Producent dźwiga najgłębszy zestaw obowiązków w CRA (Rozporządzenie (UE) 2024/2847): artykuł 13 (projektowanie, dokumentacja techniczna, ocena zgodności, okres wsparcia, obowiązki po wprowadzeniu do obrotu), artykuł 14 (zgłaszanie aktywnie wykorzystywanych podatności i poważnych incydentów do ENISA i CSIRT-koordynatora w rytmie 24h/72h) oraz załącznik I (13 wymogów produktowych w części I oraz 8 wymogów obsługi podatności w części II). Niniejsza strona omawia każdy obowiązek, a także test z artykułu 3 punkt 13, który rozstrzyga, czy w ogóle jesteś producentem.
Podsumowanie
- Klasyfikacja z artykułu 3 punkt 13: jesteś producentem, jeśli wytwarzasz lub zlecasz projektowanie, opracowanie albo wytwarzanie produktów i wprowadzasz je do obrotu pod własną nazwą lub znakiem towarowym. Decyduje marka, a nie umowy o dostawę.
- Obowiązki z artykułu 13: ocena ryzyka cyberbezpieczeństwa (13(2) do (4)), zgodność z załącznikiem I część I i część II (13(1), 13(8)), należyta staranność wobec komponentów (13(5) do (6)), dokumentacja techniczna (artykuł 31, załącznik VII), ocena zgodności (artykuł 32), unijna deklaracja zgodności (13(20), artykuł 28, załącznik V), oznakowanie CE (artykuł 30), okres wsparcia co najmniej 5 lat lub oczekiwany okres używania (13(8)) z udokumentowaną datą zakończenia (13(19)) oraz przechowywanie przez 10 lat lub okres wsparcia, w zależności od tego, który z tych okresów jest dłuższy (13(13)).
- Zgłaszanie z artykułu 14: dwa strumienie, oba przez jednolitą platformę zgłaszania ENISA na podstawie artykułu 16, jednocześnie do CSIRT wyznaczonego jako koordynator. Podatności: wczesne ostrzeżenie 24h, powiadomienie 72h, raport końcowy 14 dni po udostępnieniu środka naprawczego. Poważne incydenty: wczesne ostrzeżenie 24h, powiadomienie 72h, raport końcowy w ciągu jednego miesiąca od powiadomienia 72h.
- Ekspozycja karna (artykuł 64(2)): do 15 000 000 EUR lub 2,5% całkowitego rocznego obrotu na poziomie światowym, w zależności od tego, która kwota jest wyższa. Artykuł 64(10) ogranicza ulgę karną wyłącznie do mikroprzedsiębiorstw i małych przedsiębiorstw oraz wyłącznie do terminów z artykułu 14(2)(a) i 14(4)(a).
- Terminy: zgłaszanie podatności i incydentów z artykułu 14 startuje 11 września 2026 r. Pozostałe obowiązki producenta zaczynają obowiązywać 11 grudnia 2027 r. (artykuł 71).
Trzy liczby ramujące ekspozycję producenta: 21 wymogów istotnych w załączniku I, dwa terminy zgłaszania na strumień, kara najwyższego poziomu.
Kto jest producentem na gruncie CRA?
Artykuł 3 punkt 13 definiuje producenta dosłownie:
"Producent" oznacza osobę fizyczną lub prawną, która opracowuje lub wytwarza produkty z elementami cyfrowymi albo zleca projektowanie, opracowanie lub wytwarzanie produktów z elementami cyfrowymi i wprowadza je do obrotu pod swoją nazwą lub znakiem towarowym, odpłatnie, w celu monetyzacji lub nieodpłatnie.
