Jeżeli na produkcie z elementami cyfrowymi wprowadzanym na rynek UE widnieje Twoja nazwa lub znak towarowy, akt o cyberodporności zazwyczaj traktuje Cię jako producenta. Ta strona wyjaśnia najważniejsze obowiązki producenta w CRA: bezpieczne projektowanie, dokumentację techniczną, ocenę zgodności, oznakowanie CE, obowiązki w okresie wsparcia, obsługę podatności oraz obowiązkowe zgłaszanie.
Podsumowanie
- Czy jesteś producentem? Producentem jesteś zazwyczaj wtedy, gdy opracowujesz, wytwarzasz albo zlecasz produkt i wprowadzasz go do obrotu pod własną nazwą lub znakiem towarowym. Decydujące jest oznakowanie marką; sama umowa dostawy nie przenosi roli w CRA.
- Co musi być gotowe przed wprowadzeniem do obrotu? Ocena ryzyka cyberbezpieczeństwa, mapowanie zasadniczych wymagań cyberbezpieczeństwa, dokumentacja techniczna, ocena zgodności, deklaracja zgodności UE, oznakowanie CE, dane producenta i kontaktowe oraz instrukcje dla użytkownika.
- Co trwa po wprowadzeniu do obrotu? Obsługa podatności, aktualizacje bezpieczeństwa, ujawnienie okresu wsparcia, środki naprawcze, współpraca z organami nadzoru rynku oraz przechowywanie dokumentacji. Aktualizacje bezpieczeństwa pozostają dostępne przez co najmniej 10 lat od ich wydania albo do końca okresu wsparcia, w zależności od tego, który okres jest dłuższy.
- Co trzeba zgłaszać? Aktywnie wykorzystywane podatności i poważne incydenty zgłasza się przez jednolitą platformę zgłaszania ENISA w rytmie 24h / 72h / raport końcowy. Oba strumienie mają różne terminy raportu końcowego, opisane szczegółowo w sekcji o zgłaszaniu poniżej.
- Od kiedy obowiązują? Zgłaszanie podatności i incydentów startuje 11 wrz 2026; reszta reżimu producenta wchodzi później. Pełny ciąg kamieni milowych znajdziesz w harmonogramie wdrożenia poniżej.
- Ekspozycja karna: naruszenia najwyższego poziomu sięgają 15 000 000 EUR lub 2,5% całkowitego rocznego obrotu na poziomie światowym, w zależności od tego, która kwota jest wyższa. Mikroprzedsiębiorstwa i małe przedsiębiorstwa mają wąską ulgę wyłącznie wobec terminów wczesnego ostrzeżenia 24h. Pełna ścieżka kar artykuł po artykule znajduje się w karach i egzekwowaniu.
Cztery liczby, które ramują ekspozycję producenta: 21 zasadniczych wymagań rozdzielonych między produkt i proces, dwa terminy zgłaszania na strumień, kara najwyższego poziomu.
Kto jest producentem na gruncie CRA?
W praktyce producent w CRA to właściciel marki lub twórca produktu odpowiedzialny za wprowadzenie produktu do obrotu pod swoją nazwą lub znakiem towarowym. Definicja obejmuje podmioty, które opracowują, wytwarzają albo zlecają zaprojektowanie, opracowanie lub wytworzenie produktu, a następnie wprowadzają go do obrotu pod własną nazwą lub znakiem towarowym, odpłatnie, w celu zarobkowym lub nieodpłatnie.
Outsourcing nie przenosi roli: jeżeli OEM lub wykonawca buduje produkt, ale widnieje na nim Twoja nazwa, nadal jesteś producentem. Jeżeli produkt nie nosi Twojej nazwy ani znaku towarowego, możesz być importerem, dystrybutorem, upoważnionym przedstawicielem albo istotnym modyfikatorem. Pełne drzewo decyzyjne ról znajdziesz w kto musi spełnić wymogi CRA.
Najważniejsze obowiązki producenta
Obowiązki producenta grupują się w cztery klastry: bezpieczne projektowanie i właściwości produktu oparte na ocenie ryzyka; procesy obsługi podatności prowadzone w całym okresie wsparcia; artefakty przed wprowadzeniem do obrotu, które muszą istnieć przed wejściem produktu na rynek (dokumentacja techniczna, ocena zgodności, deklaracja zgodności UE, oznakowanie CE); oraz obowiązki po wprowadzeniu do obrotu (środki naprawcze, współpraca z nadzorem rynku, ujawnienie okresu wsparcia, zawiadomienie o zaprzestaniu działalności). Poniższa tabela przyporządkowuje każdy obowiązek do konkretnego ustępu Artykuł 13, z którego on wynika.
