Wybrana ścieżka oceny zgodności CRA determinuje koszty, harmonogram i zależności zewnętrzne. Błędny wybór oznacza stratę miesięcy i tysięcy euro. Właściwy wybór daje jasną drogę do oznakowania CE.
Niniejszy przewodnik pomaga wybrać właściwy moduł oceny zgodności i zrozumieć, co każdy z nich obejmuje.
Podsumowanie
- Moduł A (samoocena): dostępny dla produktów domyślnych oraz Ważnej Klasy I tylko wtedy, gdy odpowiednie normy zharmonizowane, wspólne specyfikacje lub europejskie systemy certyfikacji cyberbezpieczeństwa są w pełni zastosowane
- Moduł B+C (strona trzecia): wymagany dla Ważnej Klasy II, opcjonalny dla pozostałych
- Moduł H (pełne QA): alternatywa dla B+C dla organizacji z wieloma produktami
- Klasyfikacja produktu określa, które opcje są dostępne
- Różnica kosztów: Moduł A (~EUR 5-20 tys. nakładu wewnętrznego), B+C (~EUR 30-100 tys.+), H (~EUR 50 tys.+ wdrożenie + koszty bieżące)
Źródła: Artykuł 13(13) CRA (okres przechowywania); baza NANDO, rejestr jednostek notyfikowanych UE (status wyznaczenia); wartości podane w niniejszym przewodniku. Wskaźnik "~90%" produktów domyślnych jest szacunkiem wynikającym z wąskiego zakresu Załącznik III/Załącznik IV, a nie wartością określoną w CRA.
Przegląd oceny zgodności
Ocena zgodności to sposób wykazania, że produkt spełnia wymagania CRA. Deklaracja Zgodności UE (DoC), którą producent podpisuje, stwierdza zgodność produktu, lecz konieczne jest posiadanie dokumentacji potwierdzającej to twierdzenie.
CRA przewiduje trzy moduły oceny zgodności. Schemat decyzyjny powyżej przyporządkowuje każdą kategorię produktu do dopuszczalnych ścieżek. Moduł A to samoocena producenta. Moduł B+C łączy badanie typu UE przez jednostkę notyfikowaną (B) z fazą zgodności produkcji prowadzoną przez producenta (C). Moduł H to jednolita ścieżka, w której jednostka notyfikowana zatwierdza system zarządzania jakością i sprawuje nad nim bieżący nadzór.
Kiedy można stosować samoocenę Modułu A?
Samoocena. Producent samodzielnie ocenia produkt względem wymagań CRA.
Kiedy Moduł A jest dostępny
- Produkty domyślne: zawsze dostępny
- Ważna Klasa I: wyłącznie gdy odpowiednie normy zharmonizowane, wspólne specyfikacje lub europejskie systemy certyfikacji cyberbezpieczeństwa (na co najmniej „istotnym" poziomie uzasadnienia zaufania) są w pełni zastosowane
Co oznacza pełne pokrycie
Przy samoocenie Ważnej Klasy I Moduł A pozostaje dostępny tylko wtedy, gdy odpowiednie normy zharmonizowane, wspólne specyfikacje lub europejskie systemy certyfikacji cyberbezpieczeństwa:
- Obejmują wymagania zasadnicze z Załącznik I
- Są dostępne dla produktu i ścieżki
- Są stosowane w całości, nie częściowo
Jeżeli takie pokrycie nie istnieje albo jest stosowane tylko częściowo, dla objętych wymagań należy użyć Modułu B+C albo Modułu H.
Normy zharmonizowane dla CRA są nadal opracowywane. Należy monitorować publikacje w Dzienniku Urzędowym UE.
