CRA stosuje się do każdego produktu z elementami cyfrowymi, który łączy się, bezpośrednio lub pośrednio, z urządzeniem lub siecią i trafia na rynek UE. Jeżeli ten test wypada pozytywnie i nie obejmuje cię wyłączenie z artykułu 2, kolejne pytanie brzmi, jaką rolę pełnisz na podstawie artykułu 3: producenta, importera, dystrybutora, upoważnionego przedstawiciela albo zarządcy oprogramowania open source. Ta strona jest maszyną sortującą, zanim podejmiesz decyzję o pogłębionym artykule.
Podsumowanie
- Test zakresu mieści się w jednym zdaniu (art. 2 ust. 1). Opiera się na "bezpośrednim lub pośrednim logicznym lub fizycznym połączeniu danych z urządzeniem lub siecią", co jest szersze, niż zakłada większość zespołów.
- Artykuł 2 wykrawa pięć rodzin produktów. Wyroby medyczne, pojazdy silnikowe, lotnictwo cywilne, wyposażenie morskie oraz produkty opracowane lub zmodyfikowane wyłącznie do celów bezpieczeństwa narodowego, obrony lub przetwarzania informacji niejawnych.
- Trzy role operatorów gospodarczych dźwigają większość pracy. Producent (artykuły 13 i 14), importer (artykuł 19), dystrybutor (artykuł 20).
- Uważaj na pułapkę domniemanego producenta (artykuł 22). Istotnie zmodyfikuj produkt po wprowadzeniu go do obrotu, a stajesz się producentem dla zmienionej części lub całego produktu.
- Zarządcy oprogramowania open source mają lżejszy reżim (artykuł 24). Udokumentowana polityka cyberbezpieczeństwa i obowiązek współpracy, a nie pełen ładunek producenta.
- Wiele ról kumuluje się do najsurowszej. Gdy mieścisz się w więcej niż jednej definicji, stosuje się najcięższy zestaw obowiązków.
Cztery kotwice rozstrzygające, czy CRA stosuje się do ciebie i jak ciężko: test zakresu, wyłączenia, oś ról oraz pułapka modyfikującego.
Bramka zakresu: czy twój produkt jest objęty?
Artykuł 2 ust. 1 definiuje zakres CRA w jednym zdaniu:
„Niniejsze rozporządzenie stosuje się do produktów z elementami cyfrowymi udostępnianych na rynku, których przeznaczenie lub racjonalnie przewidywalne użycie obejmuje bezpośrednie lub pośrednie logiczne lub fizyczne połączenie danych z urządzeniem lub siecią."
Najistotniejszym sformułowaniem jest „bezpośrednie lub pośrednie logiczne lub fizyczne połączenie danych". Artykuł 3 definiuje znaczenie każdego z tych elementów. Tłumaczenie na prosty język:
| Rodzaj połączenia | Proste znaczenie | Przykład rzeczywisty |
|---|---|---|
| Logiczne (art. 3 pkt 8) | Wirtualna ścieżka danych zaimplementowana przez interfejs programowy. | Wywołanie REST API między mikroserwisem a backendem; temat MQTT między urządzeniem IoT a brokerem. |
| Fizyczne (art. 3 pkt 9) | Połączenie przez interfejsy elektryczne, optyczne lub mechaniczne, przewody albo fale radiowe. | Kabel Ethernet; parowanie Bluetooth; przemysłowa magistrala RS-485. |
| Pośrednie (art. 3 pkt 10) | Połączenie biegnące przez większy system, który sam jest bezpośrednio łączalny. | Czujnik komunikujący się wyłącznie z lokalnym koncentratorem, który sam dociera do internetu. Czujnik mieści się w zakresie poprzez koncentrator. |
W praktyce klauzula połączenia pośredniego jest najszerszą siecią. Czujnik komunikujący się wyłącznie z lokalnym koncentratorem mieści się w zakresie, jeżeli sam koncentrator jest łączalny. Akcesorium medyczne parujące się z telefonem przez Bluetooth mieści się w zakresie poprzez telefon. Fabryczny PLC docierający do internetu wyłącznie przez bramę przemysłową mieści się w zakresie poprzez bramę. Producenci przemysłowi i IoT, którzy zakładają „brak Wi-Fi oznacza brak CRA", przegapiają tę klauzulę i przegapiają rozporządzenie w całości.