| Obowiązek | Najważniejszy punkt | Źródło |
|---|---|---|
| Projektowanie i wytwarzanie zgodnie z zasadniczymi wymaganiami | Zasadnicze wymagania są obowiązkowe, modulowane oceną ryzyka cyberbezpieczeństwa. | Artykuł 13 ust. 1 |
| Ocena ryzyka cyberbezpieczeństwa | Udokumentowana, aktualizowana przez cały okres wsparcia, włączona do dokumentacji technicznej. | Artykuł 13 ust. 2 |
| Należyta staranność wobec komponentów | Obejmuje komponenty bezpłatne i open source. Producent dochowuje należytej staranności przy integracji komponentów; po wykryciu podatności w komponencie dokumentuje ją, zgłasza opiekunowi komponentu upstream i usuwa we własnym produkcie. | Artykuł 13 ust. 5, Artykuł 13 ust. 6 |
| Okres wsparcia | Co najmniej 5 lat albo oczekiwany okres używania, jeżeli krótszy. Udokumentowany w dokumentacji technicznej. Obejmuje obowiązki obsługi podatności i polityki CVD. | Artykuł 13 ust. 8 |
| Dostępność aktualizacji bezpieczeństwa | Każda aktualizacja bezpieczeństwa pozostaje dostępna przez co najmniej 10 lat od jej wydania albo do końca okresu wsparcia, w zależności od tego, który okres jest dłuższy. | Artykuł 13 ust. 9 |
| Istotnie zmodyfikowane wersje oprogramowania | Obowiązek usuwania podatności może odnosić się wyłącznie do najnowszej wersji, do której użytkownicy mają bezpłatny dostęp. Publiczne archiwa nieobsługiwanych wersji są dopuszczalne z ostrzeżeniami o ryzyku. | Artykuł 13 ust. 10, Artykuł 13 ust. 11 |
| Dokumentacja techniczna + ocena zgodności + CE przed wprowadzeniem do obrotu, kontrola produkcji seryjnej | Sporządź dokumentację techniczną. Przeprowadź ocenę zgodności lub zleć jej przeprowadzenie. Sporządź deklarację zgodności UE i umieść oznakowanie CE. Utrzymuj procedury, aby produkcja seryjna pozostawała zgodna. | Artykuł 13 ust. 12 |
| Przechowywanie | Dokumentacja techniczna i deklaracja zgodności UE do dyspozycji organów nadzoru rynku przez co najmniej 10 lat albo do końca okresu wsparcia, w zależności od tego, który okres jest dłuższy. | Artykuł 13 ust. 13 |
| Identyfikacja produktu + identyfikacja producenta | Numer typu, partii lub seryjny. Nazwa producenta, nazwa handlowa lub znak towarowy, adres pocztowy, kontakt cyfrowy, powtórzone także w informacjach towarzyszących produktowi. | Artykuł 13 ust. 15, Artykuł 13 ust. 16 |
| Pojedynczy punkt kontaktowy | Pozwala użytkownikom wybrać preferowany środek komunikacji. Nie może być ograniczony do narzędzi automatycznych. | Artykuł 13 ust. 17 |
| Towarzyszące informacje dla użytkownika | Informacje i instrukcje w języku łatwo zrozumiałym dla użytkowników i nadzoru rynku, dostępne online przez ten sam okres przechowywania. | Artykuł 13 ust. 18 |
| Data zakończenia okresu wsparcia | Określona w chwili zakupu, obejmująca co najmniej miesiąc i rok. Powiadomienie o zakończeniu wsparcia wyświetlane użytkownikom tam, gdzie jest to technicznie wykonalne. | Artykuł 13 ust. 19 |
| Dostarczenie deklaracji zgodności UE | Pełna deklaracja zgodności albo uproszczona deklaracja zawierająca dokładny adres internetowy, pod którym można uzyskać dostęp do pełnej deklaracji. | Artykuł 13 ust. 20 |
| Środki naprawcze po wprowadzeniu do obrotu + współpraca | Po stwierdzeniu niezgodności wycofać z rynku, odzyskać lub przywrócić zgodność. Na uzasadniony wniosek udostępnić nadzorowi rynku wszelkie informacje. | Artykuł 13 ust. 21, Artykuł 13 ust. 22 |
| Zaprzestanie działalności | Poinformować nadzór rynku oraz, dostępnymi środkami, użytkowników, zanim zaprzestanie nastąpi. | Artykuł 13 ust. 23 |
| Format SBOM + oceny zależności | Komisja może określić format SBOM aktami wykonawczymi. ADCO może prowadzić ogólnounijne oceny zależności. | Artykuł 13 ust. 24, Artykuł 13 ust. 25 |
Zasadnicze wymagania cyberbezpieczeństwa
Producenci muszą spełniać dwa zestawy zasadniczych wymagań cyberbezpieczeństwa: wymogi bezpieczeństwa produktu i wymogi obsługi podatności. Pierwszy zestaw określa, jak produkt jest projektowany, opracowywany i wytwarzany. Drugi określa procesy, które producent musi prowadzić w okresie wsparcia.
