Kary CRA: grzywny, odzyskanie produktu i egzekwowanie

Kary CRA mogą sięgnąć 15 000 000 EUR lub 2,5 % rocznego światowego obrotu, w zależności od tego, która kwota jest wyższa, jeżeli za naruszenie odpowiada przedsiębiorstwo. Cyber Resilience Act daje organom nadzoru rynku dwa rodzaje dźwigni: administracyjne kary pieniężne oraz środki dotyczące produktu, takie jak działania naprawcze, wycofanie z obrotu, odzyskanie produktu lub ograniczenia w udostępnianiu.

Ta strona wyjaśnia, co te uprawnienia oznaczają w praktyce i jakie dowody operator gospodarczy powinien mieć gotowe, zanim organ ich zażąda.

Podsumowanie

  • CRA ma trzy poziomy kar. Najwyższy poziom dotyczy zasadniczych wymagań w zakresie cyberbezpieczeństwa oraz kluczowych obowiązków producenta.
  • Stała kwota w EUR nie zawsze stanowi pułap. Jeżeli za naruszenie odpowiada przedsiębiorstwo, stosuje się procent obrotu, gdy daje wynik wyższy od kwoty stałej.
  • Kary to tylko jedno z narzędzi egzekwowania. Organy mogą wymagać działań naprawczych, wycofania z obrotu, odzyskania produktu lub ograniczeń w udostępnianiu.
  • Nadzór rynku zaczyna się od dowodów. Dokumentacja techniczna, Deklaracja Zgodności UE, dowody SBOM, rejestry obsługi podatności oraz dokumentacja okresu wsparcia są tym, czym organ weryfikuje twierdzenie o zgodności.
  • Wielkość operatora ma znaczenie, ale to nie jest przepustka. Przy ustalaniu kar organ musi uwzględnić wielkość podmiotu, w tym mikroprzedsiębiorstwa, MŚP i start-upy.
€15 mln / 2,5 %
Najwyższy poziom kary
W zależności od tego, co wyższe
11 wrz 2026
Start egzekwowania zgłoszeń
Obowiązek zgłaszania poważnych incydentów
11 gru 2027
Pełne stosowanie reżimu
Kary i środki dotyczące produktu
4 środki
Środki dotyczące produktu
Działanie naprawcze, wycofanie, odzyskanie, ograniczenie

Cztery punkty kotwiczne egzekwowania: najwyższa kara, wcześniejsza data startu zgłoszeń, data pełnego stosowania oraz uprawnienia do środków dotyczących produktu, którymi dysponują organy nadzoru rynku.

Jakie administracyjne kary pieniężne mogą mieć zastosowanie?

Rozporządzenie określa unijne maksima administracyjnych kar pieniężnych. Państwa członkowskie ustalają szczegółowe przepisy karne, ale przepisy te muszą mieścić się w ramach CRA, a kary muszą być skuteczne, proporcjonalne i odstraszające.

Kategoria naruszenia Co ją uruchamia Maksymalna administracyjna kara pieniężna
Kluczowe obowiązki bezpieczeństwa produktu Zasadnicze wymagania cyberbezpieczeństwa i kluczowe obowiązki producenta, w tym obsługa podatności, aktualizacje bezpieczeństwa, dowody dotyczące okresu wsparcia i obowiązkowe zgłoszenia 15 000 000 EUR lub, jeżeli za naruszenie odpowiada przedsiębiorstwo, 2,5 % łącznego rocznego światowego obrotu z poprzedniego roku obrotowego, w zależności od tego, która z tych kwot jest wyższa
Dostęp do rynku i zgodność Kontrole importerów i dystrybutorów, oznakowanie CE, deklaracje, ocena zgodności, współpraca z jednostkami notyfikowanymi oraz obowiązki nadzoru rynku 10 000 000 EUR lub, jeżeli za naruszenie odpowiada przedsiębiorstwo, 2 % łącznego rocznego światowego obrotu, w zależności od tego, która z tych kwot jest wyższa
Wprowadzające w błąd informacje Przekazywanie jednostkom notyfikowanym lub organom nadzoru rynku informacji nieprawidłowych, niekompletnych albo wprowadzających w błąd 5 000 000 EUR lub, jeżeli za naruszenie odpowiada przedsiębiorstwo, 1 % łącznego rocznego światowego obrotu, w zależności od tego, która z tych kwot jest wyższa

Najwyższa kara to ta, którą większość producentów powinna zrozumieć w pierwszej kolejności. Obejmuje ona cyberbezpieczeństwo produktu i operacyjne obowiązki producenta: ocenę ryzyka w zakresie cyberbezpieczeństwa, obsługę podatności, aktualizacje bezpieczeństwa, ujawnianie okresu wsparcia oraz zgłaszanie poważnych incydentów i aktywnie wykorzystywanych podatności. Dokumentacja techniczna, deklaracja zgodności UE oraz oznakowanie CE należą do środkowego przedziału kar (dostęp do rynku i zgodność).

