Okres wsparcia CRA: minimum 5 lat (art. 13(8))

Art. 13 ust. 8 unijnego Cyber Resilience Act (rozporządzenie (UE) 2024/2847) ustanawia pięcioletni minimalny próg obsługi podatności, zakotwiczony w dacie wprowadzenia produktu na rynek UE. Niniejszy przewodnik omawia mechanikę trwania okresu wsparcia: kiedy zegar zaczyna tykać, jak działa wyjątek dotyczący krótszego okresu użytkowania, jak nakładają się na siebie okna wsparcia w portfelach wielowersyjnych oraz co muszą obejmować kontrakty z dostawcami. Informacje o cyklu dostarczania aktualizacji znajdziesz w artykule o aktualizacjach bezpieczeństwa CRA; informacje o dacie końca wsparcia prezentowanej użytkownikom znajdziesz w artykule o ujawnianiu daty zakończenia wsparcia.

Podsumowanie

  • Pięć lat to minimum. Art. 13 ust. 8 wymaga obsługi podatności przez co najmniej pięć lat od dnia wprowadzenia produktu na rynek UE.
  • Wyjątek dotyczący krótszego okresu użytkowania jest wąski. Należy go ocenić przed wprowadzeniem na rynek, udokumentować w ocenie ryzyka zgodnie z Załącznikiem I Część I oraz ujawnić użytkownikom w informacjach z Załącznika II przed zakupem.
  • Zegar startuje w momencie wprowadzenia na rynek, a nie w chwili zakupu przez klienta. Zapasy leżące w magazynie przed sprzedażą zdążyły już zużyć część okresu wsparcia.
  • Portfele wielowersyjne mają nakładające się okna. Każda wersja ma własny zegar z art. 13 ust. 8; producenci mogą być zobowiązani do jednoczesnego wsparcia trzech lub więcej aktywnych wersji.
  • Ryzyko dostawcy jest ryzykiem producenta. Zakończenie wsparcia przez dostawcę komponentu nie jest okolicznością zwalniającą; kontrakty muszą obejmować pełny okres z art. 13 ust. 8.
5y
Minimalny okres wsparcia
Art. 13 ust. 8 od wprowadzenia na rynek
Free
Aktualizacje bezpieczeństwa
Art. 13 ust. 8, bez opłat za łatki
10y
Przechowywanie dokumentacji technicznej
Art. 31, od wprowadzenia na rynek
€15M / 2.5%
Kara najwyższego szczebla
Art. 64, w zależności od tego, która kwota jest wyższa

Cztery liczby określające okres wsparcia CRA: minimalna długość, obowiązek bezpłatności, minimalny czas przechowywania dokumentacji oraz pułap kary.

Okres wsparcia zaczyna się w momencie wprowadzenia na rynek, a nie w dniu zakupu przez klienta

Art. 13 ust. 8 wiąże pięcioletni okres z datą wprowadzenia produktu na rynek UE, czyli z momentem, w którym produkt został po raz pierwszy udostępniony jakiemukolwiek uczestnikowi łańcucha dystrybucji lub sprzedaży. Egzemplarz leżący w magazynie przez 18 miesięcy przed zakupem przez klienta zdążył już zużyć 18 miesięcy okresu wsparcia. Stwarza to ryzyko związane z zapasami: producenci, którzy nie śledzą dat wprowadzenia na rynek według wersji produktu, nie mogą udowodnić zgodności z art. 13 ust. 8.

Czego wymaga CRA w zakresie okresu wsparcia

Art. 13 ust. 8 Cyber Resilience Act stanowi, że producent "zapewnia skuteczną obsługę podatności produktu z elementami cyfrowymi przez okres co najmniej pięciu lat od daty wprowadzenia produktu z elementami cyfrowymi na rynek lub przez oczekiwany okres użytkowania produktu, w zależności od tego, który jest krótszy."

