek notyfikowanych 10 000 000 EUR lub 2% całkowitego rocznego obrotu na poziomie światowym, w zależności od tego, która kwota jest wyższa
Przedział 3 Dostarczanie nieprawidłowych, niekompletnych lub wprowadzających w błąd informacji jednostkom notyfikowanym i organom nadzoru rynku 5 000 000 EUR lub 1% całkowitego rocznego obrotu na poziomie światowym, w zależności od tego, która kwota jest wyższa

Ustalając wysokość kary, organy nadzoru rynku muszą uwzględnić charakter, wagę i czas trwania naruszenia, naruszenia powtarzające się oraz wielkość operatora, w tym to, czy jest mikroprzedsiębiorstwem, MŚP lub start-upem. Opiekunowie oprogramowania otwartego są zwolnieni z kar przedziału 2 i przedziału 3. Poza karami finansowymi organy nadzoru rynku mogą również nakazać podjęcie działań naprawczych, ograniczyć sprzedaż, wycofać niezgodne produkty oraz zakazać ich dalszej dostępności na rynku UE.

Pełne omówienie poziomów kar, odzyskania produktu i dowodów, których może zażądać organ, znajdziesz w przewodniku kary i egzekwowanie CRA.

Czym CRA nie jest

CRA siedzi obok kilku innych unijnych ustaw, które również dotykają cyberbezpieczeństwa. Trzy częste pomyłki:

  • CRA to nie GDPR. GDPR (rozporządzenie 2016/679) chroni dane osobowe. CRA chroni cyberbezpieczeństwo produktu. Produkt może być istotny pod kątem GDPR, istotny pod kątem CRA, jednocześnie obu albo żadnego.
  • CRA to nie NIS2. NIS2 (dyrektywa 2022/2555) reguluje operacyjne cyberbezpieczeństwo podmiotów kluczowych i ważnych. CRA reguluje cyberbezpieczeństwo na etapie projektowania i przez cały cykl życia produktów, które te podmioty kupują i używają.
  • CRA nie zastępuje ustaw sektorowych. Wyroby medyczne (MDR, IVDR), pojazdy silnikowe (rozp. 2019/2144), lotnictwo (rozp. 2018/1139) i wyposażenie morskie (dyr. 2014/90/UE) zachowują własne reżimy cyberbezpieczeństwa; CRA je wykrawa. Rozporządzenie w sprawie maszyn 2023/1230 oraz dyrektywa o urządzeniach radiowych nakładają się na CRA w wąski sposób omówiony w przewodniku po nakładaniu się CRA i rozporządzenia w sprawie maszyn.

Najczęściej zadawane pytania

Kiedy CRA faktycznie stosuje się do mojego produktu?

To zależy od tego, kiedy produkt zostaje wprowadzony do obrotu na rynek UE. Pełne rozporządzenie stosuje się do każdego produktu z elementami cyfrowymi wprowadzonego do obrotu od 11 grudnia 2027 r. Produkty wprowadzone przed tą datą nie są retroaktywnie objęte zakresem, chyba że po 11 grudnia 2027 r. przechodzą istotną modyfikację, w którym to przypadku traktuje się je jako nowy produkt.

Co zmienia się 11 września 2026 r., zanim zacznie obowiązywać pełny reżim?

Zaczyna się zgłaszanie. Od tej daty producenci produktów objętych zakresem muszą zgłaszać poważne incydenty oraz aktywnie wykorzystywane podatności do ENISA i właściwego CSIRT, również dla produktów już znajdujących się na rynku. Reszta rozporządzenia jeszcze nie obowiązuje, ale obowiązek zgłaszania już tak.

Czy CRA to to samo co GDPR lub NIS2?

Nie. GDPR chroni dane osobowe. NIS2 reguluje bezpieczeństwo operacyjne podmiotów kluczowych i ważnych (operatorzy energii, szpitale, dostawcy usług chmurowych itd.). CRA reguluje cyberbezpieczeństwo samego produktu: jak jest projektowany, z jakimi podatnościami jest wprowadzany do obrotu i jak producent radzi sobie z podatnościami przez okres wsparcia. Ta sama spółka może podlegać wszystkim trzem reżimom jednocześnie, ale obowiązki siedzą na różnych obiektach: dane, organizacje i produkty.

Czy CRA stosuje się do wolnego i otwartego oprogramowania?

Wyłącznie wtedy, gdy jest dostarczane w toku działalności komercyjnej. Czysto niekomercyjne projekty wolnego i otwartego oprogramowania są poza zakresem. Gdy projekt jest monetyzowany (płatne wsparcie, dystrybucja komercyjna, osadzenie w produkcie wprowadzonym do obrotu), CRA się stosuje. Dla opiekunów oprogramowania otwartego obowiązuje lżejszy reżim (fundacji i podobnych podmiotów utrzymujących projekty open source w sposób stały), niosący niektóre obowiązki w zakresie zarządzania, lecz nie pełne obowiązki producenta, ze zwolnieniem z kar przedziału 2 i przedziału 3.

Co dzieje się z produktami już znajdującymi się na rynku 11 grudnia 2027 r.?

Zachowują one istniejący dostęp do rynku i nie są retroaktywnie zmuszane do przejścia oceny zgodności CRA. Produkt już znajdujący się w obrocie wchodzi w zakres pełnego rozporządzenia jedynie wtedy, gdy po 11 grudnia 2027 r. przechodzi istotną modyfikację, w którym to przypadku traktuje się go jako nowy produkt wprowadzony do obrotu. Obowiązek zgłaszania stosuje się do tych produktów odziedziczonych od 11 września 2026 r., a aktualizacje bezpieczeństwa należne na podstawie wcześniejszego zobowiązania do wsparcia są kontynuowane.

Kto egzekwuje CRA i skąd pochodzą kary?

Każde państwo członkowskie wyznacza jeden lub więcej organów nadzoru rynku, koordynowanych przez Grupę Współpracy Administracyjnej (ADCO) i wspieranych przez ENISA. Organy mogą żądać dokumentacji technicznej, nakazywać działania naprawcze, ograniczać lub wycofywać produkty niezgodne z prawem oraz nakładać kary. Komisja może działać w odniesieniu do produktów o oddziaływaniu w skali UE. ENISA prowadzi jednolitą platformę zgłaszania poważnych incydentów i wykorzystywanych podatności.

Od czego zacząć

  1. Przeprowadź test stosowalności: przeczytaj Kto musi spełnić wymogi Cyber Resilience Act, aby poznać test zakresu oraz definicje ról dla producenta, importera i dystrybutora.
  2. Zidentyfikuj swoją rolę i klasę produktu. Producenci dźwigają najcięższy ładunek; importerzy i dystrybutorzy dźwigają obowiązki weryfikacyjne; opiekunowie oprogramowania otwartego mają lżejszy reżim.
  3. Zbuduj cztery artefakty w tej kolejności: SBOM, dokumentacja techniczna, proces obsługi podatności, deklaracja zgodności UE.
  4. Wybierz ścieżkę oceny zgodności w oparciu o to, czy produkt jest klasy domyślnej, klasy istotnej I lub II albo krytyczny, oraz czy potrzebne są normy zharmonizowane lub jednostka notyfikowana.
  5. Wróć do centrum zgodności z CRA i przepracuj cztery karty: SBOM, zgodność i dokumentacja, obsługa podatności i zgłaszanie oraz okres wsparcia.