Które naruszenia mają największe znaczenie?

CRA nie szereguje każdego możliwego stanu faktycznego. Wyznacza przedziały prawne. W praktyce najpoważniejsza ekspozycja pojawia się tam, gdzie zawodzi cyberbezpieczeństwo produktu, prawdziwość twierdzenia o zgodności albo zdolność organu do oceny ryzyka.

Wzorzec Dlaczego ma znaczenie Prawdopodobny obszar prawny
Produkt wprowadzony do obrotu w UE bez spełnienia wymagań zasadniczych z Załącznik I Twierdzenie o cyberbezpieczeństwie produktu jest błędne u źródła Najwyższa kara
Brak skutecznej obsługi podatności w okresie wsparcia Obsługa podatności nie działa w okresie wsparcia Najwyższa kara
Brak zgłoszenia poważnego incydentu lub aktywnie wykorzystywanej podatności, gdy obowiązkowe zgłaszanie ma zastosowanie Obowiązek zgłaszania zaczyna się przed pełnym reżimem Najwyższa kara
Niewłaściwa ścieżka oceny zgodności dla produktu ważnego lub krytycznego Deklaracja Zgodności opiera się na błędnej ścieżce oceny Najwyższa albo pośrednia kara, w zależności od naruszonego obowiązku
Brak lub nieważna Deklaracja Zgodności UE, oznakowanie CE albo dane operatora Dokumentacja dostępu do rynku jest wadliwa Pośrednia kara
Wprowadzanie w błąd jednostki notyfikowanej lub organu nadzoru rynku Organ nie może polegać na przekazanych informacjach Kara za wprowadzające w błąd informacje, a potencjalnie gorzej, jeśli występują inne naruszenia

Najbezpieczniejszy sposób czytania poziomów to nie pytanie "jaką karę dostaniemy?", ale "jakie dowody musimy umieć przedstawić?". Podpisana Deklaracja Zgodności bez pliku technicznego, dowodów SBOM, rejestrów obsługi podatności oraz uzasadnienia ścieżki oceny zgodności to krucha pozycja w postępowaniu.

Jak organy ustalają wysokość kary

Wysokość kary nie jest tylko mechanicznym obliczeniem procentowym. Ustalając kwotę, organ musi rozważyć naruszenie, to czy na operatora nakładano już podobne kary, oraz wielkość operatora.

Czynnik Znaczenie praktyczne
Charakter, waga i czas trwania naruszenia oraz jego konsekwencje Krótkotrwała luka dokumentacyjna jest czymś innym niż dostarczony produkt z możliwą do wykorzystania słabością projektową.
Czy na ten sam podmiot gospodarczy nakładano już kary za podobne naruszenia Powtarzalne zachowanie w różnych państwach członkowskich może zaostrzyć wynik.
Wielkość operatora gospodarczego i udział w rynku Przy ustalaniu kar należy uwzględnić mikroprzedsiębiorstwa, MŚP i start-upy.

Nie oznacza to, że mali operatorzy mogą ignorować prawo. Oznacza to, że kara musi być proporcjonalna. Mały producent nadal potrzebuje realnej ścieżki oceny zgodności, dokumentacji technicznej, procesu obsługi podatności oraz zdolności do zgłoszeń, gdy obowiązki mają zastosowanie.

Uprawnienia nadzoru rynku poza karami

Kary to nie jedyne ryzyko. Egzekwowanie CRA mieści się wewnątrz unijnych ram nadzoru rynku, w tym rozporządzenia (UE) 2019/1020. CRA dokłada do tego krajową procedurę dla produktów z elementami cyfrowymi, które stwarzają istotne ryzyko w cyberprzestrzeni.

Jeżeli organ przeprowadzi ocenę produktu i stwierdzi niezgodność, może zobowiązać odpowiedniego operatora gospodarczego do podjęcia odpowiednich działań naprawczych, doprowadzenia produktu do zgodności, wycofania go z obrotu albo odzyskania go w rozsądnym terminie. Jeżeli operator nie podejmuje odpowiednich działań naprawczych, organ może przejść do ograniczenia lub zakazu udostępniania produktu na rynku.

Środek Co to oznacza operacyjnie
Działanie naprawcze Usunięcie niezgodności, aktualizacja dokumentacji, naprawa podatności, zmiana instrukcji lub modyfikacja produktu przed dalszą sprzedażą.
Wycofanie z obrotu Zaprzestanie udostępniania produktu na rynku. Zwykle dotyczy niesprzedanych zapasów i kanałów dystrybucji.
Odzyskanie Odzyskanie lub naprawa produktów już dostarczonych użytkownikom, gdy uzasadnia to ryzyko.
Ograniczenie lub zakaz Ograniczenie lub zablokowanie dostępności produktu na rynku krajowym, z potencjalnymi konsekwencjami w całej UE poprzez koordynację.