Proces Modułu A
| Faza | Co zrobić | Dlaczego zespoły CRA powinny uważać | Punkt |
|---|---|---|---|
| Projektowanie | Zastosować security by design, przeprowadzić ocenę ryzyka, udokumentować architekturę bezpieczeństwa i zastosować właściwe normy zharmonizowane. | Tu powstaje baza dowodowa, zamiast odtwarzania jej na końcu. | Wymagania z Załącznik I. |
| Dokumentacja | Utworzyć dokumentację techniczną z opisem produktu, wynikami oceny ryzyka, dokumentacją projektową, zastosowanymi normami, wynikami testów i SBOM. Przygotować deklarację zgodności UE. | Moduł A nadal wymaga dowodów. Samoocena nie oznacza braku akt. | Akta Załącznik VII. |
| Kontrole produkcji | Zapewnić utrzymanie zgodności produkcji, udokumentować kontrole jakości i weryfikować jednostki tam, gdzie to właściwe. | Podpisana deklaracja musi pozostać prawdziwa dla serii produktów wprowadzanych do obrotu. | Produkcja seryjna. |
| Finalizacja | Podpisać deklarację zgodności UE, nanieść oznakowanie CE i przechowywać dokumentację przez co najmniej 10 lat, a jeżeli okres wsparcia jest dłuższy, przez cały ten okres. | To przejście od tworzenia dowodów do wprowadzenia na rynek. | DoC, CE, przechowywanie. |
Wymagania dokumentacyjne Modułu A
Dokumentacja techniczna z Załącznik VII w ramach Modułu A musi obejmować sześć poniższych obszarów.
| Obszar | Co powinny zawierać akta | Dlaczego zespoły CRA powinny uważać | Punkt |
|---|---|---|---|
| Opis ogólny | Identyfikacja produktu, zamierzone przeznaczenie, objęte wersje i dostarczone instrukcje użytkownika. | Organy muszą widzieć dokładnie, którego produktu i wydania dotyczą dowody. | Zakres produktu. |
| Ocena ryzyka | Zidentyfikowane ryzyka cyberbezpieczeństwa, rozważone zagrożenia i scenariusze ataku oraz decyzje o postępowaniu z ryzykiem. | To logika łącząca model zagrożeń z kontrolami. | Dowody ryzyka. |
| Dokumentacja projektowa | Architektura systemu, wdrożone środki bezpieczeństwa i sposób spełnienia każdego wymagania. | Akta muszą pokazać, jak projekt produktu spełnia wymagania cyberbezpieczeństwa. | Załącznik I mapping. |
| Normy i testy | Zastosowane normy, specyfikacje lub systemy z danymi wersji, plany i wyniki testów oraz dowód pełnego zastosowania dla Ważnej Klasy I. | Częściowe pokrycie może zmienić dostępną ścieżkę zgodności. | Dowody ścieżki. |
| SBOM | Uwzględnione komponenty i podatności znane w momencie oceny. | SBOM łączy inwentarz komponentów z obsługą podatności. | Inwentarz komponentów. |
| Produkcja | Jak produkcja utrzymuje zgodność i jakie kontrole jakości obowiązują. | Zgodność musi przetrwać poza ocenionym prototypem. | Kontrole serii. |
Opierają się na analogicznych systemach oznakowania CE (Dyrektywa o Urządzeniach Radiowych, Rozporządzenie w sprawie Wyrobów Medycznych) oraz wczesnych cennikach doradztwa CRA. Nie są to wyniki badania rynku właściwego dla CRA. Żadna jednostka notyfikowana nie opublikowała cennika CRA: baza NANDO nie wykazuje żadnych wyznaczonych jednostek według stanu na czerwiec 2026 r. Liczby należy traktować jako dane planistyczne. Potwierdzić na podstawie rzeczywistych ofert po dokonaniu wyznaczeń.
Koszty Modułu A
| Element kosztu | Typowy zakres | Uwagi |
|---|---|---|
| Ocena ryzyka | EUR 5 000-15 000 | Wewnętrzna lub zlecona konsultantowi |
| Dokumentacja techniczna | EUR 5 000-20 000 | Zależy od złożoności |
| Testy | EUR 2 000-10 000 | Wewnętrzne lub laboratoryjne |
| Narzędzia SBOM | EUR 0-5 000 | Narzędzia mogą już istnieć |
| Czas personelu wewnętrznego | Zmienny | Często największy składnik kosztu |
Typowy zakres całkowity: EUR 15 000-50 000 (koszty wewnętrzne)
Harmonogram Modułu A
| Faza | Czas trwania |
|---|---|
| Ocena ryzyka | 2-4 tygodnie |
| Dokumentacja | 4-8 tygodni |
| Testy | 2-4 tygodnie |
| Przegląd i finalizacja | 1-2 tygodnie |
Typowy łączny harmonogram: 2-4 miesiące
Kiedy CRA wymaga jednostki notyfikowanej?
Ocena zewnętrzna. Jednostka notyfikowana bada projekt produktu.