Ocena ryzyka cyberbezpieczeństwa
Producenci przeprowadzają ocenę ryzyka cyberbezpieczeństwa, aby ustalić, które zasadnicze wymagania cyberbezpieczeństwa wiążą ich konkretny produkt. Ocena jest dokumentowana raz i aktualizowana przez cały okres wsparcia. Mieści się w dokumentacji technicznej, a tam, gdzie dany wymóg nie ma zastosowania, ocena zawiera pisemne uzasadnienie.
Wymogi bezpieczeństwa produktu
Przed wprowadzeniem do obrotu produkt musi być zaprojektowany, opracowany i wytworzony tak, aby zapewniał odpowiedni poziom cyberbezpieczeństwa oparty na ryzyku. Ocena ryzyka cyberbezpieczeństwa producenta rozstrzyga, które środki kontroli z poniższej listy mają zastosowanie, a tam, gdzie dany środek kontroli nie ma zastosowania, dokumentacja techniczna musi zawierać jasne uzasadnienie.
- (a) Udostępniane bez znanych podatności możliwych do wykorzystania
- (b) Bezpieczna domyślna konfiguracja; dostępny reset do stanu pierwotnego (produkty wykonane na zamówienie dla użytkowników biznesowych mogą uzgodnić inaczej)
- (c) Podatności możliwe do usunięcia przez aktualizacje bezpieczeństwa; aktualizacje automatyczne instalowane domyślnie w odpowiednim czasie z możliwością wycofania zgody i odroczenia, w odpowiednim zakresie
- (d) Ochrona przed nieuprawnionym dostępem (uwierzytelnianie, zarządzanie tożsamością lub dostępem, raportowanie o możliwym nieuprawnionym dostępie)
- (e) Poufność danych przechowywanych, przesyłanych i przetwarzanych, w tym szyfrowanie w spoczynku lub w tranzycie z użyciem mechanizmów stanu wiedzy
- (f) Ochrona integralności danych, poleceń, programów, konfiguracji; raportowanie o zniekształceniach
- (g) Minimalizacja danych: przetwarzanie wyłącznie danych adekwatnych, istotnych i ograniczonych do zamierzonego celu
- (h) Dostępność funkcji zasadniczych i podstawowych, także po incydencie; odporność na denial-of-service
- (i) Minimalizacja negatywnego wpływu na dostępność usług świadczonych przez inne urządzenia lub sieci
- (j) Ograniczenie powierzchni ataku, w tym interfejsów zewnętrznych
- (k) Zmniejszanie skutku incydentu poprzez mechanizmy i techniki łagodzenia wykorzystania
- (l) Dostarczanie informacji bezpieczeństwa poprzez rejestrowanie i monitorowanie istotnej aktywności wewnętrznej, z możliwością wycofania zgody przez użytkownika
- (m) Umożliwienie użytkownikom bezpiecznego i łatwego usunięcia wszystkich danych i ustawień; zapewnienie bezpiecznego przeniesienia danych w odpowiednim zakresie
Sformułowanie „w odpowiednim zakresie" w kilku pozycjach powyżej jest sterowane oceną ryzyka, a nie preferencją producenta.
Wymogi obsługi podatności
Niezależnie od kontroli bezpieczeństwa produktu producent musi prowadzić procesy obsługi podatności w okresie wsparcia: dokumentowanie komponentów, SBOM, testy, usuwanie podatności, skoordynowane ujawnianie podatności, kanały zgłoszeniowe, bezpieczną dystrybucję aktualizacji oraz komunikaty doradcze dla użytkowników.
