Cyber Resilience Act obejmuje każdy produkt z elementami cyfrowymi, który łączy się bezpośrednio lub pośrednio z urządzeniem albo siecią i trafia na rynek UE. Jeżeli ten test wypada pozytywnie i nie obejmuje Cię żadne wyłączenie, kolejne pytanie brzmi: jaką rolę pełnisz w unijnym łańcuchu dostaw, producenta, importera, dystrybutora, upoważnionego przedstawiciela czy opiekuna otwartego oprogramowania. Ta strona porządkuje role, zanim wejdziesz w pogłębiony artykuł.
Podsumowanie
- Test zakresu mieści się w jednym zdaniu. Opiera się na bezpośrednim lub pośrednim, logicznym lub fizycznym połączeniu danych z urządzeniem albo siecią, co jest szersze, niż zakłada większość zespołów.
- Główne wyłączenia obejmują reżimy sektorowe, części zamienne i obronność. Wyroby medyczne, pojazdy silnikowe, lotnictwo cywilne, wyposażenie morskie, identyczne części zamienne oraz produkty opracowane lub zmodyfikowane wyłącznie do celów bezpieczeństwa narodowego, obronności lub przetwarzania informacji niejawnych.
- Trzy role operatorów gospodarczych dźwigają większość pracy. Producent, importer, dystrybutor.
- Uważaj na przełącznik obowiązków producenta. Importerzy i dystrybutorzy, którzy używają własnej marki albo istotnie modyfikują produkt, są traktowani jak producenci; inne osoby trzecie dokonujące istotnych modyfikacji objęte są odrębnie.
- Opiekunowie otwartego oprogramowania mają lżejszy reżim. Udokumentowana polityka cyberbezpieczeństwa oraz obowiązek współpracy, a nie pełen ładunek producenta.
- Wiele ról kumuluje się do najsurowszej. Gdy mieścisz się w więcej niż jednej definicji, stosuje się najcięższy zestaw obowiązków.
Cztery kotwice rozstrzygające, czy CRA stosuje się do Ciebie i jak ciężko: test zakresu, wyłączenia, oś ról oraz przełącznik obowiązków producenta.
Czy CRA dotyczy Twojego produktu?
Zacznij od produktu, nie od cytatu z przepisu. Pierwszy test zakresu CRA polega na ustaleniu, czy udostępniasz na rynku UE oprogramowanie, sprzęt albo komponent cyfrowy oraz czy jego przeznaczenie lub racjonalnie przewidywalne użycie obejmuje bezpośrednie lub pośrednie, logiczne albo fizyczne połączenie danych z urządzeniem lub siecią.
Najważniejszym sformułowaniem jest „bezpośrednie lub pośrednie, logiczne lub fizyczne połączenie danych". W prostym języku:
| Rodzaj połączenia | Proste znaczenie | Przykład rzeczywisty |
|---|---|---|
| Logiczne | Wirtualna ścieżka danych zaimplementowana przez interfejs programowy. | Wywołanie REST API między mikroserwisem a backendem; temat MQTT między urządzeniem IoT a brokerem. |
| Fizyczne | Połączenie przez interfejsy elektryczne, optyczne lub mechaniczne, przewody albo fale radiowe. | Kabel Ethernet; parowanie Bluetooth; przemysłowa magistrala RS-485. |
| Pośrednie | Połączenie biegnące przez większy system, który sam jest bezpośrednio łączalny. | Czujnik komunikujący się wyłącznie z lokalnym koncentratorem, przy czym sam koncentrator dociera do internetu. Czujnik mieści się w zakresie poprzez koncentrator. |
Klauzula połączenia pośredniego jest najszerszą siecią. Czujnik komunikujący się wyłącznie z lokalnym koncentratorem mieści się w zakresie, jeżeli sam koncentrator jest łączalny. Akcesorium czujnika parujące się z telefonem przez Bluetooth mieści się w zakresie poprzez telefon. Fabryczny PLC docierający do internetu wyłącznie przez bramę przemysłową mieści się w zakresie poprzez bramę. Producenci przemysłowi i IoT, którzy zakładają „brak Wi-Fi oznacza brak CRA", przegapiają tę klauzulę i przegapiają całe rozporządzenie.
„Produkt z elementami cyfrowymi" obejmuje następnie produkty programowe lub sprzętowe oraz ich rozwiązania zdalnego przetwarzania danych, w tym komponenty programowe lub sprzętowe wprowadzane do obrotu osobno. Samodzielne komponenty wprowadzane do obrotu również mieszczą się w zakresie.