Kiedy wymagana jest jednostka notyfikowana
- Ważna Klasa II: należy użyć Modułu B+C, Modułu H albo zatwierdzonego europejskiego schematu certyfikacji cyberbezpieczeństwa na co najmniej „istotnym" poziomie uzasadnienia zaufania.
- Produkty krytyczne: należy użyć europejskiej ścieżki certyfikacji, gdy Komisja aktywuje ją dla danej kategorii produktu. Do tego czasu stosuje się te same zewnętrzne ścieżki zastępcze: Moduł B+C, Moduł H albo zatwierdzony schemat.
- Ważna Klasa I: należy użyć Modułu B+C lub Modułu H tylko wtedy, gdy właściwe normy zharmonizowane, wspólne specyfikacje lub schematy certyfikacji nie istnieją albo nie są stosowane w pełni.
Moduł B: badanie typu UE
Jednostka notyfikowana bada reprezentatywną próbkę (typ) produktu i wydaje certyfikat.
| Element | Szczegóły |
|---|---|
| Wniosek | Wybór jednostki notyfikowanej i złożenie wniosku wraz z próbkami produktu, dokumentacją techniczną oraz formularzem wniosku. Uiszczenie opłat wstępnych. |
| Badanie | Jednostka notyfikowana przegląda dokumentację, testuje próbkę produktu, weryfikuje zgodność z zasadniczymi wymaganiami w zakresie cyberbezpieczeństwa i może zażądać dodatkowych informacji lub testów. |
| Decyzja | W przypadku zgodności jednostka notyfikowana wydaje Certyfikat Badania Typu UE. W przypadku stwierdzenia niezgodności producent usuwa braki i składa wniosek ponownie. |
| Certyfikat | Ważny dla ocenianego typu, z ewentualnymi warunkami określonymi w certyfikacie. Modyfikacje mogące wpłynąć na zgodność wymagają dalszej obsługi certyfikatu z jednostką notyfikowaną. CRA nie określa stałego interwału ponownego badania. |
Moduł C: zgodność z typem
Po Module B producent zapewnia, że produkcja jest zgodna z certyfikowanym typem.
| Element | Szczegóły |
|---|---|
| Kontrole produkcji | Zapewnienie, że każda jednostka jest zgodna z certyfikowanym typem, udokumentowanie procesów produkcji i utrzymanie kontroli jakości. |
| Deklaracja | Odwołanie się do Certyfikatu Badania Typu UE, podpisanie Deklaracji Zgodności UE i umieszczenie oznakowania CE. |
| Bieżące działania | Utrzymanie zgodności z certyfikowanym typem, zgłaszanie jednostce notyfikowanej zmian wpływających na typ i recertyfikacja przy istotnych zmianach. |
Wybór jednostki notyfikowanej
Czynniki uwzględniane przy wyborze jednostki notyfikowanej:
| Czynnik | Kwestia do rozważenia |
|---|---|
| Zakres | Czy jednostka notyfikowana jest wyznaczona dla CRA i danego typu produktu? |
| Dostępność | Czy ma wolne terminy? (wczesny etap CRA = ograniczona przepustowość) |
| Lokalizacja | Lepsza logistyka przy jednostce w pobliżu |
| Doświadczenie | Znajomość danego typu produktu |
| Koszt | Opłaty znacznie się różnią |
| Harmonogram | Kiedy może zaplanować badanie? |
Wyszukiwanie jednostek notyfikowanych: po opublikowaniu wyznaczonych jednostek dla CRA należy sprawdzić bazę NANDO (oficjalny rejestr jednostek notyfikowanych UE).
Opłaty jednostek notyfikowanych wynoszą zazwyczaj od EUR 30 000 do EUR 100 000 lub więcej, a czas oczekiwania może sięgać od 4 do 16 tygodni. Należy odpowiednio zaplanować budżet i harmonogram.