Jesteś producentem dla celów CRA, jeśli oba poniższe elementy są spełnione:
| Element | Test |
|---|---|
| Opracowuje, wytwarza lub zleca projektowanie/opracowanie/wytwarzanie produktów | Obejmuje zlecone projektowanie lub produkcję kontraktową. Praca nie musi odbywać się na terenie producenta. |
| Wprowadza do obrotu pod własną nazwą lub znakiem towarowym | Produkt wprowadzany do obrotu wskazuje twoją jednostkę jako źródło, poprzez markę, opakowanie, materiały marketingowe lub dokumentację towarzyszącą. |
Te dwa elementy mają charakter łączny. Fabryka, która produkuje wyrób, ale wprowadza go do obrotu pod marką innej spółki, nie jest producentem dla celów CRA; producentem jest właściciel marki. I odwrotnie: spółka, która umieszcza własną markę na produkcie zaprojektowanym i wykonanym przez fabrykę zewnętrzną, jest producentem niezależnie od tego, kto wykonał inżynierię. Dystrybucja nieodpłatna, monetyzowana i odpłatna liczy się tak samo; rozporządzenie wprost stanowi "odpłatnie, w celu monetyzacji lub nieodpłatnie".
Jeżeli żaden z elementów nie zachodzi, nie jesteś producentem. Możesz być importerem na podstawie artykułu 3 punkt 16 (wprowadzasz na rynek Unii produkt o marce spoza UE), dystrybutorem na podstawie artykułu 3 punkt 17 (udostępniasz produkt po importerze bez wpływu na jego właściwości) albo upoważnionym przedstawicielem na podstawie artykułu 3 punkt 15 i artykułu 18 (działasz w imieniu producenta na podstawie pisemnego pełnomocnictwa). Strona trzecia, która istotnie modyfikuje produkt po wprowadzeniu do obrotu, jest traktowana jako producent zmodyfikowanej wersji na podstawie artykułu 22; ta sama analiza obowiązuje na podstawie artykułu 3 punkt 13, gdy modyfikujący wprowadza zmodyfikowany produkt do obrotu pod własną nazwą. Pełną matrycę klasyfikacji ról oraz drzewo decyzyjne porównujące wszystkie pięć ról zawiera strona kto musi spełnić wymogi CRA.
Artykuł 13 w skrócie
| Ust. | Obowiązek | Najważniejsze |
|---|---|---|
| 13(1) | Projektowanie i wytwarzanie zgodnie z załącznikiem I część I | Wymogi istotne są obowiązkowe, modulowane oceną ryzyka cyberbezpieczeństwa. |
| 13(2) do (4) | Ocena ryzyka cyberbezpieczeństwa | Udokumentowana, aktualizowana przez cały okres wsparcia, włączona do dokumentacji technicznej z artykułu 31. |
| 13(5) do (7) | Należyta staranność wobec komponentów | Obejmuje komponenty bezpłatne i open source. Dokumentowanie podatności, o których producent się dowiaduje; zgłaszanie do upstream i usuwanie. |
| 13(8) | Okres wsparcia | Co najmniej 5 lat lub oczekiwany okres używania, jeśli krótszy. Udokumentowany w dokumentacji technicznej. Obejmuje obowiązki obsługi podatności i polityki CVD. |
| 13(9) | Dostępność aktualizacji bezpieczeństwa | Każda aktualizacja bezpieczeństwa pozostaje dostępna przez co najmniej 10 lat od jej wydania lub przez pozostałą część okresu wsparcia, w zależności od tego, który z tych okresów jest dłuższy. |
| 13(10) do (11) | Istotnie zmodyfikowane wersje oprogramowania | Zgodność z załącznikiem I część II punkt (2) może odnosić się wyłącznie do najnowszej wersji, do której użytkownicy mają bezpłatny dostęp; publiczne archiwa nieobsługiwanych wersji dopuszczalne z ostrzeżeniami o ryzyku. |
