Kary CRA mogą sięgnąć 15 000 000 EUR lub 2,5 % rocznego światowego obrotu, w zależności od tego, która kwota jest wyższa, jeżeli za naruszenie odpowiada przedsiębiorstwo. Cyber Resilience Act daje organom nadzoru rynku dwa rodzaje dźwigni: administracyjne kary pieniężne oraz środki dotyczące produktu, takie jak działania naprawcze, wycofanie z obrotu, odzyskanie produktu lub ograniczenia w udostępnianiu.
Ta strona wyjaśnia, co te uprawnienia oznaczają w praktyce i jakie dowody operator gospodarczy powinien mieć gotowe, zanim organ ich zażąda.
Podsumowanie
- CRA ma trzy poziomy kar. Najwyższy poziom dotyczy zasadniczych wymagań w zakresie cyberbezpieczeństwa oraz kluczowych obowiązków producenta.
- Stała kwota w EUR nie zawsze stanowi pułap. Jeżeli za naruszenie odpowiada przedsiębiorstwo, stosuje się procent obrotu, gdy daje wynik wyższy od kwoty stałej.
- Kary to tylko jedno z narzędzi egzekwowania. Organy mogą wymagać działań naprawczych, wycofania z obrotu, odzyskania produktu lub ograniczeń w udostępnianiu.
- Nadzór rynku zaczyna się od dowodów. Dokumentacja techniczna, Deklaracja Zgodności UE, dowody SBOM, rejestry obsługi podatności oraz dokumentacja okresu wsparcia są tym, czym organ weryfikuje twierdzenie o zgodności.
- Wielkość operatora ma znaczenie, ale to nie jest przepustka. Przy ustalaniu kar organ musi uwzględnić wielkość podmiotu, w tym mikroprzedsiębiorstwa, MŚP i start-upy.
Cztery punkty kotwiczne egzekwowania: najwyższa kara, wcześniejsza data startu zgłoszeń, data pełnego stosowania oraz uprawnienia do środków dotyczących produktu, którymi dysponują organy nadzoru rynku.
Jakie administracyjne kary pieniężne mogą mieć zastosowanie?
Rozporządzenie określa unijne maksima administracyjnych kar pieniężnych. Państwa członkowskie ustalają szczegółowe przepisy karne, ale przepisy te muszą mieścić się w ramach CRA, a kary muszą być skuteczne, proporcjonalne i odstraszające.
| Kategoria naruszenia | Co ją uruchamia | Maksymalna administracyjna kara pieniężna |
|---|---|---|
| Kluczowe obowiązki bezpieczeństwa produktu | Zasadnicze wymagania cyberbezpieczeństwa i kluczowe obowiązki producenta, w tym obsługa podatności, aktualizacje bezpieczeństwa, dowody dotyczące okresu wsparcia i obowiązkowe zgłoszenia | 15 000 000 EUR lub, jeżeli za naruszenie odpowiada przedsiębiorstwo, 2,5 % łącznego rocznego światowego obrotu z poprzedniego roku obrotowego, w zależności od tego, która z tych kwot jest wyższa |
| Dostęp do rynku i zgodność | Kontrole importerów i dystrybutorów, oznakowanie CE, deklaracje, ocena zgodności, współpraca z jednostkami notyfikowanymi oraz obowiązki nadzoru rynku | 10 000 000 EUR lub, jeżeli za naruszenie odpowiada przedsiębiorstwo, 2 % łącznego rocznego światowego obrotu, w zależności od tego, która z tych kwot jest wyższa |
| Wprowadzające w błąd informacje | Przekazywanie jednostkom notyfikowanym lub organom nadzoru rynku informacji nieprawidłowych, niekompletnych albo wprowadzających w błąd | 5 000 000 EUR lub, jeżeli za naruszenie odpowiada przedsiębiorstwo, 1 % łącznego rocznego światowego obrotu, w zależności od tego, która z tych kwot jest wyższa |
Najwyższa kara to ta, którą większość producentów powinna zrozumieć w pierwszej kolejności. Obejmuje ona cyberbezpieczeństwo produktu i operacyjne obowiązki producenta: ocenę ryzyka w zakresie cyberbezpieczeństwa, obsługę podatności, aktualizacje bezpieczeństwa, ujawnianie okresu wsparcia oraz zgłaszanie poważnych incydentów i aktywnie wykorzystywanych podatności. Dokumentacja techniczna, deklaracja zgodności UE oraz oznakowanie CE należą do środkowego przedziału kar (dostęp do rynku i zgodność).
Które naruszenia mają największe znaczenie?