- (1) Identyfikowanie i dokumentowanie podatności oraz komponentów, w tym wykaz materiałów oprogramowania (SBOM) w powszechnie używanym formacie czytelnym maszynowo, obejmujący co najmniej zależności najwyższego poziomu
- (2) Usuwanie podatności bez zbędnej zwłoki poprzez aktualizacje bezpieczeństwa. Tam, gdzie jest to technicznie wykonalne, oddzielanie aktualizacji bezpieczeństwa od aktualizacji funkcjonalnych
- (3) Stosowanie skutecznych i regularnych testów oraz przeglądów bezpieczeństwa produktu
- (4) Po udostępnieniu aktualizacji bezpieczeństwa udostępnianie i publiczne ujawnianie informacji o usuniętych podatnościach (opis, dotknięte produkty, wpływ, waga, wskazówki dotyczące naprawy). W należycie uzasadnionych przypadkach publiczne ujawnienie można opóźnić do czasu, gdy użytkownicy będą w stanie zastosować łatkę
- (5) Wprowadzenie i egzekwowanie polityki skoordynowanego ujawniania podatności (CVD)
- (6) Ułatwianie dzielenia się informacjami o potencjalnych podatnościach (w tym w komponentach podmiotów trzecich) poprzez udostępnienie adresu kontaktowego do zgłoszeń podatności
- (7) Mechanizmy bezpiecznej dystrybucji aktualizacji, tak aby podatności były naprawiane w odpowiednim czasie, a tam, gdzie ma to zastosowanie, automatycznie
- (8) Rozpowszechnianie aktualizacji bezpieczeństwa bez zbędnej zwłoki. Bezpłatnie, chyba że uzgodniono inaczej z użytkownikiem biznesowym dla produktów wykonanych na zamówienie. Z komunikatami doradczymi dla użytkowników
Wymogi obsługi podatności powyżej obowiązują od wprowadzenia do obrotu przez cały okres wsparcia. Aktualizacje bezpieczeństwa pozostają dostępne przez co najmniej 10 lat od ich wydania albo do końca okresu wsparcia, w zależności od tego, który okres jest dłuższy.
Należyta staranność wobec komponentów
Należyta staranność wobec komponentów ma zastosowanie niezależnie od tego, czy komponent jest komercyjny, czy bezpłatny i open source. Producent dokumentuje podatności komponentów, o których się dowiaduje, usuwa je we własnym produkcie i przekazuje istotne informacje opiekunowi komponentu (w tym, w stosownych przypadkach, odpowiedni kod lub dokumentację w formacie czytelnym maszynowo). Powierzchnią dokumentacyjną są SBOM i plik dokumentacji technicznej.
Artefakty przed wprowadzeniem do obrotu: co musi istnieć, zanim produkt trafi na rynek
Cztery artefakty muszą istnieć, zanim produkt zostanie wprowadzony do obrotu. Każdy jest zakotwiczony w konkretnym artykule CRA i wytwarza konkretny akt zgodności: plik, który producent prowadzi, ocenę, którą przeprowadza, deklarację, którą podpisuje, oznakowanie, które umieszcza.
| Artefakt | Co zawiera lub czego wymaga |
|---|---|
| Dokumentacja techniczna | Opis produktu, informacje o projektowaniu i opracowaniu, ocena ryzyka cyberbezpieczeństwa, zastosowane normy zharmonizowane lub wspólne specyfikacje, ścieżka i wynik oceny zgodności, deklaracja zgodności UE oraz proces obsługi podatności. Przechowywana przez co najmniej 10 lat albo do końca okresu wsparcia, w zależności od tego, który okres jest dłuższy. |
| Ocena zgodności | Moduł A, samoocena, dla produktów klasy domyślnej oraz dla Important Klasy I tam, gdzie w pełni zastosowano normy zharmonizowane, wspólne specyfikacje albo program certyfikacji cyberbezpieczeństwa. Produkty Important Klasy II korzystają ze ścieżek z udziałem jednostki notyfikowanej (moduł B+C lub H) albo europejskiego programu certyfikacji cyberbezpieczeństwa o poziomie uzasadnienia zaufania co najmniej »istotnym«. Produkty Critical korzystają z europejskiego programu certyfikacji cyberbezpieczeństwa, gdy ma to zastosowanie. W przeciwnym razie korzystają ze ścieżek z udziałem jednostki notyfikowanej. |
| Deklaracja zgodności UE | Pełna deklaracja dostarczana z produktem albo uproszczona deklaracja zawierająca dokładny adres internetowy pełnej deklaracji. Zawartość deklaracji obejmuje: nazwę i adres producenta, identyfikację produktu, oświadczenie o zgodności z zasadniczymi wymaganiami cyberbezpieczeństwa, zastosowane normy z numerami referencyjnymi i datami, nazwę i numer jednostki notyfikowanej w stosownych przypadkach, numer referencyjny certyfikatu, datę, podpis, imię i funkcję sygnatariusza. |
| Oznakowanie CE | Umieszczane na produkcie w sposób widoczny, czytelny i nieusuwalny; ze względu na charakter produktu z elementami cyfrowymi wysokość oznakowania CE umieszczonego na produkcie z elementami cyfrowymi może być mniejsza niż 5 mm, pod warunkiem że pozostaje ono widoczne i czytelne. Tam, gdzie charakter produktu na to nie pozwala, na opakowaniu i w deklaracji zgodności UE. Tam, gdzie jednostka notyfikowana uczestniczyła w ocenie zgodności modułem H (pełne zapewnienie jakości), jej czterocyfrowy numer identyfikacyjny umieszcza się po oznakowaniu CE. |
Wybór modułu oceny zgodności to pojedyncza najbardziej znacząca decyzja w tej sekcji. Tabela i poniższy diagram decyzyjny zawierają szczegóły wiersz po wierszu.