Obowiązek obejmuje trzy elementy:

Czas trwania

Co najmniej pięć lat. Wyjątek dotyczący "oczekiwanego okresu użytkowania, jeżeli jest krótszy" jest wąski i musi zostać udokumentowany oraz ujawniony przed zakupem. Producent nie może powołać się na ten wyjątek z mocą wsteczną. Jeżeli dokumentacja wskazuje pięć lat, producent jest zobowiązany zapewnić pięć lat wsparcia.

Obsługa

Podatności muszą być obsługiwane "skutecznie" zgodnie z Załącznikiem I Część II: identyfikacja i dokumentacja, usuwanie bez zbędnej zwłoki, ujawnianie po naprawieniu oraz prowadzenie polityki skoordynowanego ujawniania. Chodzi nie tylko o dostarczanie łatek, lecz o cały cykl życia podatności.

Bezpłatnie

Aktualizacje bezpieczeństwa muszą być dostarczane użytkownikom bezpłatnie. Aktualizacje funkcjonalne i płatne plany wsparcia są odrębną kwestią. Bundlowanie poprawek w ramach płatnej subskrypcji nie spełnia wymagań art. 13 ust. 8. Szczegóły dotyczące mechaniki dostarczania znajdziesz w artykule o aktualizacjach bezpieczeństwa.

Kiedy pięcioletni zegar zaczyna tykać

Art. 13 ust. 8 wiąże okres wsparcia z datą "wprowadzenia produktu na rynek". Zgodnie z unijnym prawem produktowym, wprowadzenie na rynek następuje z chwilą, gdy produkt po raz pierwszy zostaje udostępniony jakiejkolwiek stronie w łańcuchu dystrybucji, a nie w momencie detalicznej sprzedaży klientowi końcowemu.

Zegar startuje: w dniu, w którym producent (lub upoważniony przedstawiciel) po raz pierwszy udostępnia produkt dystrybutorowi, sprzedawcy detalicznemu lub importerowi w celu dystrybucji na terenie UE.

Zegar nie startuje: w momencie zakupu przez klienta, aktywacji przez klienta, wysyłki konkretnego egzemplarza ani w dacie instalacji produktu przez klienta.

Przykład praktyczny:

  1. Styczeń 2028. Produkt v1.0 zostaje wprowadzony na rynek UE. Pięcioletni okres wsparcia rozpoczyna się. Producent jest zobowiązany dostarczać aktualizacje bezpieczeństwa co najmniej do stycznia 2033 roku.
  2. Czerwiec 2029. Klient nabywa wersję v1.0 od sprzedawcy detalicznego. Klientowi pozostaje około 3,5 roku wsparcia, a nie pięć lat od daty zakupu.
  3. Styczeń 2033. Okres wsparcia dobiega końca. Obowiązek producenta do łatania wersji v1.0 wygasa. Klient dalej używa produktu na własne ryzyko.

Najlepsza praktyka: śledź daty wprowadzenia na rynek według wersji produktu, a nie według poszczególnych egzemplarzy. Jeden rekord daty wprowadzenia na rynek dla danego SKU jest wystarczający dla celów art. 13 ust. 8.

Wyjątek dotyczący krótszego oczekiwanego okresu użytkowania

Art. 13 ust. 8 dopuszcza skrócenie okresu wsparcia poniżej pięciu lat, jeżeli oczekiwany okres użytkowania produktu jest krótszy. Ten wyjątek jest węższy, niż się wydaje:

  • "Oczekiwany okres użytkowania" oceniany jest z perspektywy rozsądnych oczekiwań użytkownika, uwzględniając charakter produktu, typowy sposób korzystania z podobnych produktów oraz komunikaty producenta.
  • Krótszy okres musi być udokumentowany w ocenie ryzyka produktu (Załącznik I Część I) oraz ujawniony użytkownikom w informacjach o produkcie zgodnie z Załącznikiem II przed zakupem.
  • Producent nie może powołać się na wyjątek po odkryciu podatności. Ocena musi zostać przeprowadzona przed wprowadzeniem na rynek i zarejestrowana w dokumentacji technicznej.
  • W przypadku większości produktów programowych, urządzeń IoT i podłączonego sprzętu pięć lat to praktyczne minimum. Wyjątek dotyczy produktów z obiektywnie krótkim okresem użytkowania, takich jak sprzęt jednorazowy lub o ograniczonej liczbie cykli, a nie produktów, dla których producent preferuje krótszy obowiązek z powodów kosztowych.

Wsparcie dla wielu wersji

Większość producentów wprowadza na rynek jednocześnie wiele wersji produktów, z których każda ma własny okres wsparcia wynikający z art. 13 ust. 8.

Rozłożone okresy wsparcia tworzą nakładające się zobowiązania:

Trzy wersje produktu nakładają się przez cztery lata zgodnie z art. 13 ust. 8 Oś czasu w stylu wykresu Gantta. Wersja v1.0 jest wspierana od stycznia 2028 do stycznia 2033. Wersja v1.1 jest wspierana od lipca 2028 do lipca 2033. Wersja v2.0 jest wspierana od stycznia 2029 do stycznia 2034. W okresie od stycznia 2029 do stycznia 2033 wszystkie trzy wersje są jednocześnie objęte wsparciem. Czteroletnie okno: wszystkie trzy wersje jednocześnie objęte wsparciem v1.0 v1.1 v2.0 2028 2029 2030 2031 2032 2033 2034
Każdy pasek oznacza pięcioletni okres wsparcia z art. 13 ust. 8, zakotwiczony w dacie wprowadzenia danej wersji na rynek UE. Zacieniowany obszar wskazuje okno, w którym producent jest zobowiązany dostarczać jednoczesne łatki dla całego portfela.
Wersja Wprowadzenie na rynek Koniec wsparcia (5 lat)
v1.0 Sty 2028 Sty 2033
v1.1 Lip 2028 Lip 2033
v2.0 Sty 2029 Sty 2034

Od stycznia 2029 do stycznia 2033 (cztery lata) producent jest zobowiązany dostarczać aktualizacje bezpieczeństwa dla wszystkich trzech wersji jednocześnie. Każda wersja ma własną ekspozycję na CVE, własne drzewo zależności i potencjalnie własną bazę klientów. Backportowanie łatek między głównymi wersjami jest technicznie złożone i kosztowne.

Strategie ograniczania obciążenia wynikającego z obsługi wielu wersji:

  1. Wspólna baza kodu. Tam, gdzie to możliwe, utrzymuj jedno zabezpieczone rdzeniowo środowisko, na którym opierają się wszystkie wersje. Poprawki bezpieczeństwa zastosowane raz propagują się do wszystkich wersji.
  2. Aktywne zachęty do migracji. Krótsze odstępy między klientami korzystającymi ze starych wersji zmniejszają aktywną macierz wsparcia. Cenniki aktualizacji, bezpłatne narzędzia migracyjne i kredyty wsparcia przyspieszają konsolidację wersji.
  3. Jawny harmonogram zakończenia wsparcia poszczególnych wersji. Publikuj datę zakończenia wsparcia każdej wersji już w momencie wprowadzenia na rynek. Klienci, którzy wiedzą, że wsparcie dla wersji v1.0 kończy się w styczniu 2033 roku, mają czas na zaplanowanie migracji bez presji czasu.

Obowiązki wynikające z umów z dostawcami i łańcucha dostaw

Art. 13 ust. 8 nakłada obowiązek okresu wsparcia na producenta. Producent, który nie jest w stanie łatać swojego produktu, ponieważ dostawca komponentu zaprzestał wsparcia, nadal narusza art. 13 ust. 8. Luka w kontrakcie z dostawcą nie jest okolicznością zwalniającą.