Formalna zgodność nie jest tarczą. Produkt może spełniać wymogi dokumentacyjne, a mimo to stwarzać istotne ryzyko w cyberprzestrzeni; w takim przypadku organ może wymagać dodatkowych środków, aby zaadresować to ryzyko na podstawie Artykuł 57. Sama dokumentacja formalna nie wystarczy, jeżeli produkt nadal jest ryzykowny.

Co może wywołać uwagę organu?

CRA nie publikuje stałej listy wyzwalaczy. Nadzór rynku może być proaktywny lub reaktywny. Oto sytuacje, które najprawdopodobniej umieszczą produkt na radarze organu:

Sygnał Czego organ prawdopodobnie zażąda
Aktywnie wykorzystywana podatność lub poważny incydent Dowody zgłoszeń, triage podatności, dotknięte wersje, komunikacja z klientami, harmonogram naprawy.
Skarga konkurenta, klienta lub badacza Plik techniczny, rejestry obsługi podatności, dowody oceny zgodności oraz uzasadnienie cyberbezpieczeństwa produktu.
Próba produktu lub kampania sektorowa Deklaracja Zgodności UE, informacje dla użytkownika, oznakowanie CE, dowody SBOM oraz dowody testowe.
Wątpliwości importera lub dystrybutora Tożsamość producenta, dane importera, Deklaracja Zgodności, informacje o okresie wsparcia oraz rejestry identyfikowalności.
Niespójne twierdzenia publiczne Dowody, że materiały marketingowe, deklaracje okresu wsparcia, zobowiązania do aktualizacji bezpieczeństwa oraz plik techniczny do siebie pasują.

Ryzyko egzekwowania jest najwyższe tam, gdzie firma nie potrafi wyjaśnić, dlaczego produkt jest objęty zakresem, jaką pełni rolę, jaką ścieżkę oceny zgodności wybrała, jakie dowody wspierają Deklarację Zgodności oraz jak obsługiwane są podatności w okresie wsparcia.

Jak może wyglądać żądanie organu

Żądanie nadzoru rynku to zwykle problem dowodowy, zanim stanie się problemem sporu. Dokładne żądanie zależy od państwa członkowskiego, produktu i ryzyka, ale plik CRA gotowy do prezentacji powinien udostępniać następujące pozycje:

Obszar dowodów Przykłady
Tożsamość i zakres produktu Model, wersja, przeznaczenie, wersje oprogramowania i firmware, rozwiązanie zdalnego przetwarzania danych, klasa produktu.
Twierdzenie o zgodności Deklaracja Zgodności UE, zastosowane normy, moduł oceny zgodności, certyfikat jednostki notyfikowanej, gdy ma zastosowanie.
Dokumentacja techniczna Plik techniczny z Załącznik VII, ocena ryzyka w zakresie cyberbezpieczeństwa, architektura, testy, kontrole produkcji.
Dowody SBOM Aktualny SBOM, zakres komponentów, metoda generowania, proces aktualizacji, obsługa SBOM od dostawców.
Obsługa podatności Polityka CVD, kontakt bezpieczeństwa, rejestry triage'u, rejestry napraw, proces aktualizacji bezpieczeństwa.
Obowiązkowe zgłoszenia Rejestry decyzji o poważnych incydentach i aktywnie wykorzystywanych podatnościach, rejestry zgłoszeń do ENISA i CSIRT, gdy mają zastosowanie.
Okres wsparcia Ujawniony okres wsparcia, data końca wsparcia, dostępność aktualizacji, rejestry powiadomień klientów.

Praktyczny test jest prosty: jeżeli organ zażąda pliku dziś, czy zespół potrafi przedstawić spójne dowody bez odtwarzania ich z pamięci?

Co utrzymywać w gotowości, zanim nadejdzie żądanie

Skorzystaj z tej listy kontrolnej przed pierwszym terminem egzekwowania:

Obszar Stan gotowości
Zakres i rola Potrafisz wyjaśnić, dlaczego CRA ma zastosowanie, jaką rolę z Artykuł 3 pełnisz oraz czy jakieś wyłączenie z Artykuł 2 ma zastosowanie.
Klasyfikacja produktu Wiesz, czy produkt jest domyślny, ważny klasy I, ważny klasy II czy krytyczny.
Ścieżka oceny zgodności Potrafisz uzasadnić moduł A, B+C, H lub inną dopuszczalną ścieżkę.
Plik techniczny Dowody z Załącznik VII istnieją, są wersjonowane i odpowiadają sprzedawanemu produktowi.
Deklaracja i oznakowanie CE Deklaracja Zgodności UE jest podpisana, dokładna i zgodna z plikiem dowodów.
SBOM SBOM jest generowany, utrzymywany i powiązany z dostarczanymi wersjami.
Obsługa podatności Przyjmowanie zgłoszeń, triage, naprawy, ujawnianie i dostarczanie aktualizacji są operacyjne.
Zgłoszenia Proces decyzyjny i eskalacja są gotowe przed 11 września 2026 r.
Komunikacja Komunikacja z klientami, dystrybutorami, importerami i organami jest udokumentowana.

