Kary CRA mogą sięgnąć 15 000 000 EUR lub 2,5% całkowitego rocznego światowego obrotu, w zależności od tego, która kwota jest wyższa dla przedsiębiorstwa. Cyber Resilience Act daje organom nadzoru rynku dwa narzędzia: administracyjne kary pieniężne oraz środki dotyczące produktu, takie jak działania naprawcze, wycofanie, odzyskanie od użytkowników lub ograniczenie dostępności.
Ta strona wyjaśnia, co te uprawnienia oznaczają w praktyce i jakie dowody operator gospodarczy powinien mieć gotowe przed żądaniem organu.
Podsumowanie
- CRA ma trzy poziomy kar. Najwyższy poziom dotyczy zasadniczych wymagań cyberbezpieczeństwa z Załącznika I oraz obowiązków producenta z artykułów 13 i 14.
- Stała kwota w EUR nie zawsze jest sufitem. Dla przedsiębiorstw stosuje się procent obrotu, jeżeli daje wyższą kwotę.
- Kary to tylko jedno narzędzie. Organ może wymagać działań naprawczych, wycofania, odzyskania produktu lub ograniczenia dostępności.
- Nadzór zaczyna się od dowodów. Dokumentacja techniczna, Deklaracja Zgodności UE, SBOM, rejestry obsługi podatności i okres wsparcia muszą być spójne.
- Wielkość operatora ma znaczenie, ale nie zwalnia z obowiązków. Organ musi uwzględnić mikroprzedsiębiorstwa, MŚP i start-upy przy ustalaniu kary.
Cztery punkty odniesienia dla egzekwowania: najwyższa kara, wcześniejsza data zgłoszeń, pełne stosowanie i środki dotyczące produktu.
Jakie są poziomy kar CRA?
Rozporządzenie określa unijne maksima administracyjnych kar pieniężnych. Państwa członkowskie ustalają szczegóły, ale kary muszą być skuteczne, proporcjonalne i odstraszające.
| Poziom | Naruszenie | Maksymalna kara administracyjna |
|---|---|---|
| Poziom 1 | Niezgodność z Załącznikiem I albo obowiązkami producenta z art. 13 i 14 | 15 000 000 EUR albo 2,5% światowego rocznego obrotu, w zależności od tego, która kwota jest wyższa |
| Poziom 2 | Naruszenie wskazanych obowiązków operatorów gospodarczych, zgodności, jednostek notyfikowanych i nadzoru rynku, w tym art. 18-23, 28, 30-33, 39, 41, 47, 49 i 53 | 10 000 000 EUR albo 2% światowego rocznego obrotu, w zależności od tego, która kwota jest wyższa |
| Poziom 3 | Przekazanie nieprawidłowych, niepełnych lub wprowadzających w błąd informacji jednostce notyfikowanej albo organowi nadzoru rynku | 5 000 000 EUR albo 1% światowego rocznego obrotu, w zależności od tego, która kwota jest wyższa |
Producent powinien najpierw zrozumieć poziom pierwszy. Obejmuje on bezpieczeństwo produktu z Załącznika I oraz obowiązki operacyjne: ocenę ryzyka, obsługę podatności, aktualizacje bezpieczeństwa, dokumentację techniczną, Deklarację Zgodności UE, oznakowanie CE, okres wsparcia i zgłoszenia z art. 14.
Które naruszenia są najważniejsze?
CRA wyznacza ramy prawne, nie gotowy katalog każdego scenariusza. Największe ryzyko pojawia się tam, gdzie zawodzi cyberbezpieczeństwo produktu, prawdziwość deklaracji zgodności albo zdolność organu do oceny ryzyka.