Co to oznacza w praktyce:

  • Jeżeli produkt zawiera system operacyjny, oprogramowanie pośredniczące lub oprogramowanie układowe chipset dostarczone przez stronę trzecią, producent musi zawrzeć umowę dostawy obejmującą pełny okres wsparcia. Dostawca zapewniający łatki bezpieczeństwa jedynie przez trzy lata zmusza producenta albo do samodzielnego utrzymania łatek po upływie trzeciego roku, albo do zaprzestania wprowadzania produktu na rynek UE po zakończeniu wsparcia przez dostawcę.
  • Śledzenie zależności oparte na SBOM (zob. przewodnik po klastrze SBOM) jest mechanizmem operacyjnym: producent nie może monitorować podatności w łańcuchu dostaw, nie wiedząc, co wchodzi w skład produktu.
  • Umowy z dostawcami powinny określać: czas trwania zobowiązania dostawcy do dostarczania łatek, obowiązki informacyjne dotyczące nowo wykrytych podatności, dostęp do kodu źródłowego lub narzędzi łatania w razie zaprzestania wsparcia komponentu przez dostawcę, a także warunki odszkodowania za podatności pochodzące z komponentów dostawcy.

Importerzy, u których dochodzi do eskalacji roli z art. 22 (w wyniku rebrandingu lub istotnej modyfikacji produktu), przejmują pełny obowiązek z art. 13 ust. 8, łącznie z ryzykiem związanym z kontraktami z dostawcami. Zob. przewodnik po obowiązkach importera w zakresie schematu decyzyjnego z art. 22.

Planowanie zakończenia cyklu życia i odpowiedzialne przejścia produktowe

Po upływie okresu wsparcia z art. 13 ust. 8 obowiązek producenta do łatania podatności wygasa, jednak zestaw odpowiedzialności pozostaje.

Czego wymagają art. 13 ust. 8 i powiązane przepisy po zakończeniu wsparcia:

  • Data zakończenia okresu wsparcia ujawniona przed zakupem zgodnie z Załącznikiem II stanowi wiążące zobowiązanie. Użytkownicy muszą byli zostać odpowiednio wcześniej poinformowani.
  • Dokumentacja techniczna musi być przechowywana przez co najmniej 10 lat od daty wprowadzenia produktu na rynek UE (art. 31), niezależnie od momentu zakończenia wsparcia.
  • Unijna Deklaracja Zgodności musi pozostać dostępna dla organów nadzoru rynku.
  • Jeżeli producent dowie się o krytycznej, aktywnie wykorzystywanej podatności w produkcie bez wsparcia, dotykającej znacznej zainstalowanej bazy, po zakończeniu wsparcia nie obowiązuje obowiązek zgłaszania wynikający z art. 14. Odpowiedzialne ujawnienie i powiadomienie użytkowników są jednak zdecydowanie zalecane. Zob. zgłaszanie podatności, gdzie omówiono mechanikę terminów z art. 14 obowiązujących w trakcie okresu wsparcia.

Obowiązki komunikacyjne po zakończeniu wsparcia:

CRA nie określa ustawowego okresu wypowiedzenia dla zakończenia wsparcia. Wymóg z Załącznika II dotyczący ujawnienia daty zakończenia wsparcia przed zakupem oznacza, że użytkownicy, którzy nabyli produkt po wdrożeniu ujawnienia z Załącznika II, byli już poinformowani. W przypadku produktów, w których pierwotne ujawnienie z Załącznika II było nieobecne lub niejasne, 12-miesięczne wyprzedzenie stanowi branżowe minimum.

Po zakończeniu wsparcia: producent nie jest zobowiązany do łatania nowych podatności, ale powinien utrzymywać kontakt bezpieczeństwa dla celów odpowiedzialnego ujawniania podatności, zachować dostępność dokumentacji produktu oraz współpracować z organem nadzoru rynku w razie dochodzenia na podstawie art. 58.