Sektory już regulowane gdzie indziej
Niektóre sektory pozostają poza CRA niezależnie od powyższych testów progowych, ponieważ są już objęte własnymi reżimami cyberbezpieczeństwa.
| Sektor | Regulowany zamiast przez | Wyłączony przez |
|---|---|---|
| Wyroby medyczne | Rozporządzenie (UE) 2017/745 (MDR) | Artykuł 2(2), litera (a) |
| Wyroby medyczne do diagnostyki in vitro | Rozporządzenie (UE) 2017/746 (IVDR) | Artykuł 2(2), litera (b) |
| Pojazdy silnikowe | Rozporządzenie (UE) 2019/2144 | Artykuł 2(2), litera (c) |
| Certyfikowane produkty lotnictwa cywilnego | Rozporządzenie (UE) 2018/1139 | Artykuł 2(3) |
| Wyposażenie morskie | Dyrektywa 2014/90/UE | Artykuł 2(4) |
| Części zamienne (zastępujące identyczne komponenty) | Nie dotyczy; poza zakresem z definicji | Artykuł 2(6) |
| Produkty bezpieczeństwa narodowego, obronności i informacji niejawnych | Kompetencja państwa członkowskiego | Artykuł 2(7) |
Komisja może ponadto ograniczyć lub wyłączyć stosowanie CRA, gdy inny akt unijny obejmuje już te same ryzyka na równoważnym lub wyższym poziomie ochrony.
W zakresie poziomu cyberbezpieczeństwa Twojego produktu (klasa domyślna, klasa istotna I, klasa istotna II albo krytyczna) zob. klasyfikacja produktów CRA oraz ocena zgodności CRA.
Role CRA: producent, importer, dystrybutor czy upoważniony przedstawiciel?
Gdy produkt mieści się w zakresie, Twoje obowiązki z tytułu CRA zależą od tego, co robisz w unijnym łańcuchu dostaw: czyja marka widnieje na produkcie, kto wprowadza go do Unii, kto go udostępnia i czy ktoś zmienia go przed odsprzedażą.
Producent
Wprowadzasz produkt do obrotu pod własną nazwą lub znakiem towarowym. Opracowujesz albo zlecasz zaprojektowanie i wytworzenie produktu z elementami cyfrowymi i wprowadzasz go do obrotu pod własną marką, odpłatnie lub nieodpłatnie. Producenci dźwigają pełen zestaw obowiązków: projektowanie oparte na ryzyku, obsługę podatności, dokumentację techniczną, unijną deklarację zgodności, oznakowanie CE oraz zgłaszanie poważnych incydentów i aktywnie wykorzystywanych podatności. Sprzedaż pod własną marką produktu zaprojektowanego i zbudowanego przez OEM nadal czyni Cię producentem. Zob. obowiązki producenta CRA.
Importer
Masz siedzibę w UE i wprowadzasz na rynek UE produkt z marką spoza Unii. Przed wprowadzeniem produktu musisz zweryfikować, że producent przeprowadził ocenę zgodności, sporządził dokumentację techniczną, umieścił oznakowanie CE oraz dostarczył unijną deklarację zgodności i wymagane informacje dla użytkownika. Importerzy muszą przechowywać dokumentację przez dziesięć lat i współpracować z organami nadzoru rynku. Zob. obowiązki importera CRA.
Dystrybutor
Udostępniasz produkt na rynku Unii bez wpływu na jego właściwości. Jesteś w łańcuchu dostaw, inny niż producent lub importer. Przed udostępnieniem produktu musisz zweryfikować, że oznakowanie CE jest umieszczone, unijna deklaracja zgodności jest dostępna, a producent dostarczył wymagane informacje i instrukcje. Zob. obowiązki dystrybutora CRA.
Upoważniony przedstawiciel
Masz siedzibę w UE na podstawie pisemnego pełnomocnictwa od producenta. CRA pozwala producentowi wyznaczyć upoważnionego przedstawiciela pisemnym pełnomocnictwem, ale wyznaczenie nie jest automatyczne ani obowiązkowe tylko dlatego, że producent ma siedzibę poza UE. Przedstawiciel działa w granicach powierzonych zadań. Zob. upoważniony przedstawiciel CRA.
Modyfikacje produktu: kiedy stajesz się producentem
Siedzisz w łańcuchu dostaw za producentem zewnętrznym. Przejdź przez dwa kolejne sprawdzenia, zanim założysz, że nadal jesteś importerem albo dystrybutorem.
Umieszczenie własnej marki na cudzym produkcie czyni Cię producentem od początku, a nie producentem domniemanym.
Istotna modyfikacja wpływa na zgodność z istotnymi wymogami cyberbezpieczeństwa albo zmienia przeznaczenie, dla którego produkt został pierwotnie oceniony.