| Moduł | Kiedy |
|---|---|
| A wewnętrzna kontrola produkcji | Produkty klasy domyślnej; Important Klasa I, gdy w pełni zastosowano normy zharmonizowane, wspólne specyfikacje albo europejski program certyfikacji cyberbezpieczeństwa o poziomie uzasadnienia zaufania co najmniej „istotnym" |
| B + C badanie typu UE + kontrola produkcji | Ścieżka dla Important Klasy II. Klasa I tam, gdzie nie zastosowano żadnej odpowiedniej normy zharmonizowanej, wspólnej specyfikacji ani europejskiego programu certyfikacji cyberbezpieczeństwa. Produkty Critical, gdy przechodzą przez ocenę z udziałem jednostki notyfikowanej. |
| H pełne zapewnienie jakości | Alternatywa dla produktów Important. Produkty Critical, gdy przechodzą przez ocenę z udziałem jednostki notyfikowanej. |
Szczegóły każdego artefaktu znajdziesz w przewodniku po dokumentacji technicznej, przewodniku po ocenie zgodności, przewodniku po klasyfikacji produktów oraz przewodniku po deklaracji zgodności.
Zgłaszanie podatności i poważnych incydentów
Producenci mają dwa strumienie zgłaszania. Oba kierowane są jednocześnie do CSIRT wyznaczonego jako koordynator i do ENISA przez jednolitą platformę zgłaszania. Oba strumienie współdzielą rytm 24h/72h, ale mają różne terminy raportu końcowego, co bywa często mylone.
Zegar wczesnego ostrzegania o 24 godzinach stosuje się wyłącznie do aktywnie wykorzystywanych podatności. Poważny incydent ma własną przesłankę i własną kadencję 24h/72h/1 miesiąc.
| Strumień | Wczesne ostrzeżenie 24h | Powiadomienie 72h | Raport końcowy |
|---|---|---|---|
| Aktywnie wykorzystywana podatność | W ciągu 24h od powzięcia wiedzy | W ciągu 72h od powzięcia wiedzy | 14 dni po udostępnieniu środka naprawczego lub łagodzącego |
| Poważny incydent | W ciągu 24h od powzięcia wiedzy | W ciągu 72h od powzięcia wiedzy | Jeden miesiąc od powiadomienia 72h |
Zegar raportu końcowego dla podatności startuje wtedy, gdy łatka jest gotowa, a nie w chwili powzięcia wiedzy; odstęp może wynosić tygodnie lub miesiące. Zegar raportu końcowego dla poważnego incydentu jest zakotwiczony w powiadomieniu 72h, czyli w praktyce dzień 33 od powzięcia wiedzy. Zobacz przewodnik po klastrze zgłaszania podatności, który opisuje przepływ operacyjny, zasady routingu CSIRT-koordynatora (w tym kaskadę zapasową dla producentów spoza UE), obowiązek powiadamiania użytkowników oraz mechanikę jednolitej platformy zgłaszania.
Okres wsparcia i obowiązki po wprowadzeniu do obrotu
Najważniejsze liczby (minimalny okres wsparcia 5 lat, 10-letnia dostępność aktualizacji bezpieczeństwa) znajdują się w tabeli klastrów obowiązków powyżej. Kryteria wyznaczania, ujawnienie daty zakończenia w punkcie sprzedaży, obowiązek powiadomienia o zakończeniu wsparcia oraz zasady istotnie zmodyfikowanych wersji oprogramowania omówiono w przewodniku po klastrze okresu wsparcia.
Dwa obowiązki producenta po wprowadzeniu do obrotu istnieją obok reżimu okresu wsparcia i nie mają osobnej strony klastra. Po powzięciu wiedzy, że produkt nie jest już zgodny z zasadniczymi wymaganiami cyberbezpieczeństwa, producent niezwłocznie podejmuje środki naprawcze albo wycofuje produkt z obrotu lub odzyskuje go, stosownie do okoliczności, a na uzasadniony wniosek organu nadzoru rynku przekazuje wszystkie informacje potrzebne do wykazania zgodności w języku zrozumiałym dla organu. Producent zaprzestający działalności informuje właściwe organy nadzoru rynku przed zaprzestaniem oraz, w miarę możliwości i wszelkimi dostępnymi środkami, użytkowników.
Producent czy istotny modyfikator?