| 13(12) do (14) | Dokumentacja techniczna przed wprowadzeniem do obrotu + ocena zgodności + CE; kontrola produkcji seryjnej | Sporządzić dokumentację techniczną na podstawie artykułu 31; przeprowadzić ocenę zgodności na podstawie artykułu 32 lub zlecić jej przeprowadzenie; sporządzić unijną deklarację zgodności i umieścić CE; utrzymywać procedury, aby produkcja seryjna pozostawała zgodna. |
| 13(13) | Przechowywanie | Dokumentacja techniczna i unijna deklaracja zgodności do dyspozycji organów nadzoru rynku przez co najmniej 10 lat lub okres wsparcia, w zależności od tego, który z tych okresów jest dłuższy. |
| 13(15) do (16) | Identyfikacja produktu + identyfikacja producenta | Numer typu/partii/seryjny; nazwa producenta, nazwa handlowa lub znak towarowy, adres pocztowy, kontakt cyfrowy, powtórzone także w informacjach z załącznika II. |
| 13(17) | Pojedynczy punkt kontaktowy | Pozwala użytkownikom wybrać preferowany środek komunikacji. Nie może być ograniczony do narzędzi automatycznych. |
| 13(18) | Towarzyszenie zgodne z załącznikiem II | Informacje i instrukcje w języku łatwo zrozumiałym dla użytkowników i nadzoru rynku, dostępne online przez ten sam okres przechowywania. |
| 13(19) | Data zakończenia okresu wsparcia | Określona w chwili zakupu, obejmująca co najmniej miesiąc i rok. Wyświetlać użytkownikom powiadomienie o zakończeniu wsparcia tam, gdzie jest to technicznie wykonalne. |
| 13(20) | Dostarczenie unijnej deklaracji zgodności | Pełna deklaracja zgodności albo uproszczona deklaracja zawierająca dokładny adres internetowy, pod którym można uzyskać dostęp do pełnej deklaracji. |
| 13(21) do (22) | Działania naprawcze po wprowadzeniu do obrotu + współpraca | Wycofać z rynku, odzyskać lub przywrócić zgodność po stwierdzeniu niezgodności. Udostępniać wszystkie informacje organom nadzoru rynku na uzasadniony wniosek. |
| 13(23) | Zaprzestanie działalności | Poinformować nadzór rynku oraz, dostępnymi środkami, użytkowników, zanim zaprzestanie nastąpi. |
| 13(24) do (25) | Format SBOM + oceny zależności | Komisja może określić format SBOM aktami wykonawczymi. ADCO może prowadzić ogólnounijne oceny zależności. |
Załącznik I: istotne wymogi cyberbezpieczeństwa
Załącznik I składa się z dwóch części. Część I wymienia 13 wymogów dotyczących właściwości produktu, modulowanych oceną ryzyka cyberbezpieczeństwa producenta na podstawie artykułu 13(2). Część II wymienia 8 wymogów dotyczących procesów obsługi podatności u producenta; nie są one modulowane ryzykiem i obowiązują niezależnie od typu lub klasy produktu.
Część I: właściwości produktu (artykuł 13(1), załącznik I część I)
Produkty z elementami cyfrowymi należy projektować, opracowywać i wytwarzać tak, aby zapewnić odpowiedni poziom cyberbezpieczeństwa w oparciu o ryzyko. Na podstawie oceny ryzyka cyberbezpieczeństwa z artykułu 13(2) zastosowanie ma poniższe, w odpowiednim zakresie:
| Kod | Wymóg |
|---|---|
| (a) | Udostępniane bez znanych podatności możliwych do wykorzystania |
| (b) | Bezpieczna domyślna konfiguracja; możliwy reset do stanu pierwotnego (produkty wykonane na zamówienie dla użytkowników biznesowych mogą uzgodnić inaczej) |
| (c) | Podatności adresowalne przez aktualizacje bezpieczeństwa; aktualizacje automatyczne instalowane w odpowiednich ramach czasowych, domyślnie z możliwością wycofania zgody i odroczenia, w odpowiednim zakresie |
| (d) | Ochrona przed nieuprawnionym dostępem (uwierzytelnianie, zarządzanie tożsamością lub dostępem, raportowanie o możliwym nieuprawnionym dostępie) |