Pełny operacyjny poradnik dotyczący zakończenia cyklu życia, obejmujący szablony powiadomień, ramy migracji, scenariusze przejętych produktów i 18-miesięczną oś czasu planowania, znajdziesz w artykule Planowanie zakończenia cyklu życia CRA: odpowiedzialne przejścia produktowe.

Częste błędy

Brak śledzenia dat wprowadzenia na rynek. Bez rekordu daty wprowadzenia na rynek dla każdej wersji producent nie może obliczyć, kiedy zobowiązania z art. 13 ust. 8 zaczynają się ani kończą, nie może podać daty zakończenia wsparcia wymaganej przez Załącznik II ani wykazać zgodności przed organami nadzoru rynku.

Brak planowania wobec zakończenia wsparcia przez dostawcę. Jeżeli dostawca chipsetu, systemu operacyjnego lub oprogramowania pośredniczącego zaprzestaje wsparcia przed wygaśnięciem okresu z art. 13 ust. 8 producenta, producent musi mieć gotowy plan działania. Reaktywne odkrycie zakończenia wsparcia przez dostawcę bez zawartej umowy jest częstym i kosztownym błędem.

Powiązanie łatek bezpieczeństwa z wydaniami funkcjonalnymi. Bundlowanie poprawek bezpieczeństwa z głównymi aktualizacjami wersji zmusza klientów do akceptowania nowych funkcji i nowej powierzchni ryzyka, by otrzymać łatkę bezpieczeństwa. Art. 13 ust. 8 wymaga dostarczania poprawek bez zbędnej zwłoki. Sześciomiesięczny cykl wydań nie jest "bez zbędnej zwłoki" w przypadku krytycznej podatności.

Często zadawane pytania

Kiedy zaczyna się pięcioletni okres wsparcia?

Art. 13 ust. 8 wiąże okres wsparcia z datą wprowadzenia produktu na rynek UE: z momentem, w którym producent po raz pierwszy udostępnia produkt jakiejkolwiek stronie w łańcuchu dystrybucji w celu dystrybucji na terenie UE. Zegar nie startuje w dniu zakupu przez klienta, aktywacji ani wysyłki konkretnego egzemplarza. Produkt wprowadzony na rynek w styczniu 2028 roku jest objęty obowiązkiem dostarczania aktualizacji bezpieczeństwa co najmniej do stycznia 2033 roku, niezależnie od tego, kiedy poszczególni klienci go nabędą.

Czy okres wsparcia może być krótszy niż pięć lat?

Tak, na podstawie wyjątku z art. 13 ust. 8, jeżeli oczekiwany okres użytkowania produktu jest krótszy niż pięć lat. Krótszy okres musi jednak zostać ustalony przed wprowadzeniem na rynek, udokumentowany w ocenie ryzyka (Załącznik I Część I) oraz ujawniony użytkownikom w informacjach o produkcie zgodnie z Załącznikiem II przed zakupem. Producent nie może powołać się na wyjątek po odkryciu podatności, a ocena musi odzwierciedlać rozsądne oczekiwania użytkowników, a nie wewnętrzne preferencje kosztowe. W przypadku większości urządzeń IoT, podłączonego sprzętu i produktów programowych pięć lat to praktyczne minimum.

Czy obowiązek zgłaszania z art. 14 obowiązuje po zakończeniu okresu wsparcia?

Nie. Obowiązki zgłaszania z art. 14 (wczesne ostrzeżenie w ciągu 24 godzin, powiadomienie w ciągu 72 godzin i raport końcowy w ciągu 14 dni w odniesieniu do aktywnie wykorzystywanych podatności) obowiązują producenta przez cały okres wsparcia. Po wygaśnięciu okresu wsparcia z art. 13 ust. 8 producent nie ma obowiązku zgłaszania z art. 14 w odniesieniu do podatności odkrytych w tej wersji produktu. Organy nadzoru rynku zachowują uprawnienie do prowadzenia dochodzeń na podstawie art. 58, jeżeli nieobsługiwany produkt stwarza znaczące ryzyko cyberbezpieczeństwa, jednak bieżące obowiązki zarządzania podatnościami i zgłaszania wynikające z art. 13 i art. 14 wygasają.