Istotna modyfikacja to osobna droga do obowiązków na poziomie producenta. Ma zastosowanie, gdy strona trzecia modyfikuje produkt po wprowadzeniu do obrotu i udostępnia zmodyfikowany produkt na rynku. Artykuł 22 mówi:
„Osoba fizyczna lub prawna, inna niż producent, importer lub dystrybutor, która dokonuje istotnej modyfikacji produktu z elementami cyfrowymi i udostępnia ten produkt na rynku, uważana jest za producenta do celów niniejszego rozporządzenia."
Reżim istotnej modyfikacji wprost wyłącza producentów, importerów i dystrybutorów. Ma zastosowanie do stron trzecich poza łańcuchem ról: integratorów systemowych, sprzedawców z wartością dodaną, działów IT przedsiębiorstwa, które modyfikują produkty dostawców przed dalszą dystrybucją. Jego zakres jest precyzyjny: modyfikującego traktuje się jak producenta w odniesieniu do części produktu objętej istotną modyfikacją albo w odniesieniu do całego produktu, jeżeli modyfikacja ma wpływ na cyberbezpieczeństwo produktu jako całości. „Istotna modyfikacja" to zmiana po wprowadzeniu do obrotu, która wpływa na zgodność z zasadniczymi wymaganiami cyberbezpieczeństwa albo zmienia przeznaczenie, dla którego produkt został oceniony.
| Przypadek | Klasyfikacja |
|---|---|
| Inżynieria własna, marka własna | Producent |
| Marka oryginalna, strona trzecia dodaje funkcje firmware'u po wprowadzeniu do obrotu, zmieniając powierzchnię ataku | Pierwotny producent pozostaje. Strona trzecia jest również producentem dla zmodyfikowanej części jako istotny modyfikator. |
| Rebranding white-label produktu spoza UE przez podmiot z UE | Podmiot UE jest producentem poprzez pomost rebrandingowy dla importerów i dystrybutorów. Nie jest to przypadek istotnej modyfikacji przez stronę trzecią. Jeżeli zacząłeś jako importer UE, zob. przewodnik klastra importera dla zmian po przejściu do reżimu producenta. |
| Integrator z UE łączy zgodne produkty bez modyfikacji ich wnętrza | Dystrybutor, nie istotny modyfikator. Zob. przewodnik klastra dystrybutora dla obowiązków dystrybutora. |
| Dział IT przedsiębiorstwa instaluje własny build firmware'u na urządzeniach dostawcy, a następnie odsprzedaje | Istotny modyfikator. Traktowany jak producent dla zmodyfikowanego produktu. |
Praktyczna konsekwencja objęcia reżimem istotnej modyfikacji: pełne obowiązki producenta dla zmodyfikowanej części lub całego produktu, w tym świeży plik techniczny, świeża deklaracja zgodności, świeże oznakowanie CE pod odpowiedzialnością modyfikującego oraz powyższy rytm zgłaszania.
Harmonogram wdrożenia
- miniony kamień milowy
- zbliżające się egzekwowanie
- ostateczny termin
- kamień milowy ekosystemu
Typowe pułapki
| Twierdzenie | Dlaczego upada |
|---|---|
| „Tak naprawdę nie jesteśmy producentem; OEM w innym kraju to składa." | Właściciel marki jest producentem niezależnie od tego, kto buduje produkt. Zlecenie produkcji nie przenosi obowiązku. |
| „Nasza polityka bezpieczeństwa jest wystarczająco dobra; nie musimy przeprowadzać oceny zasadniczych wymagań." | Ocena ryzyka cyberbezpieczeństwa jest obowiązkowa i musi mieścić się w dokumentacji technicznej. |
| „Nasi klienci nie pytają o SBOM, więc go nie tworzymy." | SBOM w powszechnie używanym formacie czytelnym maszynowo jest wymagany, obejmujący co najmniej zależności najwyższego poziomu. Zainteresowanie klientów nie ma znaczenia. |
| „Nasz chatbot to pojedynczy punkt kontaktowy." | Użytkownicy muszą móc wybrać preferowany środek komunikacji. Kanału nie wolno ograniczać do narzędzi automatycznych. |
| „Pięć lat od premiery produktu w zupełności wystarczy na okres wsparcia." | Okres wsparcia biegnie od wprowadzenia każdej jednostki do obrotu, a nie od premiery produktu. Jednostki wprowadzone w 4. roku niosą obowiązki wsparcia do 9. roku. |
| „Termin raportu końcowego 14 dni dotyczy także incydentów." | Nie. Podatności mają 14 dni po udostępnieniu środka naprawczego; poważne incydenty mają jeden miesiąc po powiadomieniu 72h. |