Koszty Modułu B+C
| Element kosztu | Typowy zakres | Uwagi |
|---|---|---|
| Opłata za wniosek do jednostki notyfikowanej | EUR 2 000-5 000 | Bezzwrotna |
| Opłata za badanie | EUR 15 000-50 000 | Zależy od złożoności |
| Przygotowanie próbek | EUR 1 000-5 000 | Próbki produktu do badania |
| Dokumentacja techniczna | EUR 10 000-30 000 | Musi spełniać wymagania jednostki notyfikowanej |
| Podróże i logistyka | EUR 1 000-5 000 | Jeśli wymagane wizyty na miejscu |
| Naprawa braków (jeśli wymagana) | Zmienna | Ponowne testy, korekty dokumentacji |
Typowy zakres całkowity: EUR 30 000-100 000+
Harmonogram Modułu B+C
| Faza | Czas trwania |
|---|---|
| Wybór jednostki notyfikowanej i złożenie wniosku | 2-4 tygodnie |
| Przygotowanie dokumentacji | 4-8 tygodni |
| Czas oczekiwania w kolejce | 4-16 tygodni (znaczne wahania) |
| Badanie | 4-8 tygodni |
| Wydanie certyfikatu | 2-4 tygodnie |
Typowy łączny harmonogram: 4-10 miesięcy
Moduł H: pełne zapewnienie jakości
Podejście oparte na systemie zarządzania jakością. Jednostka notyfikowana zatwierdza SZJ producenta obejmujący projektowanie, produkcję i testy.
Kiedy Moduł H ma sens
Moduł H jest korzystny w przypadku gdy:
- Producent ma wiele produktów wymagających oceny zewnętrznej
- Istnieje już dojrzały SZJ (ISO 9001, ISO 27001)
- Preferowana jest ciągła współpraca z jednostką notyfikowaną zamiast badania per produkt
- Wydawane są częste aktualizacje produktów
Proces Modułu H
| Element | Szczegóły |
|---|---|
| Ustanowienie SZJ | Zaprojektowanie systemu jakości obejmującego proces projektowania, kontrole produkcji, procedury testowania i zarządzanie dokumentacją, z uwzględnieniem wymagań CRA. |
| Ocena przez jednostkę notyfikowaną | Przedłożenie dokumentacji SZJ, przyjęcie audytu jednostki notyfikowanej, weryfikacja zgodności z CRA i otrzymanie certyfikatu zatwierdzenia SZJ. |
| Projektowanie produktu (dla każdego produktu) | Stosowanie zatwierdzonego SZJ przy projektowaniu, przeprowadzenie przeglądu projektu, udokumentowanie zgodności i dopuszczenie audytów jednostki notyfikowanej dotyczących procesu projektowania. |
| Produkcja | Stosowanie zatwierdzonego SZJ w produkcji, dokumentowanie zgodności i przyjmowanie audytów nadzorczych jednostki notyfikowanej. |
| Deklaracja (dla każdego produktu) | Podpisanie Deklaracji Zgodności UE, odwołanie się do certyfikatu SZJ i umieszczenie oznakowania CE. |
| Bieżące działania | Utrzymywanie SZJ i poddawanie się okresowym audytom nadzoru jednostki notyfikowanej. CRA nie określa częstotliwości nadzoru ani cyklu recertyfikacji; rytm jest ustalany w planie audytu. |
Wymagania SZJ w Module H
System zarządzania jakością musi równolegle obejmować cztery obszary. Braki w którymkolwiek z nich zablokują certyfikację.
| Element | Szczegóły |
|---|---|
| Jakość projektowania |
|
| Jakość produkcji |
|
| Jakość dokumentacji |
|
| Integracja cyberbezpieczeństwa |
|
Koszty Modułu H
| Element kosztu | Typowy zakres | Uwagi |
|---|---|---|
| Opracowanie/modernizacja SZJ | EUR 20 000-50 000 | Przy wdrożeniu od zera |
| Audyt wstępny | EUR 15 000-30 000 | Certyfikacja SZJ |
| Coroczny nadzór | EUR 5 000-15 000 | Koszt bieżący |
| Przegląd projektu per produkt | EUR 5 000-15 000 | Zależy od złożoności |
Wdrożenie wstępne: EUR 40 000-100 000 Koszty bieżące (rocznie): EUR 10 000-30 000
Decyzja Moduł H vs B+C
| Czynnik | Moduł B+C | Moduł H |
|---|---|---|
| Liczba produktów | 1-3 produkty | 4+ produktów |
| Istniejący SZJ | Brak dojrzałego SZJ | Dojrzały SZJ istnieje |
| Częstotliwość aktualizacji | Rzadkie aktualizacje | Częste wydania |
| Wielkość organizacji | Mała/średnia | Średnia/duża |
| Koszt wstępny | Niższy | Wyższy |
| Koszt per produkt | Wyższy | Niższy |
| Koszt bieżący | Niższy | Wyższy (nadzór) |
Moduł H staje się opłacalny przy 4 lub więcej produktach. Przy dojrzałym SZJ (ISO 9001, ISO 27001) jest to często lepsza inwestycja długoterminowa.
