Akt o cyberodporności daje producentom trzy ścieżki do domniemania zgodności z wymaganiami Załącznika I. Dwie przebiegają przez normy. Trzecia może przebiegać przez certyfikację, gdy Komisja uzna użyteczny europejski program certyfikacji cyberbezpieczeństwa. Ta strona wyjaśnia tę ścieżkę, miejsce Europejskiego programu certyfikacji cyberbezpieczeństwa opartego na Common Criteria (EUCC) jako aktywnego programu oraz to, co już obowiązuje, a czego jeszcze nie.
Podsumowanie
- Certyfikacja może być trzecią ścieżką CRA do domniemania zgodności. Uzupełnia normy zharmonizowane i wspólne specyfikacje.
- Ścieżka przebiega przez europejski program certyfikacji cyberbezpieczeństwa przyjęty na podstawie aktu o cyberbezpieczeństwie, Rozporządzenia (UE) 2019/881. EUCC jest aktywnym programem.
- Certyfikat obejmuje tylko te wymagania, które pokrywa. Daje domniemanie zgodności wyłącznie dla wymagań Załącznika I objętych certyfikatem, nie dla całego Załącznika I.
- Certyfikat na poziomie „istotnym" znosi obowiązek oceny przez stronę trzecią dla objętych wymagań, ale tylko po wejściu w życie aktu delegowanego uruchamiającego tę ścieżkę.
- Ma największe znaczenie dla produktów krytycznych z Załącznika IV, dla których Komisja może uczynić certyfikat obowiązkowym.
- Ścieżka jeszcze nie jest uruchomiona. Na dzień 15 czerwca 2026 r. żaden akt nie uznaje użytecznych programów ani nie nakłada obowiązku posiadania certyfikatu. EUCC nie zastępuje jeszcze ścieżki zgodności CRA ani nie zwalnia z oceny przez stronę trzecią.
Czym jest certyfikat EUCC i jego poziomy uzasadnienia zaufania
EUCC to Europejski program certyfikacji cyberbezpieczeństwa oparty na Common Criteria. Przygotowała go ENISA, a Komisja przyjęła go jako Rozporządzenie wykonawcze Komisji (UE) 2024/482 z 31 stycznia 2024 r. Stosuje się od 27 lutego 2025 r. Jest to pierwszy program przyjęty na podstawie aktu o cyberbezpieczeństwie. Opiera się na Common Criteria, ugruntowanym międzynarodowym standardzie oceny bezpieczeństwa produktów IT, opublikowanym jako ISO/IEC 15408.
Program jest już aktywny. Jednostki certyfikujące wydają certyfikaty EUCC od kwietnia 2025 r., a ENISA w oficjalnym rejestrze certyfikatów wymieniała 37 z nich według stanu na 15 czerwca 2026 r. Żaden nie wiąże się jeszcze z domniemaniem zgodności CRA: potwierdzają one, że program działa, nie że certyfikat spełnia już wymagania CRA.
Większość wydanych dotąd certyfikatów dotyczy bezpiecznych układów scalonych, kart inteligentnych i podobnego sprzętu, który pokrywa się z krytycznymi kategoriami CRA o dużym udziale sprzętu. Nie wszystkie: certyfikowane są też produkty sieciowe i oprogramowanie, a te mieszczą się w ogólnym zakresie CRA, nie na liście krytycznej.
EUCC wydaje certyfikaty na dwóch poziomach uzasadnienia zaufania: „istotnym" i „wysokim". Oba różnią się stopniem rygorystyczności testowania produktu. EUCC mierzy to według skali oceny podatności Common Criteria, oznaczanej AVA_VAN, która przebiega od 1 do 5. Im wyższa liczba, tym dokładniejsze niezależne testy odporności produktu na ataki.
| Poziom EUCC | AVA_VAN | Głębokość testowania | Skutek dla CRA |
|---|---|---|---|
| istotnyniższy z dwóch | AVA_VAN 1 do 2z 5 | Niezależne testy podatności do standardowej głębokości. | Spełniałby próg zwolnienia. |
| wysokiwyższy z dwóch | AVA_VAN 3 do 5z 5 | Głębsza analiza, testowana pod kątem atakujących o znacznych umiejętnościach i zasobach. | Przekraczałby próg. |
CRA wiąże zwolnienie z oceny przez stronę trzecią z poziomem co najmniej „istotnym", więc oba poziomy EUCC spełniałyby warunek po wejściu w życie tego zwolnienia.