Zmiana cudzego produktu może uczynić Cię odpowiedzialnym jak producenta. Importer lub dystrybutor jest traktowany jak producent, jeżeli sprzedaje produkt pod własną nazwą lub znakiem towarowym albo istotnie modyfikuje produkt już wprowadzony do obrotu. Takie samo traktowanie jak producenta stosuje się do każdej innej osoby fizycznej lub prawnej, która istotnie modyfikuje produkt, a następnie udostępnia zmodyfikowany produkt.
Dla innych osób trzecich dokonujących modyfikacji odpowiedzialność podąża za wpływem na cyberbezpieczeństwo: obowiązki producenta stosuje się do części produktu dotkniętej modyfikacją, chyba że zmiana wpływa na cyberbezpieczeństwo całego produktu; wtedy obowiązki obejmują cały produkt.
„Istotna modyfikacja" to zmiana dokonana po wprowadzeniu produktu do obrotu, która albo wpływa na zgodność produktu z istotnymi wymogami cyberbezpieczeństwa, albo zmienia przeznaczenie, dla którego produkt został pierwotnie oceniony. Dwa schematy uruchamiają ją najczęściej: ponowne wgranie firmware'u lub przepakowanie urządzenia osoby trzeciej z własnym firmware'em oraz zintegrowanie produktu osoby trzeciej w system w sposób, który zmienia jego przeznaczenie.
Etykietowanie marką pod własną nazwą nie jest wyzwalaczem istotnej modyfikacji; jest to sama definicja producenta i obowiązuje od początku.
Opiekunowie otwartego oprogramowania
Opiekun otwartego oprogramowania to osoba prawna, inna niż producent, której celem jest systematyczne wspieranie rozwoju konkretnych produktów open source przeznaczonych do działalności komercyjnej oraz zapewnianie ich rentowności. W praktyce opiekunami są zwykle fundacje lub niedochodowe osoby prawne podtrzymujące sam projekt upstream, a nie spółki, które dostarczają oprogramowanie open source wewnątrz własnych produktów.
Obowiązki są węższe niż reżim producenta, ale wciąż konkretne:
- Udokumentować politykę cyberbezpieczeństwa, która sprzyja bezpiecznemu rozwojowi projektu i skutecznej obsłudze podatności przez jego deweloperów, zachęca do dobrowolnego zgłaszania podatności oraz wspiera wymianę informacji w społeczności open source.
- Współpracować z organami nadzoru rynku na uzasadniony wniosek, w tym dostarczając dokumentację polityki cyberbezpieczeństwa.
Reżim ten nie stosuje się do większości spółek dostarczających oprogramowanie open source wewnątrz produktu komercyjnego. Jeżeli bierzesz bibliotekę open source, integrujesz ją w produkt, który wprowadzasz do obrotu, i wprowadzasz ten produkt na rynek UE pod własną nazwą, jesteś producentem, a nie opiekunem.
Drzewo decyzyjne: zidentyfikuj swoją ścieżkę zgodności
| Jeżeli ... | Jesteś ... | Idź do ... |
|---|---|---|
| Projektujesz lub zlecasz wytworzenie produktu z elementami cyfrowymi, który wprowadzasz na rynek UE pod swoją nazwą lub znakiem towarowym | Producent | Obowiązki producenta |
| Masz siedzibę w UE i wprowadzasz na rynek UE produkt noszący nazwę lub znak towarowy osoby spoza UE | Importer | Obowiązki importera |
| Jesteś w łańcuchu dostaw (nie producent ani importer) i udostępniasz produkt na rynku UE bez wpływu na jego właściwości | Dystrybutor | Obowiązki dystrybutora |
| Jako importer lub dystrybutor sprzedajesz pod własną nazwą lub znakiem towarowym albo istotnie modyfikujesz produkt już wprowadzony do obrotu | Stosują się obowiązki producenta | Stosują się pełne obowiązki producenta |
| Jako inna osoba trzecia istotnie modyfikujesz produkt i go udostępniasz | Stosują się obowiązki producenta | Stosują się pełne obowiązki producenta dla części dotkniętej zmianą lub całego produktu |
| Jesteś producentem spoza UE wprowadzającym produkty na rynek UE i wyznaczasz pełnomocnika w UE | Producent, z upoważnionym przedstawicielem działającym tylko w granicach pisemnego pełnomocnictwa | Upoważniony przedstawiciel |
| Jesteś osobą prawną systematycznie wspierającą projekt open source jako swój zasadniczy cel, a nie prowadzącą dystrybucję komercyjną | Opiekun OSS | Reżim opiekuna OSS |
Jeżeli wpadasz w więcej niż jedną rolę, stosuje się najsurowszy zestaw obowiązków. Spółka, która opracowuje produkt, opatruje go własną marką i wprowadza na rynek UE, jest producentem niezależnie od tego, którzy podwykonawcy wykonali projekt lub budowę; importer lub dystrybutor, który istotnie modyfikuje produkt już wprowadzony do obrotu, traktowany jest jak producent.