| (e) | Poufność danych przechowywanych, przesyłanych i przetwarzanych, w tym szyfrowanie w spoczynku lub w tranzycie z użyciem mechanizmów stanu wiedzy |
| (f) | Ochrona integralności danych, poleceń, programów, konfiguracji; raportowanie o zniekształceniach |
| (g) | Minimalizacja danych: przetwarzać wyłącznie dane adekwatne, istotne i ograniczone do zamierzonego celu |
| (h) | Dostępność funkcji istotnych i podstawowych, także po incydencie; odporność na denial-of-service |
| (i) | Minimalizować negatywny wpływ na dostępność usług świadczonych przez inne urządzenia lub sieci |
| (j) | Ograniczać powierzchnie ataku, w tym interfejsy zewnętrzne |
| (k) | Zmniejszać skutek incydentu poprzez mechanizmy i techniki łagodzenia wykorzystania |
| (l) | Dostarczać informacje bezpieczeństwa poprzez rejestrowanie i monitorowanie istotnej aktywności wewnętrznej, z możliwością wycofania zgody przez użytkownika |
| (m) | Pozwolić użytkownikom bezpiecznie i łatwo usunąć wszystkie dane i ustawienia; zapewnić bezpieczne przeniesienie danych w odpowiednim zakresie |
Klauzula "w odpowiednim zakresie" w Załączniku I Część I (2) oznacza, że ocena ryzyka producenta rozstrzyga, które wymogi od (a) do (m) wiążą produkt. Tam, gdzie wymóg nie ma zastosowania, dokumentacja techniczna musi zawierać jasne uzasadnienie na podstawie artykułu 13(4).
Część II: obsługa podatności (artykuł 13(8), załącznik I część II)
Część II jest bezwarunkowa: obowiązuje przez cały okres wsparcia niezależnie od klasy produktu lub profilu ryzyka.
| Kod | Wymóg |
|---|---|
| (1) | Identyfikować i dokumentować podatności oraz komponenty, w tym wykaz materiałów oprogramowania (SBOM) w powszechnie używanym formacie czytelnym maszynowo, obejmujący co najmniej zależności najwyższego poziomu |
| (2) | Adresować i usuwać podatności bez zbędnej zwłoki poprzez aktualizacje bezpieczeństwa; tam gdzie jest to technicznie wykonalne, oddzielać aktualizacje bezpieczeństwa od aktualizacji funkcjonalnych |
| (3) | Stosować skuteczne i regularne testy oraz przeglądy bezpieczeństwa produktu |
| (4) | Po udostępnieniu aktualizacji bezpieczeństwa udostępniać i publicznie ujawniać informacje o naprawionych podatnościach (opis, dotknięte produkty, wpływ, waga, wskazówki dotyczące naprawy). Publiczne ujawnienie można opóźnić w należycie uzasadnionych przypadkach do czasu, gdy użytkownicy będą mogli zastosować łatkę |
| (5) | Wprowadzić i egzekwować politykę koordynowanego ujawniania podatności (CVD) |
| (6) | Ułatwiać dzielenie się informacjami o potencjalnych podatnościach (w tym w komponentach podmiotów trzecich) poprzez udostępnienie adresu kontaktowego do zgłoszeń podatności |
| (7) | Mechanizmy bezpiecznej dystrybucji aktualizacji, tak aby podatności były naprawiane w odpowiednim czasie, a tam gdzie ma to zastosowanie, automatycznie |
| (8) | Rozpowszechniać aktualizacje bezpieczeństwa bez zbędnej zwłoki; bezpłatnie, chyba że uzgodniono inaczej z użytkownikiem biznesowym dla produktów wykonanych na zamówienie; z komunikatami doradczymi dla użytkowników |
Część II biegnie od wprowadzenia do obrotu przez cały okres wsparcia (artykuł 13(8)). Aktualizacje bezpieczeństwa pozostają dostępne przez co najmniej 10 lat od ich wydania lub przez pozostałą część okresu wsparcia, w zależności od tego, który z tych okresów jest dłuższy (artykuł 13(9)).