Co zrobić, gdy dostawca komponentu zakończy wsparcie przed upływem naszego okresu z art. 13 ust. 8?

Art. 13 ust. 8 nakłada obowiązek na producenta, a nie na dostawców. Jeżeli dostawca chipsetu, systemu operacyjnego lub oprogramowania pośredniczącego zaprzestaje wsparcia komponentu przed upływem pięcioletniego okresu producenta, producent musi albo samodzielnie utrzymywać łatki, albo pozyskać alternatywny obsługiwany komponent, albo wycofać produkt z rynku UE. Decyzja dostawcy o zakończeniu wsparcia nie jest okolicznością zwalniającą producenta od odpowiedzialności przed organem nadzoru rynku stwierdzającym niezgodność z art. 13 ust. 8. Umowy z dostawcami negocjowane na etapie projektowania produktu powinny określać okres zobowiązania dostawcy do dostarczania łatek, dostęp do kodu źródłowego lub narzędzi łatania, obowiązki informacyjne oraz powinny zostać zweryfikowane pod kątem oczekiwanego okresu wsparcia produktu przed jego wprowadzeniem na rynek.

Co zrobić przed 11 grudnia 2027 roku

  1. Dla każdego produktu z elementami cyfrowymi w swoim portfelu zarejestruj datę wprowadzenia na rynek według wersji. To jest punkt startowy zegara z art. 13 ust. 8 i zarazem punkt odniesienia dla ujawnienia z Załącznika II. Bez tej daty nie możesz obliczyć ani udowodnić daty zakończenia okresu wsparcia.
  2. Oceń, czy zastosowanie ma pięcioletnie minimum, czy też wyjątek dotyczący krótszego oczekiwanego okresu użytkowania jest uzasadniony. Udokumentuj ocenę w ocenie ryzyka (Załącznik I Część I) i zarejestruj ją w dokumentacji technicznej. W razie wątpliwości zobowiąż się do pięciu lat.
  3. Przeprowadź audyt zależności w łańcuchu dostaw pod kątem okresu wsparcia. Dla każdego systemu operacyjnego, oprogramowania układowego chipsetu, oprogramowania pośredniczącego lub biblioteki w SBOM potwierdź, że zobowiązanie dostawcy do dostarczania łatek obejmuje pełny okres z art. 13 ust. 8. Tam, gdzie tak nie jest, renegocjuj warunki lub poszukaj alternatyw. Zob. przewodnik po klastrze SBOM w zakresie ram śledzenia zależności.
  4. Zaplanuj komunikację dotyczącą zakończenia wsparcia dla produktów, których okres z art. 13 ust. 8 wygaśnie w oknie 2028-2033. Użytkownicy powinni znać datę zakończenia wsparcia przed zakupem; powinni też otrzymać wyprzedzające powiadomienie przed wygaśnięciem wsparcia. Zob. przewodnik planowania zakończenia cyklu życia w zakresie 18-miesięcznej osi czasu komunikacji i szablonów powiadomień.
  5. Jeżeli zarządzanie okresami wsparcia, monitorowanie zależności i raportowanie z art. 14 w wielu wersjach produktów przerasta możliwości zespołu, CRA Evidence śledzi daty wprowadzenia na rynek i daty zakończenia okresu wsparcia według SKU, monitoruje zależności SBOM pod kątem nowo ujawnionych CVE w całym oknie wsparcia i sygnalizuje obowiązki raportowania z art. 14 w przypadku wykrycia aktywnie wykorzystywanych podatności.