Najczęstsze pułapki
| Pułapka | Dlaczego nie działa |
|---|---|
| „Działamy tylko w sieci lokalnej, więc CRA nas nie dotyczy." | Klauzula połączenia pośredniego łapie wszystko, co dociera do łączalnego systemu przez koncentrator, telefon lub bramę. |
| „Etykietujemy produkt OEM, więc jesteśmy dystrybutorem." | Sprzedaż pod własną nazwą lub znakiem towarowym czyni Cię producentem od początku, a nie producentem domniemanym. |
| „Używamy bibliotek open source w naszym produkcie, więc kwalifikujemy się jako opiekun." | Opiekunowie podtrzymują projekty upstream jako swój zasadniczy cel; konsumenci downstream oprogramowania open source są producentami dla produktu, który wprowadzają do obrotu. |
| „Nasza platforma handlowa tylko pośredniczy między sprzedawcami spoza UE, więc nie mamy obowiązków." | Platforma, która utrzymuje stany magazynowe w UE albo jest właścicielem listingu, wkracza na terytorium importera i dziedziczy obowiązki weryfikacji i przechowywania. |
Najczęściej zadawane pytania
Mój produkt działa tylko w sieci lokalnej. Czy CRA wciąż go obejmuje?
Prawdopodobnie tak. Test zakresu obejmuje każde połączenie pośrednie: produkt mieści się w zakresie, jeżeli łączy się przez większy system, który sam jest łączalny. Czujnik na lokalnym koncentratorze, peryferium Bluetooth parujące się z telefonem albo PLC za bramą przemysłową: każdy mieści się w zakresie poprzez urządzenie, z którym się łączy. Wąski przypadek, w którym CRA się nie stosuje, to produkt bez oprogramowania, bez firmware'u i bez żadnej drogi do innego urządzenia lub sieci.
Prowadzę usługę SaaS. Czy CRA się do mnie stosuje?
Co do zasady nie. SaaS mieści się pod NIS2, a nie pod CRA, który stosuje się do produktu programowego lub sprzętowego wprowadzanego na rynek. Czysta usługa hostowana w chmurze nie spełnia tej definicji. Wyjątkiem jest rozwiązanie zdalnego przetwarzania danych dostarczane przez producenta: komponent chmurowy niezbędny do wykonywania funkcji produktu mieści się w zakresie jako część tego produktu. SaaS, który dostarcza również klienta instalowalnego (aplikację desktopową lub mobilną, SDK, agenta lokalnego), wciąga część instalowalną w zakres.
Odsprzedajemy niezmodyfikowany sprzęt pod własną marką. Producent czy dystrybutor?
Producent. Każdy, kto wprowadza produkt do obrotu pod własną nazwą lub znakiem towarowym, jest producentem, niezależnie od tego, kto go zaprojektował lub zbudował. Etykietowanie marką produktu OEM jest podręcznikowym przypadkiem i wiąże się z pełnym zestawem obowiązków producenta. To nie jest droga producenta domniemanego; jesteś producentem od początku.
Używamy bibliotek open source w naszym produkcie. Czy jesteśmy opiekunem?
Nie. Opiekunami są zwykle fundacje lub niedochodowe osoby prawne, które systematycznie wspierają projekt open source jako swój zasadniczy cel. Spółka, która bierze bibliotekę open source, integruje ją w produkt komercyjny i wprowadza ten produkt na rynek UE, jest producentem dla tego produktu. Lżejszy reżim jest dla podmiotu utrzymującego projekt upstream, a nie dla jego konsumentów downstream.
Spółka spoza UE sprzedaje bezpośrednio konsumentom z UE poprzez naszą platformę handlową. Kto odpowiada?
Zależy od łańcucha. CRA pozwala producentowi spoza UE wyznaczyć upoważnionego przedstawiciela pisemnym pełnomocnictwem, ale kwestia importera zależy od tego, kto wprowadza produkt na rynek UE i który operator ma siedzibę w UE. Platforma handlowa, która jedynie pośredniczy i sama nie wprowadza produktów do obrotu, co do zasady nie jest importerem; jeżeli platforma jest właścicielem listingu albo realizuje zamówienie ze stanu magazynowego w UE, wkracza na terytorium importera. Sprawdź faktyczny przepływ transakcji, zanim zdecydujesz.