CRA nie szereguje każdego możliwego stanu faktycznego. Wyznacza przedziały prawne. W praktyce najpoważniejsza ekspozycja pojawia się tam, gdzie zawodzi cyberbezpieczeństwo produktu, prawdziwość twierdzenia o zgodności albo zdolność organu do oceny ryzyka.
| Wzorzec | Dlaczego ma znaczenie | Prawdopodobny obszar prawny |
|---|---|---|
| Produkt wprowadzony do obrotu w UE bez spełnienia wymagań zasadniczych z Załącznik I | Twierdzenie o cyberbezpieczeństwie produktu jest błędne u źródła | Najwyższa kara |
| Brak skutecznej obsługi podatności w okresie wsparcia | Obsługa podatności nie działa w okresie wsparcia | Najwyższa kara |
| Brak zgłoszenia poważnego incydentu lub aktywnie wykorzystywanej podatności, gdy obowiązkowe zgłaszanie ma zastosowanie | Obowiązek zgłaszania zaczyna się przed pełnym reżimem | Najwyższa kara |
| Niewłaściwa ścieżka oceny zgodności dla produktu ważnego lub krytycznego | Deklaracja Zgodności opiera się na błędnej ścieżce oceny | Najwyższa albo pośrednia kara, w zależności od naruszonego obowiązku |
| Brak lub nieważna Deklaracja Zgodności UE, oznakowanie CE albo dane operatora | Dokumentacja dostępu do rynku jest wadliwa | Pośrednia kara |
| Wprowadzanie w błąd jednostki notyfikowanej lub organu nadzoru rynku | Organ nie może polegać na przekazanych informacjach | Kara za wprowadzające w błąd informacje, a potencjalnie gorzej, jeśli występują inne naruszenia |
Najbezpieczniejszy sposób czytania poziomów to nie pytanie "jaką karę dostaniemy?", ale "jakie dowody musimy umieć przedstawić?". Podpisana Deklaracja Zgodności bez pliku technicznego, dowodów SBOM, rejestrów obsługi podatności oraz uzasadnienia ścieżki oceny zgodności to krucha pozycja w postępowaniu.
Jak organy ustalają wysokość kary
Wysokość kary nie jest tylko mechanicznym obliczeniem procentowym. Ustalając kwotę, organ musi rozważyć naruszenie, to czy na operatora nakładano już podobne kary, oraz wielkość operatora.
| Czynnik | Znaczenie praktyczne |
|---|---|
| Charakter, waga i czas trwania naruszenia oraz jego konsekwencje | Krótkotrwała luka dokumentacyjna jest czymś innym niż dostarczony produkt z możliwą do wykorzystania słabością projektową. |
| Czy na ten sam podmiot gospodarczy nakładano już kary za podobne naruszenia | Powtarzalne zachowanie w różnych państwach członkowskich może zaostrzyć wynik. |
| Wielkość operatora gospodarczego i udział w rynku | Przy ustalaniu kar należy uwzględnić mikroprzedsiębiorstwa, MŚP i start-upy. |
Nie oznacza to, że mali operatorzy mogą ignorować prawo. Oznacza to, że kara musi być proporcjonalna. Mały producent nadal potrzebuje realnej ścieżki oceny zgodności, dokumentacji technicznej, procesu obsługi podatności oraz zdolności do zgłoszeń, gdy obowiązki mają zastosowanie.
Uprawnienia nadzoru rynku poza karami
Kary to nie jedyne ryzyko. Egzekwowanie CRA mieści się wewnątrz unijnych ram nadzoru rynku, w tym rozporządzenia (UE) 2019/1020. CRA dokłada do tego krajową procedurę dla produktów z elementami cyfrowymi, które stwarzają istotne ryzyko w cyberprzestrzeni.
Jeżeli organ przeprowadzi ocenę produktu i stwierdzi niezgodność, może zobowiązać odpowiedniego operatora gospodarczego do podjęcia odpowiednich działań naprawczych, doprowadzenia produktu do zgodności, wycofania go z obrotu albo odzyskania go w rozsądnym terminie. Jeżeli operator nie podejmuje odpowiednich działań naprawczych, organ może przejść do ograniczenia lub zakazu udostępniania produktu na rynku.
| Środek | Co to oznacza operacyjnie |
|---|---|
| Działanie naprawcze | Usunięcie niezgodności, aktualizacja dokumentacji, naprawa podatności, zmiana instrukcji lub modyfikacja produktu przed dalszą sprzedażą. |
| Wycofanie z obrotu | Zaprzestanie udostępniania produktu na rynku. Zwykle dotyczy niesprzedanych zapasów i kanałów dystrybucji. |
| Odzyskanie | Odzyskanie lub naprawa produktów już dostarczonych użytkownikom, gdy uzasadnia to ryzyko. |
| Ograniczenie lub zakaz | Ograniczenie lub zablokowanie dostępności produktu na rynku krajowym, z potencjalnymi konsekwencjami w całej UE poprzez koordynację. |
Formalna zgodność nie jest tarczą. Produkt może spełniać wymogi dokumentacyjne, a mimo to stwarzać istotne ryzyko w cyberprzestrzeni; w takim przypadku organ może wymagać dodatkowych środków, aby zaadresować to ryzyko na podstawie Artykuł 57. Sama dokumentacja formalna nie wystarczy, jeżeli produkt nadal jest ryzykowny.