„Produkt z elementami cyfrowymi" jest następnie zdefiniowany w art. 3 pkt 1 jako produkt programowy lub sprzętowy oraz jego rozwiązania zdalnego przetwarzania danych, w tym komponenty programowe lub sprzętowe wprowadzane do obrotu osobno. Samodzielne komponenty wprowadzane do obrotu również mieszczą się w zakresie.
Wyłączenia z artykułu 2
Artykuł 2 ustępy 2 do 8 wymieniają, co jest wyłączone z CRA:
| Co jest wyłączone | Źródło |
|---|---|
| Wyroby medyczne i wyroby medyczne do diagnostyki in vitro | Rozp. (UE) 2017/745 (MDR), Rozp. (UE) 2017/746 (IVDR) |
| Pojazdy silnikowe | Rozp. (UE) 2019/2144 |
| Produkty lotnictwa cywilnego | Rozp. (UE) 2018/1139 |
| Wyposażenie morskie | Dyr. 2014/90/UE |
| Części zamienne zastępujące identyczne komponenty wykonane według tych samych specyfikacji | Art. 2 ust. 6 |
| Produkty opracowane lub zmodyfikowane wyłącznie do celów bezpieczeństwa narodowego, obrony lub przetwarzania informacji niejawnych | Art. 2 ust. 7 |
| Informacje, których ujawnienie byłoby sprzeczne z zasadniczymi interesami bezpieczeństwa państwa członkowskiego | Art. 2 ust. 8 |
Artykuł 2 ust. 5 dopuszcza ponadto, by Komisja ograniczyła lub wyłączyła stosowanie CRA tam, gdzie inny akt unijny obejmuje już te same ryzyka na poziomie ochrony równoważnym lub wyższym.
W zakresie poziomu cyberbezpieczeństwa twojego produktu (klasa domyślna, klasa istotna I, klasa istotna II albo krytyczna) zob. klasyfikacja produktów CRA oraz ocena zgodności CRA.
Oś ról: którym operatorem gospodarczym jesteś?
Artykuł 3 definiuje cztery role istotne dla operatorów wprowadzających produkty na rynek UE.
Jesteś producentem (art. 3 pkt 13), jeżeli opracowujesz lub zlecasz projektowanie i wytwarzanie produktu z elementami cyfrowymi i wprowadzasz go do obrotu pod własną nazwą lub znakiem towarowym, odpłatnie lub nieodpłatnie. Producenci dźwigają pełen zestaw obowiązków na podstawie artykułu 13: projektowanie oparte na ryzyku, obsługa podatności na podstawie załącznika I część II, dokumentacja techniczna na podstawie załącznika VII, unijna deklaracja zgodności, oznakowanie CE oraz zgłaszanie poważnych incydentów i aktywnie wykorzystywanych podatności na podstawie artykułu 14. Sprzedaż pod własną marką produktu zaprojektowanego i wykonanego przez OEM nadal czyni cię producentem. Zob. obowiązki producenta CRA.
Jesteś importerem (art. 3 pkt 16), jeżeli masz siedzibę w Unii i wprowadzasz na rynek UE produkt z elementami cyfrowymi noszący nazwę lub znak towarowy osoby z siedzibą poza Unią. Artykuł 19 wymaga od importerów zweryfikowania, przed wprowadzeniem produktu, że producent przeprowadził ocenę zgodności, sporządził dokumentację techniczną, umieścił oznakowanie CE oraz dostarczył unijną deklarację zgodności i wymagane informacje dla użytkownika. Importerzy muszą przechowywać dokumentację przez dziesięć lat i współpracować z organami nadzoru rynku. Zob. obowiązki importera CRA.
Jesteś dystrybutorem (art. 3 pkt 17), jeżeli jesteś w łańcuchu dostaw, inny niż producent lub importer, i udostępniasz produkt na rynku Unii bez wpływu na jego właściwości. Artykuł 20 wymaga od dystrybutorów zweryfikowania, przed udostępnieniem produktu, że oznakowanie CE jest umieszczone, unijna deklaracja zgodności jest dostępna, a producent dostarczył wymagane informacje i instrukcje. Zob. obowiązki dystrybutora CRA.
Jesteś upoważnionym przedstawicielem (art. 3 pkt 15), jeżeli masz siedzibę w Unii i posiadasz pisemne pełnomocnictwo od producenta spoza UE do działania w jego imieniu. Producent spoza UE wprowadzający produkty na rynek UE musi wyznaczyć upoważnionego przedstawiciela na podstawie artykułu 18; upoważniony przedstawiciel jest punktem kontaktowym z siedzibą w UE dla organów nadzoru rynku. Zob. upoważniony przedstawiciel CRA.