Zasada ogólna: Moduł H staje się opłacalny przy 4+ produktach lub w przypadku konieczności częstych ponownych badań.
Ramy decyzyjne
Krok 1: określenie klasyfikacji produktu
Klasyfikację należy ustalić korzystając z przewodnika klasyfikacji produktów: Domyślny, Ważna Klasa I, Ważna Klasa II lub Krytyczny.
Krok 2: identyfikacja dostępnych opcji
Schemat decyzyjny na początku niniejszego przewodnika przedstawia pełne mapowanie. Poniższa tabela podsumowuje te same ścieżki w formie tekstowej.
| Kategoria | Dostępne moduły | Zalecana ścieżka |
|---|---|---|
| Domyślna | A, B+C, H | Moduł A chyba że wymagana walidacja zewnętrzna |
| Ważna Klasa I, odpowiednie normy, specyfikacje lub system w pełni zastosowane | A, B+C, H | Moduł A z pełnym pokryciem |
| Ważna Klasa I, brak pokrycia albo pokrycie częściowe | B+C, H | Moduł B+C chyba że wiele produktów |
| Ważna Klasa II | B+C, H lub właściwy system certyfikacji na co najmniej „istotnym" poziomie uzasadnienia zaufania | Moduł B+C chyba że wiele produktów lub dojrzały SZJ |
| Krytyczny | EUCC lub inna obowiązkowa europejska ścieżka certyfikacji albo B+C / H / zatwierdzony schemat jako ścieżka zastępcza | Zależy od tego, czy Komisja aktywowała ścieżkę certyfikacji dla tej kategorii |
Krok 3: rozważenie czynników operacyjnych
Krok 3 pomaga wybrać spośród modułów dostępnych po Kroku 2. Reguły ścieżek sprawiają, że Moduł A nie jest dostępny dla Ważnej Klasy I, gdy odpowiednie normy, specyfikacje lub systemy nie istnieją albo są stosowane tylko częściowo, dla Ważnej Klasy II oraz dla produktów Krytycznych. Poniższe dwie tabele są rozdzielone według tej granicy dostępności, tak aby każdy wiersz miał osiągalną odpowiedź na danej ścieżce.
Gdy dostępne są Moduły A, B+C i H
Dotyczy produktów domyślnych oraz Ważnej Klasy I, gdy odpowiednie normy, specyfikacje lub systemy są w pełni zastosowane.
| Czynnik | Moduł A | Moduł B+C | Moduł H |
|---|---|---|---|
| Ograniczony budżet | ✓ | ||
| Ograniczony czas | ✓ | ||
| Potrzebna walidacja zewnętrzna | ✓ | ✓ | |
| Jeden produkt | ✓ | ✓ | |
| Wiele produktów | ✓ | ||
| Częste aktualizacje | ✓ | ||
| Brak istniejącego SZJ | ✓ | ✓ | |
| Dojrzały SZJ (ISO 9001, ISO 27001) | ✓ | ||
| Klient wymaga jednostki notyfikowanej | ✓ | ✓ |
Gdy dostępne są wyłącznie Moduły B+C i H
Dotyczy Ważnej Klasy I, gdy odpowiednie normy, specyfikacje lub systemy nie istnieją albo są stosowane tylko częściowo, Ważnej Klasy II i produktów Krytycznych. Moduł A nie jest prawnie dostępny dla tych kategorii niezależnie od presji budżetowej lub czasowej.
| Czynnik | Moduł B+C | Moduł H |
|---|---|---|
| Jeden produkt | ✓ | |
| Wiele produktów | ✓ | |
| Częste aktualizacje | ✓ | |
| Brak istniejącego SZJ | ✓ | |
| Dojrzały SZJ (ISO 9001, ISO 27001) | ✓ |
Ta druga gałąź odzwierciedla tabelę „Decyzja Moduł H vs B+C" z wcześniejszej części przewodnika. Tam, gdzie obie się pokrywają, należy traktować je jako tę samą decyzję z dwóch perspektyw: wcześniejsza tabela jest ważona kosztowo, niniejsza odzwierciedla dopasowanie operacyjne.