MŚP, mikro i mali producenci oraz opiekunowie open source

Mniejsi operatorzy zyskują istotne niuanse, ale nie zwolnienie z obowiązków CRA.

Mikroprzedsiębiorstwa, MŚP i start-upy. Przy ustalaniu kar organ musi uwzględnić wielkość operatora, w tym to, czy jest on mikroprzedsiębiorstwem, MŚP czy start-upem. Wpływa to na proporcjonalność, nie na istnienie obowiązku.

Mikro i mali producenci. Istnieje wąska ulga dla dwóch przekroczonych 24-godzinnych terminów wczesnego ostrzeżenia. Nie znosi ona pełnego obowiązku zgłaszania, raportów końcowych ani innych obowiązków CRA.

Opiekunowie oprogramowania otwartego. Opiekunowie są wyłączeni z większości administracyjnych kar pieniężnych, ale ich reżim nadal jest realny: potrzebują polityki cyberbezpieczeństwa i muszą współpracować z organami nadzoru rynku na uzasadnione żądanie. Firma niżej w łańcuchu dostaw, która dostarcza oprogramowanie open source w swoim komercyjnym produkcie, jest zwykle producentem tego produktu, a nie opiekunem.

Częste pytania

Jaka jest maksymalna kara CRA?

Najwyższy przedział kar CRA to 15 000 000 EUR lub, jeżeli za naruszenie odpowiada przedsiębiorstwo, 2,5 % łącznego rocznego światowego obrotu z poprzedniego roku obrotowego, w zależności od tego, która z tych kwot jest wyższa. Ten poziom obejmuje niezgodność z zasadniczymi wymaganiami w zakresie cyberbezpieczeństwa oraz kluczowymi obowiązkami producenta.

Czy egzekwowanie CRA może rozpocząć się przed 11 grudnia 2027 r.?

Tak, w przypadku zgłaszania poważnych incydentów. Pełny reżim CRA stosuje się od 11 grudnia 2027 r., ale obowiązki zgłaszania aktywnie wykorzystywanych podatności oraz poważnych incydentów stosuje się od 11 września 2026 r. Produkty już znajdujące się na rynku również są objęte tym obowiązkiem zgłaszania od tej daty.

Czy ostrzeżenie przed karą jest zagwarantowane?

Nie. Nadzór rynku często zaczyna się od żądań informacji, oceny i kroków naprawczych, ale CRA nie gwarantuje ostrzeżenia przed każdą karą ani środkiem dotyczącym produktu. Reakcja organu zależy od ryzyka, naruszenia, współpracy operatora oraz krajowych przepisów karnych.

Czy organ może zarządzić odzyskanie produktu, nawet jeśli nie nałożono kary?

Tak. Środki dotyczące produktu oraz administracyjne kary pieniężne są odrębnymi narzędziami. Jeżeli przesłanki są spełnione, organy nadzoru rynku mogą wymagać działań naprawczych, wycofania z obrotu, odzyskania produktu lub ograniczeń w udostępnianiu, aby zaadresować istotne ryzyko w cyberprzestrzeni. Odzyskanie produktu dotyczy kontroli ryzyka, a nie tylko karania.

Czy małe firmy są zwolnione z kar CRA?

Co do zasady nie. Wielkość operatora jest czynnikiem proporcjonalności przy ustalaniu kar. CRA daje też mikro i małym producentom wąską ulgę dla dwóch konkretnych 24-godzinnych terminów wczesnego ostrzeżenia, a opiekunowie oprogramowania otwartego są wyłączeni z większości administracyjnych kar pieniężnych. Nie usuwa to pozostałej części zestawu obowiązków CRA.

Co dalej

  1. Potwierdź, czy CRA ma zastosowanie: Czym jest Cyber Resilience Act? oraz Kto musi przestrzegać CRA?.
  2. Określ swoją rolę: producent, importer, dystrybutor albo upoważniony przedstawiciel.
  3. Zbuduj dowody, których może zażądać organ: dokumentacja techniczna, Deklaracja Zgodności UE, dowody SBOM oraz obsługa podatności.