Co może wywołać uwagę organu?
CRA nie publikuje stałej listy wyzwalaczy. Nadzór rynku może być proaktywny lub reaktywny. Oto sytuacje, które najprawdopodobniej umieszczą produkt na radarze organu:
| Sygnał | Czego organ prawdopodobnie zażąda |
|---|---|
| Aktywnie wykorzystywana podatność lub poważny incydent | Dowody zgłoszeń, triage podatności, dotknięte wersje, komunikacja z klientami, harmonogram naprawy. |
| Skarga konkurenta, klienta lub badacza | Plik techniczny, rejestry obsługi podatności, dowody oceny zgodności oraz uzasadnienie cyberbezpieczeństwa produktu. |
| Próba produktu lub kampania sektorowa | Deklaracja Zgodności UE, informacje dla użytkownika, oznakowanie CE, dowody SBOM oraz dowody testowe. |
| Wątpliwości importera lub dystrybutora | Tożsamość producenta, dane importera, Deklaracja Zgodności, informacje o okresie wsparcia oraz rejestry identyfikowalności. |
| Niespójne twierdzenia publiczne | Dowody, że materiały marketingowe, deklaracje okresu wsparcia, zobowiązania do aktualizacji bezpieczeństwa oraz plik techniczny do siebie pasują. |
Ryzyko egzekwowania jest najwyższe tam, gdzie firma nie potrafi wyjaśnić, dlaczego produkt jest objęty zakresem, jaką pełni rolę, jaką ścieżkę oceny zgodności wybrała, jakie dowody wspierają Deklarację Zgodności oraz jak obsługiwane są podatności w okresie wsparcia.
Jak może wyglądać żądanie organu
Żądanie nadzoru rynku to zwykle problem dowodowy, zanim stanie się problemem sporu. Dokładne żądanie zależy od państwa członkowskiego, produktu i ryzyka, ale plik CRA gotowy do prezentacji powinien udostępniać następujące pozycje:
| Obszar dowodów | Przykłady |
|---|---|
| Tożsamość i zakres produktu | Model, wersja, przeznaczenie, wersje oprogramowania i firmware, rozwiązanie zdalnego przetwarzania danych, klasa produktu. |
| Twierdzenie o zgodności | Deklaracja Zgodności UE, zastosowane normy, moduł oceny zgodności, certyfikat jednostki notyfikowanej, gdy ma zastosowanie. |
| Dokumentacja techniczna | Plik techniczny z Załącznik VII, ocena ryzyka w zakresie cyberbezpieczeństwa, architektura, testy, kontrole produkcji. |
| Dowody SBOM | Aktualny SBOM, zakres komponentów, metoda generowania, proces aktualizacji, obsługa SBOM od dostawców. |
| Obsługa podatności | Polityka CVD, kontakt bezpieczeństwa, rejestry triage'u, rejestry napraw, proces aktualizacji bezpieczeństwa. |
| Obowiązkowe zgłoszenia | Rejestry decyzji o poważnych incydentach i aktywnie wykorzystywanych podatnościach, rejestry zgłoszeń do ENISA i CSIRT, gdy mają zastosowanie. |
| Okres wsparcia | Ujawniony okres wsparcia, data końca wsparcia, dostępność aktualizacji, rejestry powiadomień klientów. |
Praktyczny test jest prosty: jeżeli organ zażąda pliku dziś, czy zespół potrafi przedstawić spójne dowody bez odtwarzania ich z pamięci?