Pułapka domniemanego producenta: artykuł 22
Artykuł 22 ust. 1 tworzy rolę „domniemanego producenta": każdy inny niż producent, importer lub dystrybutor, kto dokonuje istotnej modyfikacji produktu, a następnie udostępnia zmodyfikowany produkt na rynku, jest traktowany jako producent tego produktu, z pełnymi obowiązkami z artykułów 13 i 14 w pakiecie.
Artykuł 22 ust. 2 wyznacza zakres tych obowiązków. Jeżeli modyfikacja dotyczy wyłącznie części produktu, obowiązki domniemanego producenta obejmują tę część. Jeżeli modyfikacja ma wpływ na cyberbezpieczeństwo całego produktu, obejmują cały produkt.
„Istotną modyfikację" definiuje art. 3 pkt 30 jako zmianę dokonaną po wprowadzeniu produktu do obrotu, która albo wpływa na zgodność produktu z istotnymi wymogami cyberbezpieczeństwa załącznika I część I, albo modyfikuje przeznaczenie, dla którego produkt został pierwotnie oceniony. Dwa schematy uruchamiają ją w praktyce: ponowne wgranie firmware'u lub przepakowanie urządzenia osoby trzeciej z własnym firmware'em oraz integracja produktu osoby trzeciej w system w sposób zmieniający jego przeznaczenie. W każdym z tych przypadków modyfikujący dziedziczy obowiązki z artykułów 13 i 14 dla zmienionej części lub dla całego produktu, jeśli cyberbezpieczeństwo jest dotknięte jako całość.
Etykietowanie marką pod własną nazwą nie jest artykułem 22; jest to definicja producenta z art. 3 pkt 13. Jeżeli sprzedajesz produkt osoby trzeciej pod własną marką, jesteś producentem od początku, a nie domniemanym producentem.
Zarządcy oprogramowania open source: artykuł 24
Zarządca oprogramowania open source (art. 3 pkt 14) to osoba prawna, inna niż producent, której celem jest systematyczne wspieranie rozwoju konkretnych produktów open source przeznaczonych do działalności komercyjnej oraz zapewnianie ich rentowności. W praktyce zarządcami są zwykle fundacje lub niedochodowe osoby prawne podtrzymujące sam projekt upstream, a nie spółki, które dostarczają oprogramowanie open source wewnątrz własnych produktów.
Obowiązki są węższe niż reżim producenta, ale wciąż konkretne:
- Udokumentować politykę cyberbezpieczeństwa (art. 24 ust. 1), która sprzyja bezpiecznemu rozwojowi projektu i skutecznej obsłudze podatności przez jego deweloperów, zachęca do dobrowolnego zgłaszania podatności na podstawie artykułu 15 oraz wspiera wymianę informacji w społeczności open source.
- Współpracować z organami nadzoru rynku (art. 24 ust. 2) na uzasadniony wniosek, w tym poprzez dostarczenie dokumentacji polityki cyberbezpieczeństwa.
Reżim ten nie stosuje się do większości spółek dostarczających oprogramowanie open source wewnątrz produktu komercyjnego. Jeżeli bierzesz bibliotekę open source, integrujesz ją w produkt, który wprowadzasz do obrotu, i wprowadzasz ten produkt na rynek UE pod własną nazwą, jesteś producentem, a nie zarządcą.