Certyfikacja może być trzecią ścieżką CRA do domniemania zgodności
Domniemanie zgodności to uznany skrót. Spełnienie jednej ze ścieżek sprawia, że organ domniemywa, iż produkt spełnia wymagania objęte tą ścieżką. Akt o cyberodporności przewiduje trzy możliwe ścieżki, a certyfikacja jest trzecią, gdy zostanie uznana do celów CRA.
Trzy ścieżki i ich aktualny stan:
| Ścieżka | Na czym polega | Status CRA dziś |
|---|---|---|
| Normy zharmonizowane | norma, której odniesienie opublikowano w Dzienniku Urzędowym | brak opublikowanej normy |
| Wspólne specyfikacje | akty wykonawcze Komisji | żadnego nie przyjęto |
| Program certyfikacji | unijna deklaracja zgodności lub certyfikat w ramach uznanego programu | żaden program nie jest uznany do celów CRA |
Pierwsze dwie ścieżki przebiegają przez normy, a tracker norm zharmonizowanych śledzi je szczegółowo. Trzecia przebiega przez certyfikację. Gdy ta ścieżka stanie się operacyjna, produkt posiadający unijną deklarację zgodności lub certyfikat w ramach europejskiego programu certyfikacji cyberbezpieczeństwa będzie mógł być objęty domniemaniem zgodności. Domniemanie obejmuje tylko wymagania pokryte deklaracją lub certyfikatem, nie cały Załącznik I. Program musi być przyjęty na podstawie aktu o cyberbezpieczeństwie, Rozporządzenia (UE) 2019/881.
Jak uzyskać certyfikat EUCC
EUCC nie jest samooświadczeniem. Producent lub dostawca współpracuje z jednostką certyfikującą, a ocenę przeprowadza akredytowane laboratorium. To również znacząca inwestycja: pełna ocena przez jednostkę certyfikującą zwykle sięga sześciu cyfr, co jest jednym z powodów, dla których większość zespołów planuje ją po zgromadzeniu dowodów z Załącznika I. Dla poziomu „wysoki" EUCC przewiduje dodatkowe wymogi autoryzacyjne dla jednostki certyfikującej i laboratorium.
Część dowodów budowanych na potrzeby CRA pokrywa się z tym, czego wymaga ocena EUCC: ocena ryzyka, procedury obsługi podatności i dokumentacja techniczna. EUCC wymaga więcej ponad to, w tym celu bezpieczeństwa (ang. security target), czyli dokumentu precyzyjnie określającego, który produkt, konfiguracja i funkcje bezpieczeństwa są oceniane, a także szczegółowych dowodów projektowych i testowych, których Common Criteria wymaga dla wybranego poziomu uzasadnienia zaufania.
Certyfikat EUCC nie jest jednorazowym zatwierdzeniem. Jednostka certyfikująca ustala jego ważność na maksymalnie pięć lat. W okresie ważności posiadacz ma bieżące obowiązki:
- Obsługa podatności: prowadzenie procedur zarządzania podatnościami i ujawniania informacji.
- Analiza wpływu: ocenianie wpływu nowych podatności w miarę ich pojawiania się.
- Ciągłość zapewnień: utrzymywanie aktualności zapewnień bezpieczeństwa produktu przez aktualizacje i ponowne oceny.
Duża część tego pokrywa się z obowiązkami CRA w zakresie obsługi podatności.
Proces ten jest odrębny od ścieżki CRA. Może dostarczyć przydatnych dowodów, ale nie wywołuje skutków prawnych CRA, dopóki Komisja nie uzna programu.