Krok 4: kalkulacja kosztów
Scenariusz: 5 produktów Ważnej Klasy II, brak istniejącego SZJ, horyzont 5-letni z 2 aktualizacjami na produkt.
| Pozycja kosztowa | Moduł B+C | Moduł H |
|---|---|---|
| Wdrożenie jednorazowe Wdrożenie SZJ i wstępna certyfikacja | n/d | EUR 75 000 EUR 50 000 SZJ + EUR 25 000 certyfikat |
| Ocena per produkt (× 5) Badanie typu UE (B+C) lub przegląd projektu (H) | EUR 250 000 EUR 50 000 × 5 | EUR 50 000 EUR 10 000 × 5 |
| Ocena per aktualizacja (× 10) Pełne ponowne badanie (B+C) lub przegląd delty (H) | EUR 250 000 EUR 25 000 × 10 | EUR 50 000 EUR 5 000 × 10 |
| Coroczny nadzór (× 5 lat) | n/d | EUR 60 000 EUR 12 000 × 5 |
| Łączny koszt 5-letni | EUR 500 000 | EUR 235 000 |
W tym scenariuszu Moduł H pozwala zaoszczędzić EUR 265 000 w ciągu 5 lat. Punkt krzyżowania zależy od kombinacji liczby produktów i częstotliwości aktualizacji. Dane per produkt i per aktualizacja mają charakter poglądowy (zob. uwagę dotyczącą szacunków przy tabeli Koszty Modułu A). Przed podjęciem decyzji budżetowej należy przeprowadzić kalkulację na podstawie własnych ofert.
Deklaracja zgodności UE
Niezależnie od wybranego modułu producent musi wydać Deklarację Zgodności UE.
Wymagana treść DoC
Deklaracja Zgodności UE dla aktu o cyberodporności to Rozporządzenie (UE) 2024/2847. Każda DoC musi zawierać osiem poniższych pól, po których następuje blok podpisu.
| Element | Szczegóły |
|---|---|
| Identyfikacja produktu | Nazwa produktu, typ, partia i numer(y) seryjne, z wystarczającym stopniem szczegółowości dla identyfikowalności. |
| Nazwa i adres producenta | Podmiot prawny odpowiedzialny za deklarację. Dane upoważnionego przedstawiciela, jeśli dotyczy. |
| Oświadczenie o odpowiedzialności | „Niniejsza deklaracja zgodności wydana zostaje na wyłączną odpowiedzialność dostawcy." |
| Przedmiot deklaracji | Opis produktu wystarczający dla identyfikowalności, w tym fotografia lub rysunek, jeśli produkt jest fizyczny. |
| Mające zastosowanie przepisy unijne | Wykaz wszystkich rozporządzeń, z którymi produkt jest zgodny, poczynając od Rozporządzenia (UE) 2024/2847 (akt o cyberodporności), wraz z innymi horyzontalnymi przepisami (RED, EMC, Rozporządzenie w sprawie maszyn i innymi mającymi zastosowanie). |
| Zastosowane normy zharmonizowane lub specyfikacje | Wykaz każdej normy z numerem wersji. Jeśli żadna norma zharmonizowana nie obejmuje części Załącznik I, należy wskazać stosowaną specyfikację lub wspólną specyfikację. |
| Blok jednostki notyfikowanej (Moduł B+C lub H) | Nazwa jednostki notyfikowanej, czterocyfrowy numer identyfikacyjny, odniesienie do certyfikatu, wykonany moduł i numer wydanego certyfikatu. W przypadku Modułu A pole to należy całkowicie pominąć. |
| Informacje dodatkowe | Data zakończenia okresu wsparcia, punkt kontaktowy do zgłaszania podatności i wszelkie inne informacje wymagane przez CRA lub mające zastosowanie przepisy. |
DoC należy zamknąć imieniem i nazwiskiem osoby podpisującej wraz z pełnioną funkcją, miejscem i datą wystawienia oraz podpisem. DoC bez datowanego podpisu osoby zidentyfikowanej z imienia, nazwiska i funkcji nie jest ważną deklaracją.