Co utrzymywać w gotowości, zanim nadejdzie żądanie
Skorzystaj z tej listy kontrolnej przed pierwszym terminem egzekwowania:
| Obszar | Stan gotowości |
|---|---|
| Zakres i rola | Potrafisz wyjaśnić, dlaczego CRA ma zastosowanie, jaką rolę z Artykuł 3 pełnisz oraz czy jakieś wyłączenie z Artykuł 2 ma zastosowanie. |
| Klasyfikacja produktu | Wiesz, czy produkt jest domyślny, ważny klasy I, ważny klasy II czy krytyczny. |
| Ścieżka oceny zgodności | Potrafisz uzasadnić moduł A, B+C, H lub inną dopuszczalną ścieżkę. |
| Plik techniczny | Dowody z Załącznik VII istnieją, są wersjonowane i odpowiadają sprzedawanemu produktowi. |
| Deklaracja i oznakowanie CE | Deklaracja Zgodności UE jest podpisana, dokładna i zgodna z plikiem dowodów. |
| SBOM | SBOM jest generowany, utrzymywany i powiązany z dostarczanymi wersjami. |
| Obsługa podatności | Przyjmowanie zgłoszeń, triage, naprawy, ujawnianie i dostarczanie aktualizacji są operacyjne. |
| Zgłoszenia | Proces decyzyjny i eskalacja są gotowe przed 11 września 2026 r. |
| Komunikacja | Komunikacja z klientami, dystrybutorami, importerami i organami jest udokumentowana. |
MŚP, mikro i mali producenci oraz opiekunowie open source
Mniejsi operatorzy zyskują istotne niuanse, ale nie zwolnienie z obowiązków CRA.
Mikroprzedsiębiorstwa, MŚP i start-upy. Przy ustalaniu kar organ musi uwzględnić wielkość operatora, w tym to, czy jest on mikroprzedsiębiorstwem, MŚP czy start-upem. Wpływa to na proporcjonalność, nie na istnienie obowiązku.
Mikro i mali producenci. Istnieje wąska ulga dla dwóch przekroczonych 24-godzinnych terminów wczesnego ostrzeżenia. Nie znosi ona pełnego obowiązku zgłaszania, raportów końcowych ani innych obowiązków CRA.
Opiekunowie oprogramowania otwartego. Opiekunowie są wyłączeni z większości administracyjnych kar pieniężnych, ale ich reżim nadal jest realny: potrzebują polityki cyberbezpieczeństwa i muszą współpracować z organami nadzoru rynku na uzasadnione żądanie. Firma niżej w łańcuchu dostaw, która dostarcza oprogramowanie open source w swoim komercyjnym produkcie, jest zwykle producentem tego produktu, a nie opiekunem.
Częste pytania
Jaka jest maksymalna kara CRA?
Najwyższy przedział kar CRA to 15 000 000 EUR lub, jeżeli za naruszenie odpowiada przedsiębiorstwo, 2,5 % łącznego rocznego światowego obrotu z poprzedniego roku obrotowego, w zależności od tego, która z tych kwot jest wyższa. Ten poziom obejmuje niezgodność z zasadniczymi wymaganiami w zakresie cyberbezpieczeństwa oraz kluczowymi obowiązkami producenta.
Czy egzekwowanie CRA może rozpocząć się przed 11 grudnia 2027 r.?
Tak, w przypadku zgłaszania poważnych incydentów. Pełny reżim CRA stosuje się od 11 grudnia 2027 r., ale obowiązki zgłaszania aktywnie wykorzystywanych podatności oraz poważnych incydentów stosuje się od 11 września 2026 r. Produkty już znajdujące się na rynku również są objęte tym obowiązkiem zgłaszania od tej daty.
Czy ostrzeżenie przed karą jest zagwarantowane?
Nie. Nadzór rynku często zaczyna się od żądań informacji, oceny i kroków naprawczych, ale CRA nie gwarantuje ostrzeżenia przed każdą karą ani środkiem dotyczącym produktu. Reakcja organu zależy od ryzyka, naruszenia, współpracy operatora oraz krajowych przepisów karnych.
Czy organ może zarządzić odzyskanie produktu, nawet jeśli nie nałożono kary?
Tak. Środki dotyczące produktu oraz administracyjne kary pieniężne są odrębnymi narzędziami. Jeżeli przesłanki są spełnione, organy nadzoru rynku mogą wymagać działań naprawczych, wycofania z obrotu, odzyskania produktu lub ograniczeń w udostępnianiu, aby zaadresować istotne ryzyko w cyberprzestrzeni. Odzyskanie produktu dotyczy kontroli ryzyka, a nie tylko karania.
Czy małe firmy są zwolnione z kar CRA?
Co do zasady nie. Wielkość operatora jest czynnikiem proporcjonalności przy ustalaniu kar. CRA daje też mikro i małym producentom wąską ulgę dla dwóch konkretnych 24-godzinnych terminów wczesnego ostrzeżenia, a opiekunowie oprogramowania otwartego są wyłączeni z większości administracyjnych kar pieniężnych. Nie usuwa to pozostałej części zestawu obowiązków CRA.