Jak EUCC i CRA łączą się ze sobą
CRA i EUCC to różne rodzaje instrumentów, które łatwo ze sobą mylić. CRA to wiążące rozporządzenie: prawo, które produkt musi spełnić. EUCC to dobrowolny program certyfikacji: jeden ze sposobów wykazania, że produkt spełnia jego część.
| Akt o cyberodporności | EUCC | |
|---|---|---|
| Charakter | wiążące rozporządzenie UE | dobrowolny program certyfikacji |
| Podstawa prawna | Rozporządzenie (UE) 2024/2847 | akt o cyberbezpieczeństwie (Rozporządzenie (UE) 2019/881), program w Rozporządzeniu (UE) 2024/482 |
| Dotyczy | wszystkich produktów z elementami cyfrowymi na rynku UE | produktów ICT ocenianych według Common Criteria |
| Klasyfikacja ryzyka | domyślne, ważne, krytyczne | poziomy uzasadnienia zaufania „istotny" i „wysoki" |
| Egzekwowanie | obowiązkowe, z sankcjami | dobrowolne, chyba że CRA uczyni certyfikację obowiązkową dla kategorii krytycznej |
Oba instrumenty pokrywają się tam, gdzie to istotne. EUCC analizuje funkcje bezpieczeństwa produktu i sposób obsługi podatności przez producenta. Duża część tego pokrywa się z zasadniczymi wymaganiami CRA. ENISA opublikowała badanie mapowania EUCC-CRA sprawdzające, jak certyfikacja EUCC mogłaby wspierać zgodność z CRA. To praca o charakterze techniczno-przygotowawczym, a nie automatyczny skutek prawny.
Co zwalnia certyfikat na poziomie „istotnym"
Jest jeszcze jeden element prawa, który nadałby certyfikatowi realną wagę w ramach CRA, i nie obowiązuje on jeszcze. Po działaniu Komisji wywiera dwa skutki:
- Uznanie programów: w drodze aktu delegowanego Komisja wskazuje, które programy certyfikacji mogą wykazać zgodność z wymaganiami. Dopóki akt delegowany nie wskaże programu, żaden nie jest formalnie uznany do celów zgodności z CRA.
- Zwolnienie z oceny przez stronę trzecią: certyfikat na poziomie uzasadnienia zaufania co najmniej „istotnym" zwalniałby producenta z obowiązku przeprowadzenia oceny zgodności przez stronę trzecią dla wymagań objętych certyfikatem. Zwolnienie odpowiada ścieżkom Moduł B+C i Moduł H, które w przeciwnym razie prowadziłaby jednostka notyfikowana.
Przewodnik po ocenie zgodności wyjaśnia te moduły.
Produkty krytyczne: gdy certyfikacja może stać się obowiązkowa
Dla większości produktów certyfikacja jest dobrowolna. Dla kategorii krytycznych może stać się obowiązkowa.
Komisja może nałożyć na te produkty obowiązek posiadania europejskiego certyfikatu cyberbezpieczeństwa na poziomie co najmniej „istotnym". Musi to zrobić w drodze aktu delegowanego i dopiero po przyjęciu programu obejmującego daną kategorię oraz udostępnieniu go producentom. Kategorie krytyczne wymienione w Załączniku IV to:
- Urządzenia sprzętowe ze skrzynkami zabezpieczającymi
- Bramy inteligentnych liczników w inteligentnych systemach pomiarowych oraz inne urządzenia do zaawansowanych celów bezpieczeństwa, w tym do bezpiecznego kryptoprzetwarzania
- Karty inteligentne lub podobne urządzenia, w tym elementy zabezpieczające
EUCC jest aktywnym programem najbardziej odpowiednim dla tej listy produktów sprzętowych.
Dopóki Komisja nie przyjmie takiego aktu, produkty te nie mają obowiązku certyfikacji. Stosują standardowe procedury oceny zgodności, te same ścieżki z udziałem strony trzeciej, co inne regulowane produkty. Przewodnik klasyfikacji produktów wskazuje, gdzie dany produkt się plasuje.
Stan aktualny: certyfikacja jeszcze nie jest uruchomiona dla CRA
Status na dzień 15 czerwca 2026 r.: ścieżka certyfikacji istnieje w CRA, ale jeszcze nie jest operacyjna. Komisja nie przyjęła aktu delegowanego, który uznawałby programy zdolne do wykazania zgodności z CRA, ani aktu nakładającego obowiązek posiadania certyfikatu dla jakiejkolwiek kategorii z Załącznika IV. Certyfikat EUCC jest zatem wartościowym przygotowaniem, a nie obecnym skrótem CRA. Nie zwalnia jeszcze z żadnej oceny przez stronę trzecią.