| Wzorzec | Dlaczego ma znaczenie | Typowy obszar |
|---|---|---|
| Produkt nie spełnia Załącznika I | Twierdzenie o bezpieczeństwie jest błędne u źródła | Poziom 1 |
| Brak skutecznej obsługi podatności w okresie wsparcia | Załącznik I część II i art. 13 nie działają | Poziom 1 |
| Brak zgłoszenia aktywnie wykorzystywanej podatności lub poważnego incydentu | Obowiązek zgłaszania zaczyna się przed pełnym reżimem | Poziom 1 |
| Zła ścieżka oceny zgodności dla produktu ważnego lub krytycznego | Deklaracja opiera się na błędnej ocenie | Poziom 1 albo 2 |
| Brak deklaracji UE, CE lub danych operatora | Dowody dostępu do rynku są wadliwe | Poziom 2 |
| Informacje wprowadzające w błąd organ | Organ nie może polegać na przekazanych danych | Poziom 3, czasem więcej |
Praktyczne pytanie brzmi: "jakie dowody możemy pokazać?". Podpisana deklaracja bez dokumentacji technicznej, SBOM, rejestrów podatności i uzasadnienia ścieżki zgodności to słaba pozycja.
Jak organ ustala kwotę
Kwota nie jest prostym obliczeniem procentowym. Organ bierze pod uwagę charakter, wagę, czas trwania i skutki naruszenia, wcześniejsze podobne kary oraz wielkość operatora.
| Czynnik | Znaczenie praktyczne |
|---|---|
| Charakter, waga, czas trwania i skutki | Krótka luka dokumentacyjna różni się od produktu sprzedanego z podatnością możliwą do wykorzystania. |
| Wcześniejsze podobne kary | Powtarzające się naruszenia w różnych państwach mogą pogorszyć wynik. |
| Wielkość i udział w rynku | Mikroprzedsiębiorstwa, MŚP i start-upy wpływają na proporcjonalność. |
Nie jest to zwolnienie z prawa. Mały producent nadal potrzebuje realnej ścieżki zgodności, dokumentacji technicznej, obsługi podatności i zdolności zgłaszania, gdy obowiązek ma zastosowanie.
Nadzór rynku poza karami
Egzekwowanie CRA działa w ramach unijnego nadzoru rynku, w tym rozporządzenia (UE) 2019/1020. CRA dodaje procedurę dla produktów z elementami cyfrowymi, które stwarzają istotne ryzyko cyberbezpieczeństwa.
Jeżeli organ stwierdzi niezgodność, może wymagać działań naprawczych, doprowadzenia produktu do zgodności, wycofania z rynku albo odzyskania produktu od użytkowników. Jeżeli odpowiedź operatora jest niewystarczająca, organ może ograniczyć lub zakazać dostępności.
| Środek | Znaczenie operacyjne |
|---|---|
| Działanie naprawcze | Usunięcie niezgodności, aktualizacja dokumentacji, naprawa podatności albo zmiana produktu. |
| Wycofanie | Zaprzestanie udostępniania produktu na rynku, zwykle dla zapasów i kanałów sprzedaży. |
| Odzyskanie | Odzyskanie lub naprawa produktów już dostarczonych użytkownikom, gdy wymaga tego ryzyko. |
| Ograniczenie albo zakaz | Ograniczenie lub zablokowanie dostępności na rynku krajowym, z możliwą koordynacją w UE. |
Ważny jest także art. 57. Produkt może formalnie wyglądać na zgodny, a mimo to stwarzać istotne ryzyko cyberbezpieczeństwa. Same dokumenty nie wystarczą, jeżeli produkt pozostaje ryzykowny.
Co może wywołać uwagę organu
Nadzór może być proaktywny albo reaktywny. Najczęstsze sygnały to:
| Sygnał | Czego organ może zażądać |
|---|---|
| Aktywnie wykorzystywana podatność albo poważny incydent | Decyzje z art. 14, triage, wersje dotknięte, komunikacja, harmonogram naprawy. |
| Skarga klienta, konkurenta albo badacza | Dokumentacja techniczna, rejestry podatności, dowody zgodności i uzasadnienie bezpieczeństwa. |
| Próba produktu albo kampania sektorowa | Deklaracja UE, informacje dla użytkownika, CE, SBOM i dowody testów. |
| Wątpliwości importera lub dystrybutora | Tożsamość producenta, dane importera, deklaracja, wsparcie i identyfikowalność. |
| Niespójne twierdzenia publiczne | Zgodność marketingu, wsparcia, aktualizacji i dokumentacji technicznej. |
Ryzyko rośnie, gdy firma nie umie wyjaśnić, dlaczego CRA ma zastosowanie, jaką pełni rolę, jaką ścieżkę zgodności wybrała i jak obsługuje podatności w okresie wsparcia.