| „Nasza umowa SLA już pokrywa podatności; nie musimy zgłaszać do ENISA." | Zgłoszenia trafiają do CSIRT-koordynatora i do ENISA jednocześnie, przez jednolitą platformę zgłaszania. SLA klienckie nie zastępują tego obowiązku. |
| „Mamy ubezpieczenie od naruszeń." | Kary administracyjne w większości państw członkowskich nie są ubezpieczalne. Transfer ryzyka nie zastępuje zgodności. |
| „Zgłaszanie stosuje się dopiero, gdy będziemy mieli podmiot w UE." | Producenci spoza UE są kierowani przez kaskadę CSIRT opartą na lokalizacji upoważnionego przedstawiciela, importera, dystrybutora lub użytkownika. Obowiązek zgłaszania startuje 11 września 2026 r. niezależnie. |
| „Publiczne ujawnienie każdej podatności odkładamy do najbliższego wydania kwartalnego." | Opóźnienie jest dopuszczalne wyłącznie w należycie uzasadnionych przypadkach i tylko do czasu, gdy użytkownicy będą w stanie zastosować łatkę. Rutynowe kwartalne grupowanie nie spełnia tej przesłanki. |
CRA według państw UE
Obowiązki opisane powyżej są takie same w każdym państwie członkowskim. W zależności od kraju zmienia się łańcuch instytucjonalny: który organ egzekwuje przepisy, który CSIRT przyjmuje zgłoszenia oraz w jakim języku musi być dostarczona dokumentacja dla użytkownika. Część krajowych wyznaczeń wciąż jest finalizowana, dlatego każdy z poniższych opisów wskazuje, co jest potwierdzone, a co dopiero oczekiwane.
- Francja: ANSSI jako organ notyfikujący, ANFR dla nadzoru rynku, zgłaszanie przez CERT-FR.
- Niemcy: BSI jako połączony organ nadzoru rynku i organ notyfikujący, zgłaszanie przez CERT-Bund.
- Włochy: ACN jako jeden organ krajowy, z akredytacją ACCREDIA.
- Holandia: zgłaszanie do NCSC i planowany nadzór rynku przez RDI.
- Polska: kierowanie zgłoszeń przez CSIRT NASK i akredytacja PCA.
- Hiszpania: zgłaszanie do INCIBE-CERT oraz podział między CCN a ENAC dla jednostek notyfikowanych.
Najczęściej zadawane pytania
Jakie są najważniejsze obowiązki producenta na gruncie CRA?
Cztery klastry obowiązków. Zgłaszanie podatności i incydentów startuje 11 września 2026 r.; pełen reżim obowiązuje od 11 grudnia 2027 r.
- Przed wprowadzeniem do obrotu. Ocena ryzyka, projektowanie zgodnie z zasadniczymi wymaganiami cyberbezpieczeństwa, dokumentacja techniczna, ocena zgodności, deklaracja zgodności UE, oznakowanie CE.
- W całym okresie wsparcia. Obsługa podatności, SBOM, usuwanie, skoordynowane ujawnianie podatności, bezpieczne aktualizacje. Co najmniej pięć lat na jednostkę.
- Pojedynczy punkt kontaktowy. Kanał nieautomatyczny dostępny dla użytkowników.
- Zgłaszanie podatności i incydentów. Rytm 24-godzinny, 72-godzinny i raport końcowy do CSIRT-koordynatora i ENISA przez jednolitą platformę zgłaszania.
Kim jest producent na gruncie CRA?
Właścicielem marki. Producent to podmiot, który opracowuje produkt lub zleca jego wytworzenie (w tym przez zewnętrzną fabrykę), a następnie wprowadza go do obrotu pod własną nazwą lub znakiem towarowym, odpłatnie albo nieodpłatnie. To marka na produkcie, a nie lokalizacja linii produkcyjnej, decyduje, kto jest producentem. Opiekunowie otwartego oprogramowania to odrębna, lżejsza kategoria. Odsprzedaż wyłącznie dla konsumentów bez umieszczania własnej marki to dystrybucja, a nie wytwarzanie.
Jestem producentem czy importerem?
Zależy od tego, czyja marka widnieje na produkcie.
- Własna nazwa lub znak towarowy na produkcie. Ścieżka producenta, niezależnie od miejsca wytworzenia. Pełny zestaw obowiązków w reżimie producenta.
- Cudza marka (osoba spoza UE) na produkcie wprowadzanym na rynek Unii. Ścieżka importera. Wyłącznie zestaw weryfikacyjny.
Producent a upoważniony przedstawiciel: jaka jest różnica?
Upoważniony przedstawiciel to pełnomocnik dokumentowy, nie zastępca producenta. Jego wyznaczenie jest opcjonalne.
- Co robi upoważniony przedstawiciel na podstawie pisemnego mandatu. Przechowuje deklarację zgodności UE i dokumentację techniczną do dyspozycji organów nadzoru rynku, odpowiada na uzasadnione wnioski, współpracuje przy działaniach egzekucyjnych.