Nie ma terminu na uruchomienie tej ścieżki. Rozporządzenie daje Komisji uprawnienie do działania, ale nie nakłada żadnego terminu, a żaden akt nie został przyjęty. Własne obowiązki aktu o cyberodporności zaczynają obowiązywać od 11 grudnia 2027 r. niezależnie od tego, czy ścieżka jest uruchomiona. Jeśli przyszły akt kiedykolwiek uczyni certyfikację obowiązkową dla kategorii krytycznej, musi przewidzieć co najmniej sześciomiesięczny okres przejściowy.
Komisja przyjęła w tym czasie inne akty CRA, co sprawia, że tę lukę łatwo błędnie odczytać:
| Akt | Data | Co robi | Dotyczy certyfikacji? |
|---|---|---|---|
| Rozporządzenie delegowane Komisji (UE) 2025/1535 | 29 lipca 2025 r. | wyklucza z zakresu CRA niektóre pojazdy objęte Rozporządzeniem (UE) nr 168/2013 | nie |
| Rozporządzenie wykonawcze Komisji (UE) 2025/2392 | 28 listopada 2025 r. | określa opisy techniczne kategorii produktów ważnych i krytycznych | nie |
| Rozporządzenie delegowane Komisji (UE) 2026/881 | 11 grudnia 2025 r., opublikowane 20 kwietnia 2026 r. | określa warunki opóźnienia rozpowszechniania powiadomień o podatnościach i incydentach | nie |
ENISA wykonała prace przygotowawcze. Jej raport na temat wdrożenia aktu o cyberodporności przez EUCC i mające zastosowanie elementy techniczne wskazuje, jak EUCC mógłby realizować wymagania CRA. Opisuje też mapowanie techniczne, które byłoby potrzebne. To propozycja i zestaw narzędzi, a nie włącznik. Skutek prawny wciąż czeka na akt delegowany, którego Komisja nie przyjęła.
Nasza ocena: ubiegać się o EUCC teraz czy czekać?
Powyższe sekcje przedstawiają pozycję regulacyjną. Dwa pola poniżej to nasze spojrzenie jako praktyków. To opinia, a nie porada prawna, ani oświadczenie o tym, czego wymaga Rozporządzenie.
Certyfikat EUCC nie jest dziś najszybszą ścieżką CRA. Akt delegowany, który nadałby mu skutki CRA, nie został przyjęty. Dla większości producentów praca o wyższej wartości to dowody z Załącznika I, których każda ścieżka i tak wymaga: ocena ryzyka, SBOM, obsługa podatności i dokumentacja techniczna. Certyfikacja może dojść do tego później. Trzy przypadki zmieniają ten rachunek. Produkt należy do kategorii krytycznej, dla której w przyszłości prawdopodobny jest obowiązek certyfikacji. Producent posiada już certyfikaty Common Criteria lub ubiega się o nie. Albo nabywcy tego wymagają. W tych przypadkach rozpoczęcie teraz jest uzasadnione.
Zwolnienie, na które wszyscy czekają, zależy od aktu delegowanego, którego Komisja nie przyjęła. Oceniamy je jako niedostępne do czasu wejścia tego aktu w życie, bo prawo wiąże zwolnienie właśnie z nim. Jeśli ktoś mówi, że certyfikat EUCC już zwalnia z oceny CRA, pomija ten warunek i nie budowałoby się na tej podstawie ścieżki zgodności. Spośród trzech ścieżek certyfikacja jest najkonkretniejszym elementem infrastruktury w budowie, a most EUCC to część do obserwowania: na konferencji certyfikacji cyberbezpieczeństwa UE 2026 Komisja zasygnalizowała, że zamierza sprecyzować, jak EUCC wspiera zgodność z CRA, do końca 2026 r. Traktuj to jako cel, nie zobowiązanie: żaden akt nie jest przyjęty, a data może się przesunąć.
Najczęściej zadawane pytania
Czy certyfikat EUCC daje już domniemanie zgodności z CRA?