Oznakowanie CE
Po ocenie zgodności producent umieszcza oznakowanie CE. Forma wizualna znaku jest ustalona. Zmienia się jedynie to, czy obok znaku umieszczany jest czterocyfrowy numer jednostki notyfikowanej.
Wymagania oznakowania CE
| Temat | Co się zmienia | Dlaczego zespoły CRA powinny uważać | Punkt |
|---|---|---|---|
| Widoczność | Widoczne, czytelne i nieusuwalne po naniesieniu. | Oznakowanie, którego nie da się odczytać lub sprawdzić, może nie przejść kontroli produktu. | Czytelne oznakowanie CE. |
| Min. wysokość | Ogólne minimum 5 mm, mierzone od dołu do góry glifu C. Art. 30 ust. 2 dopuszcza mniejsze oznakowanie, gdy uzasadnia to charakter produktu. | Stosuje się niezależnie od wybranej ścieżki zgodności, choć małe produkty mogą nosić oznakowanie poniżej 5 mm na podstawie Art. 30 ust. 2. | Ogólne minimum 5 mm; odstępstwo z Art. 30 ust. 2. |
| Proporcje | Stosować stałe proporcje CE. | Nie przerysowywać, rozciągać ani stylizować znaku pod opakowanie lub interfejs. | Regulation (EC) No 765/2008 Annex II. |
| Lokalizacja | Na produkcie. Na opakowaniu tylko wtedy, gdy oznakowanie produktu nie jest możliwe. | Oznakowanie wyłącznie na opakowaniu to opcja awaryjna, nie standard. | Najpierw produkt. |
| Numer jednostki notyfikowanej | Wymagany obok znaku tylko wtedy, gdy użyto Modułu H (pełne zapewnienie jakości). | Numer pokazuje, która jednostka notyfikowana uczestniczyła w ocenionej ścieżce. | CE plus cztery cyfry. |
Umiejscowienie oznakowania CE
| Element | Szczegóły |
|---|---|
| Produkt fizyczny |
|
| Oprogramowanie |
|
| Z jednostką notyfikowaną |
|
Typowe błędy
Samoocena (Moduł A) dla produktu Ważnej Klasy II stanowi nieważną ocenę zgodności. Produkt nie może być legalnie wprowadzony na rynek UE.
Każdy z pięciu poniższych błędów ma tę samą budowę: kuszący skrót, poważna konsekwencja i konkretny nawyk zapobiegawczy.
| Element | Szczegóły |
|---|---|
| 1 · Samoocena, gdy niedozwolona | Problem. Wybór Modułu A dla produktu Ważnej Klasy II. Konsekwencja. Nieważna ocena zgodności. Produktu nie można legalnie wprowadzić na rynek. Zapobieganie. Klasyfikację produktu należy zawsze weryfikować przed wyborem ścieżki oceny. |
| 2 · Częściowe stosowanie norm | Problem. Powoływanie się na Moduł A dla Ważnej Klasy I, gdy odpowiednie normy, specyfikacje lub systemy są stosowane tylko częściowo. Konsekwencja. Moduł A jest niedostępny bez pełnego pokrycia. Zapobieganie. Przy braku możliwości pełnego zastosowania właściwej ścieżki należy korzystać z Modułu B+C lub H. |
| 3 · Niewystarczająca dokumentacja | Problem. Dokumentacja techniczna nie zawiera wymaganych treści dla wybranego modułu. Konsekwencja. Brak możliwości wykazania zgodności. DoC jest nieważna. Zapobieganie. Należy korzystać z list kontrolnych. Przed podpisaniem należy przejrzeć wymagania dokumentacyjne dla konkretnego modułu. |
| 4 · Nieoczekiwana konieczność oceny zewnętrznej | Problem. Późne odkrycie, że produkt wymaga oceny przez jednostkę notyfikowaną. Konsekwencja. Opóźnienie wejścia na rynek. Czas oczekiwania w kolejce może wynosić wiele miesięcy. Zapobieganie. Produkty należy klasyfikować wcześnie. Jednostki notyfikowane należy angażować z wyprzedzeniem. |
| 5 · DoC przed zakończeniem oceny | Problem. Podpisanie DoC przed ukończeniem oceny zgodności. Konsekwencja. Fałszywa deklaracja. Odpowiedzialność prawna. Zapobieganie. DoC jest ostatnim krokiem, po zakończeniu wszystkich działań oceniających. |
Lista kontrolna oceny zgodności
Najpierw należy ukończyć kartę oceny wstępnej. Następnie wypełnić wyłącznie karty dla modułu stosowanego przez dany produkt. Każdy produkt kończy na karcie Finalizacja.
| Element | Szczegóły |
|---|---|
| Ocena wstępna |
|
| Moduł A · Samoocena |
|
| Moduł B · Badanie typu UE |
|
| Moduł C · Zgodność z typem |
|
| Moduł H · Pełne QA |
|
| Finalizacja · Wszystkie moduły |
|
Często zadawane pytania
Czy produkt kategorii domyślnej zawsze może korzystać z samooceny Modułu A?