Co trzymać w gotowości
Żądanie organu to przede wszystkim problem dowodowy. Gotowy plik CRA powinien obejmować:
| Obszar | Przykłady |
|---|---|
| Tożsamość i zakres produktu | Model, wersja, przeznaczenie, wersje oprogramowania lub firmware, zdalne przetwarzanie, klasa produktu. |
| Twierdzenie o zgodności | Deklaracja UE, zastosowane normy, moduł oceny, certyfikat jednostki notyfikowanej. |
| Dokumentacja techniczna | Plik z Załącznika VII, ocena ryzyka, architektura, testy, kontrole produkcji. |
| SBOM | Aktualny SBOM, zakres komponentów, metoda generowania, aktualizacje, SBOM dostawców. |
| Obsługa podatności | Polityka CVD, kontakt bezpieczeństwa, triage, naprawy, aktualizacje bezpieczeństwa. |
| Zgłoszenia art. 14 | Rejestry decyzji, zgłoszenia ENISA i CSIRT, jeżeli mają zastosowanie. |
| Okres wsparcia | Ujawniony okres wsparcia, data końca wsparcia, dostępność aktualizacji, komunikacja z klientami. |
Test jest prosty: jeżeli organ zażąda pliku dziś, czy zespół może przedstawić spójne dowody bez odtwarzania ich z pamięci?
MŚP, mikro i mali producenci, opiekunowie open source
Mniejsi operatorzy mają ważne niuanse, ale nie ogólne zwolnienie.
Mikroprzedsiębiorstwa, MŚP i start-upy. Wielkość musi być uwzględniona przy ustalaniu kary. Dotyczy proporcjonalności, nie istnienia obowiązku.
Mikro i mali producenci. Art. 64 ust. 10 lit. a zwalnia producentów będących mikroprzedsiębiorstwami lub małymi przedsiębiorstwami z kar za przekroczenie 24-godzinnych wczesnych ostrzeżeń z art. 14 ust. 2 lit. a i art. 14 ust. 4 lit. a. Zwolnienie jest wąskie. Nie obejmuje całego obowiązku zgłaszania ani innych obowiązków CRA.
Opiekunowie oprogramowania open source. Art. 64 ust. 10 lit. b zwalnia ich z kar z ust. 3-9. Reżim nadal istnieje: art. 24 wymaga polityki cyberbezpieczeństwa i współpracy z organami na uzasadniony wniosek. Firma, która dostarcza open source w swoim produkcie komercyjnym, zwykle jest producentem tego produktu, nie opiekunem.
Częste pytania
Jaka jest maksymalna kara CRA?
Najwyższy poziom to 15 000 000 EUR albo, dla przedsiębiorstwa, 2,5% całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, w zależności od tego, która kwota jest wyższa. Obejmuje Załącznik I oraz obowiązki z art. 13 i 14.
Czy egzekwowanie może zacząć się przed 11 grudnia 2027?
Tak, dla zgłoszeń z art. 14. Pełny reżim stosuje się od 11 grudnia 2027, ale zgłaszanie aktywnie wykorzystywanych podatności i poważnych incydentów stosuje się od 11 września 2026, także dla produktów już obecnych na rynku.
Czy ostrzeżenie przed karą jest gwarantowane?
Nie. Nadzór rynku często zaczyna się od żądania informacji, oceny i działań naprawczych, ale CRA nie gwarantuje ostrzeżenia przed każdą karą albo środkiem dotyczącym produktu.