Jeszcze nie. Ścieżka certyfikacji istnieje w CRA, ale Komisja musi jeszcze określić, które programy mają znaczenie dla zgodności z CRA. Ten akt nie został przyjęty. Certyfikat EUCC może być solidnym przygotowaniem, ale nie zastępuje jeszcze ścieżki zgodności z CRA.
Jaka jest różnica między CRA a EUCC?
CRA to wiążące rozporządzenie UE, które dotyczy każdego produktu z elementami cyfrowymi. EUCC to dobrowolny program certyfikacji oparty na Common Criteria. Wymagania CRA są obowiązkowe; uzyskanie certyfikatu EUCC to decyzja. Oba łączy to, że certyfikat może służyć jako jedna ze ścieżek wykazania zgodności z CRA. Działa to tylko dla wymagań, które certyfikat obejmuje, i tylko po formalnym uznaniu programu. To jeszcze nie nastąpiło.
Czy certyfikacja EUCC jest obowiązkowa na podstawie CRA?
Na razie nie. Certyfikacja jest dobrowolna dla większości produktów. Dla kategorii krytycznych z Załącznika IV Komisja może nałożyć obowiązek posiadania certyfikatu w drodze aktu delegowanego. Może to zrobić tylko wtedy, gdy program obejmujący daną kategorię jest przyjęty i dostępny. Taki akt jeszcze nie istnieje, więc żaden produkt nie ma obowiązku certyfikacji. Te produkty stosują standardowe ścieżki oceny przez stronę trzecią do czasu zmiany tej sytuacji.
Jakiego poziomu uzasadnienia zaufania wymaga CRA?
Dla przyszłego zwolnienia: co najmniej „istotny". EUCC wydaje certyfikaty na poziomach „istotny" i „wysoki", więc certyfikat na poziomie „wysokim" również spełniałby warunek. Samo zwolnienie nadal zależy od wejścia w życie aktu delegowanego, a to jeszcze nie nastąpiło.
Czym ścieżka certyfikacji różni się od norm zharmonizowanych?
To dwie ścieżki do tego samego domniemania. Norma zharmonizowana działa po opublikowaniu odniesienia w Dzienniku Urzędowym. Dla produktu ważnego Klasy I opublikowana norma może umożliwić samoocenę. Certyfikat działa po uznaniu programu. Na poziomie „istotnym" zwalniałby z oceny przez stronę trzecią dla objętych wymagań. Dziś żadna ze ścieżek nie jest w pełni operacyjna dla CRA: żadna norma zharmonizowana nie jest opublikowana, a żaden program certyfikacji nie jest uznany.
Czy certyfikat EUCC obejmuje wymagania dotyczące obsługi podatności z Załącznika I Część II?
To zależy od zakresu certyfikatu i nie można tego zakładać. Domniemanie obejmuje tylko wymagania faktycznie pokryte certyfikatem. Załącznik I ma dwie części: właściwości bezpieczeństwa produktu i wymagania dotyczące obsługi podatności. Certyfikat ograniczony do właściwości produktu może nie obejmować bieżących obowiązków procesowych. Przed poleganiem na certyfikacie należy sprawdzić pokryte wymagania.
Jeśli uzyskam certyfikat EUCC teraz, czy będzie on liczył się w ramach CRA, gdy ścieżka zostanie uruchomiona?
Nie automatycznie. Akt, który uznałby programy do celów zgodności z CRA, nie został przyjęty, a prawo przewiduje dodatkowe warunki dla certyfikatów wydanych przed uruchomieniem ścieżki. Certyfikat posiadany dziś to solidne przygotowanie i dowód dla wymagań, które obejmuje, ale to, czy wywoła domniemanie CRA później i dla których wymagań, zależy od tego aktu i od zakresu certyfikatu. Traktuj go jako zaliczkę, nie gwarantowany skrót.
Czy certyfikaty EUCC zostały już wydane i gdzie można je zobaczyć?
Tak. Jednostki certyfikujące wydają certyfikaty EUCC od kwietnia 2025 r., a ENISA publikuje oficjalną listę z możliwością filtrowania. Potwierdzają one, że program działa, ale nie niosą jeszcze domniemania zgodności CRA: to nadal czeka na akt delegowany.