Tak. Produkty domyślne zawsze mogą korzystać z samooceny w ramach Modułu A. Producent samodzielnie przeprowadza ocenę, dokumentuje ją w dokumentacji technicznej, podpisuje Deklarację Zgodności UE i umieszcza znak CE. Żadna jednostka notyfikowana nie jest zaangażowana. Wskaźnik „około 90%" to szacunek wynikający z wąskiego zakresu kategorii produktów Ważnych i Krytycznych, a nie wartość określona w CRA.
Kiedy jednostka notyfikowana jest obowiązkowa dla produktów Ważnej Klasy I?
Tylko wtedy, gdy producent nie może w pełni zastosować odpowiednich norm zharmonizowanych, wspólnych specyfikacji lub europejskiego schematu certyfikacji cyberbezpieczeństwa na co najmniej „istotnym" poziomie uzasadnienia zaufania. Jeśli jedna z tych ścieżek obejmuje zasadnicze wymagania w zakresie cyberbezpieczeństwa dla danego typu produktu i jest stosowana w całości, samoocena w ramach Modułu A pozostaje dostępna. Gdy właściwa ścieżka nie istnieje lub jest stosowana częściowo, konieczne jest skorzystanie z Modułu B+C lub H.
Czy wyznaczono już jakiekolwiek jednostki notyfikowane dla CRA?
Według stanu na czerwiec 2026 r. zero jednostek notyfikowanych zostało wyznaczonych dla CRA. Wyznaczenia są publikowane w bazie NANDO. Producenci produktów Ważnej Klasy II i Krytycznych nie mogą ukończyć oceny zewnętrznej do czasu dokonania wyznaczenia. To opóźnienie należy uwzględnić w planach.
Co obejmuje ocena zgodności Moduł B+C?
Moduł B to badanie typu produktu przeprowadzane przez jednostkę notyfikowaną: przegląd dokumentacji technicznej, test reprezentatywnej próbki i wydanie Certyfikatu Badania Typu UE. Moduł C to faza zgodności produkcji prowadzona przez producenta: każda jednostka produktu musi być zgodna z certyfikowanym typem, a Deklaracja Zgodności UE odwołuje się do numeru certyfikatu.
Czy normy zharmonizowane mogą zastąpić ocenę jednostki notyfikowanej?
Wyłącznie dla produktów Ważnej Klasy I. Przy pełnym zastosowaniu odpowiednich norm zharmonizowanych, wspólnych specyfikacji lub europejskiego schematu certyfikacji cyberbezpieczeństwa obejmujących każde zasadnicze wymaganie w zakresie cyberbezpieczeństwa producent może przeprowadzić samoocenę w ramach Modułu A bez udziału jednostki notyfikowanej. Dla produktów Ważnej Klasy II ocena zewnętrzna jest obowiązkowa niezależnie od zastosowanych norm. Produkty Krytyczne podlegają odrębnej ścieżce: certyfikacja, gdy Komisja ją aktywuje, albo ścieżka zastępcza Moduł B+C / H / zatwierdzony schemat.
Ile kosztuje ocena zgodności z udziałem jednostki notyfikowanej?
Na opłaty za badanie należy zaplanować od EUR 30 000 do EUR 100 000 lub więcej, plus opłata za wniosek w wysokości EUR 2 000-5 000 oraz koszty przygotowania próbek rzędu EUR 1 000-5 000. Czas oczekiwania wynosi obecnie od 4 do 16 tygodni, co oznacza dodatkowe ryzyko harmonogramowe oprócz kosztu. (Liczby są szacunkami z analogicznych systemów (RED, MDR) i wczesnych cen doradztwa CRA, a nie wartościami określonymi w CRA.)