Drzewo decyzyjne: zidentyfikuj swoją ścieżkę zgodności
| Jeżeli ... | Jesteś ... | Idź do ... |
|---|---|---|
| Projektujesz lub zlecasz wytworzenie produktu z elementami cyfrowymi, który wprowadzasz na rynek UE pod własną nazwą lub znakiem towarowym | Producent (artykuły 13 i 14) | Obowiązki producenta |
| Masz siedzibę w UE i wprowadzasz na rynek UE produkt noszący nazwę lub znak towarowy osoby spoza UE | Importer (artykuł 19) | Obowiązki importera |
| Jesteś w łańcuchu dostaw (nie producent ani importer) i udostępniasz produkt na rynku UE bez wpływu na jego właściwości | Dystrybutor (artykuł 20) | Obowiązki dystrybutora |
| Dokonujesz istotnej modyfikacji produktu przed jego udostępnieniem na rynku | Domniemany producent (artykuł 22) | Pełne obowiązki z artykułów 13 i 14 stosują się do zmienionej części lub całego produktu |
| Jesteś producentem spoza UE wprowadzającym produkty na rynek UE | Producent (artykuły 13 i 14) i musisz wyznaczyć upoważnionego przedstawiciela (artykuł 18) | Upoważniony przedstawiciel |
| Jesteś osobą prawną systematycznie wspierającą projekt open source jako swój zasadniczy cel, a nie dystrybucją komercyjną | Zarządca OSS (art. 3 pkt 14 i artykuł 24) | Reżim zarządcy OSS |
Jeżeli mieścisz się w więcej niż jednej roli, stosuje się najsurowszy zestaw obowiązków. Spółka, która opracowuje produkt, brandują go i wprowadza na rynek UE, jest producentem niezależnie od tego, którzy podwykonawcy wykonali projekt lub budowę; spółka, która importuje produkt spoza UE i istotnie modyfikuje go przed wprowadzeniem, dziedziczy obowiązki producenta na podstawie artykułu 22 obok statusu importera.
Najczęściej zadawane pytania
Mój produkt działa wyłącznie w sieci lokalnej. Czy CRA wciąż go obejmuje?
Prawdopodobnie tak. Test zakresu CRA obejmuje połączenia pośrednie: produkt mieści się w zakresie, jeżeli łączy się przez większy system, który sam jest łączalny. Czujnik na lokalnym koncentratorze, peryferium Bluetooth parujące się z telefonem, PLC za bramą przemysłową: każdy mieści się w zakresie poprzez urządzenie, z którym się łączy. Jedyny produkt poza zakresem to taki bez oprogramowania, bez firmware'u i bez żadnej drogi do innego urządzenia lub sieci. (artykuły 2(1) i 3(10))
Prowadzę usługę SaaS. Czy CRA się do mnie stosuje?
Co do zasady nie. SaaS mieści się pod NIS2, a nie CRA. CRA stosuje się do produktu programowego lub sprzętowego wprowadzanego na rynek. Czysta usługa hostowana w chmurze nie spełnia tej definicji. Wyjątkiem jest rozwiązanie zdalnego przetwarzania danych dostarczane przez producenta: komponent chmurowy niezbędny do wykonywania funkcji produktu mieści się w zakresie jako część tego produktu. SaaS, który dostarcza także klienta instalowalnego (aplikację desktopową lub mobilną, SDK, agenta lokalnego), wciąga część instalowalną w zakres. (artykuł 3(1) i (2))
Odsprzedajemy niezmodyfikowany sprzęt pod własną marką. Producent czy dystrybutor?
Producent. Każdy, kto wprowadza produkt do obrotu pod własną nazwą lub znakiem towarowym, jest producentem, niezależnie od tego, kto go zaprojektował lub zbudował. Etykietowanie marką produktu OEM jest podręcznikowym przypadkiem i wiąże się z pełnym zestawem obowiązków z artykułów 13 i 14. To nie jest droga domniemanego producenta: producentem jest się od początku. (artykuł 3(13); nie artykuł 22)
Używamy bibliotek open source w naszym produkcie. Czy jesteśmy zarządcą na podstawie artykułu 24?
Nie. Zarządcami są zwykle fundacje lub niedochodowe osoby prawne, które systematycznie wspierają projekt open source jako swój zasadniczy cel. Spółka, która bierze bibliotekę open source, integruje ją w produkt komercyjny i wprowadza ten produkt na rynek UE, jest producentem dla tego produktu. Lżejszy reżim jest dla podmiotu utrzymującego projekt upstream, a nie dla jego konsumentów downstream. (artykuły 3(14) i 24; obowiązki producenta w artykułach 13 i 14)
Spółka spoza UE sprzedaje bezpośrednio konsumentom UE poprzez naszą platformę handlową. Kto odpowiada?
Zależy od łańcucha. Producent spoza UE musi wyznaczyć upoważnionego przedstawiciela; jeżeli tego nie zrobi, importer z siedzibą w UE (operator wprowadzający produkt na rynek UE) dziedziczy część obowiązków. Platforma handlowa, która jedynie pośredniczy i sama nie wprowadza produktów do obrotu, co do zasady nie jest importerem; jeżeli platforma posiada listing albo realizuje zamówienie z magazynu w UE, wkracza na terytorium importera. Sprawdź faktyczny przepływ transakcji przed podjęciem decyzji. (artykuły 18 i 19)