- Co pozostaje u producenta. Inżynieria, ocena ryzyka, obsługa podatności, ocena zgodności, obowiązki kontroli produkcji seryjnej oraz wprowadzanie produktu do obrotu.
Czy istnieją wyłączenia dla MŚP wśród producentów?
Obowiązki materialne obowiązują niezależnie od wielkości przedsiębiorstwa. Nie ma zwolnienia z samych obowiązków.
- Wąska ulga dla MŚP. Mikroprzedsiębiorstwa i małe przedsiębiorstwa są zwolnione z kar powiązanych wyłącznie z terminami wczesnego ostrzeżenia 24h, i z niczego więcej.
- Czynnik wymiaru kary. Organy muszą należycie uwzględniać wielkość naruszającego (w tym MŚP i start-upy) przy ustalaniu wysokości kar.
- Kategoria opiekuna OSS, odrębna. Opiekunowie otwartego oprogramowania mają szersze zwolnienie z kar administracyjnych, ale nie są MŚP.
Od kiedy obowiązują obowiązki producenta w CRA?
Dwie daty z przesunięciem.
- Zgłaszanie podatności i incydentów. Startuje 11 września 2026 r. Producenci wprowadzający produkty na rynek UE muszą mieć gotową zdolność zgłaszania 24-godzinnego, 72-godzinnego i raportu końcowego do tej daty, nawet jeżeli pełen program zgodności jest jeszcze w budowie.
- Pozostały reżim producenta. Startuje 11 grudnia 2027 r. Obejmuje pełny zestaw obowiązków producenta: zasadnicze wymagania cyberbezpieczeństwa, ocenę zgodności, deklarację zgodności UE, oznakowanie CE oraz dokumentację techniczną.
Czym jest okres wsparcia i jak się go wyznacza?
Co najmniej pięć lat od wprowadzenia każdej jednostki do obrotu albo przewidywany okres używania, jeżeli jest krótszy.
- Jak producent wyznacza okres. Bierze pod uwagę racjonalne oczekiwania użytkowników, charakter i przeznaczenie produktu, prawo Unii dotyczące cyklu życia produktów, okresy wsparcia podobnych produktów, dostępność środowiska operacyjnego, okresy wsparcia zintegrowanych komponentów podmiotów trzecich, wytyczne ADCO oraz wytyczne Komisji. Analiza trafia do dokumentacji technicznej.
- Ujawnienie w punkcie sprzedaży. Data końca w formacie obejmującym co najmniej miesiąc i rok.
- Dostępność aktualizacji bezpieczeństwa po zakończeniu okresu. Każda wydana aktualizacja bezpieczeństwa pozostaje dostępna przez co najmniej 10 lat od jej wydania albo do końca okresu wsparcia, jeżeli ten okres jest dłuższy.
Jaka jest różnica między „aktywnie wykorzystywaną podatnością" a „poważnym incydentem"?
Różne definicje, różne terminy raportu końcowego. Oba strumienie stosują rytm wczesnego ostrzeżenia 24-godzinnego i powiadomienia 72-godzinnego.
- Aktywnie wykorzystywana podatność. Podatność, dla której istnieje wiarygodny dowód, że złośliwy aktor ją wykorzystał bez zgody właściciela systemu. Raport końcowy: 14 dni po udostępnieniu środka naprawczego lub łagodzącego.
- Poważny incydent. Taki, który (a) negatywnie wpływa lub może wpłynąć na zdolność produktu do ochrony dostępności, autentyczności, integralności lub poufności danych lub funkcji wrażliwych lub ważnych albo (b) doprowadził lub może doprowadzić do wprowadzenia lub wykonania złośliwego kodu w produkcie albo w sieci użytkownika. Raport końcowy: jeden miesiąc po powiadomieniu 72-godzinnym.
Czy komponenty open source w naszym produkcie wpływają na nasze obowiązki producenta?
Tak. Producent dochowuje należytej staranności wobec każdego wbudowanego komponentu podmiotów trzecich, w tym niekomercyjnych komponentów open source.
- Podatność w komponencie. Zgłoszenie do podmiotu utrzymującego komponent oraz usunięcie we własnym produkcie.
- Dzielenie się poprawkami upstream. Tam, gdzie producent opracował poprawkę, dzieli stosowny kod lub dokumentację z opiekunem komponentu w stosownych przypadkach, w formacie czytelnym maszynowo tam, gdzie ma to zastosowanie.
- Zakres SBOM. Co najmniej zależności najwyższego poziomu.
- Opiekunowie OSS to odrębna kategoria. Lżejszy reżim, nie reżim producenta.