Artefakty przed wprowadzeniem do obrotu: co musi istnieć przed wprowadzeniem produktu na rynek
Cztery artefakty muszą istnieć, zanim produkt zostanie wprowadzony do obrotu. Każdy z nich jest zakotwiczony w konkretnym artykule CRA i wytwarza konkretny akt zgodności: plik, który producent prowadzi, ocenę, którą przeprowadza, deklarację, którą podpisuje, oznakowanie, które umieszcza.
| Artefakt | Kotwica | Co zawiera lub czego wymaga |
|---|---|---|
| Dokumentacja techniczna | Artykuł 31, załącznik VII (sporządzona na podstawie artykułu 13(12)) | Opis produktu, informacje o projektowaniu i opracowaniu, ocena ryzyka cyberbezpieczeństwa z artykułu 13(2), zastosowane normy zharmonizowane lub wspólne specyfikacje, ścieżka oceny zgodności i wynik, unijna deklaracja zgodności oraz proces obsługi podatności. Przechowywana przez co najmniej 10 lat lub okres wsparcia, w zależności od tego, który z tych okresów jest dłuższy (artykuł 13(13)). |
| Ocena zgodności | Artykuł 32 | Moduł A samoocena wyłącznie dla produktów klasy domyślnej. Klasa istotna II domyślnie oraz produkty krytyczne, w braku europejskiego programu certyfikacji cyberbezpieczeństwa, wymagają modułu B+C lub modułu H przez jednostkę notyfikowaną. Klasa istotna I może użyć modułu A wyłącznie tam, gdzie normy zharmonizowane, wspólne specyfikacje lub program certyfikacji cyberbezpieczeństwa są w pełni zastosowane. |
| Unijna deklaracja zgodności | Artykuł 13(20), artykuł 28, załącznik V | Pełna deklaracja zgodności dostarczana z produktem albo uproszczona deklaracja niosąca dokładny adres internetowy pełnej deklaracji. Załącznik V ustala zawartość: nazwa i adres producenta, identyfikacja produktu, oświadczenie o zgodności z załącznikiem I, zastosowane normy z numerami referencyjnymi i datami, nazwa i numer jednostki notyfikowanej w odpowiednim zakresie, numer referencyjny certyfikatu, data, podpis, imię i funkcja sygnatariusza. |
| Oznakowanie CE | Artykuł 30, Rozporządzenie (WE) nr 765/2008 | Co najmniej 5 mm wysokości, widoczne, czytelne, nieusuwalne, na produkcie lub jego tabliczce znamionowej. Tam gdzie wielkość lub charakter na to nie pozwala, na opakowaniu i dokumentach towarzyszących. Tam gdzie jednostka notyfikowana uczestniczyła w kontroli produkcji, jej czterocyfrowy numer identyfikacyjny następuje po oznakowaniu CE. |
Wybór modułu oceny zgodności to pojedyncza najbardziej znacząca decyzja w tej sekcji. Tabela i poniższy diagram decyzyjny zawierają szczegóły wiersz po wierszu.
| Moduł | Kiedy |
|---|---|
| A wewnętrzna kontrola produkcji | Wyłącznie produkty klasy domyślnej |
| B + C badanie typu UE + kontrola produkcji | Klasa istotna II domyślnie; klasa I tam, gdzie nie zastosowano żadnej odpowiedniej normy zharmonizowanej, wspólnej specyfikacji ani europejskiego programu certyfikacji cyberbezpieczeństwa |
| H pełne zapewnienie jakości | Alternatywa dla produktów istotnych; wymagana dla produktów krytycznych w braku europejskiego programu certyfikacji cyberbezpieczeństwa pokrywającego wymogi |
Szczegóły każdego artefaktu zawierają przewodnik dokumentacji technicznej, przewodnik oceny zgodności, przewodnik klasyfikacji produktów oraz przewodnik deklaracji zgodności.
Terminy zgłaszania dla producentów (artykuł 14)
Artykuł 14 ustanawia dwa strumienie zgłaszania dla producentów, oba kierowane jednocześnie do CSIRT wyznaczonego jako koordynator i do ENISA poprzez jednolitą platformę zgłaszania na podstawie artykułu 16. Oba strumienie współdzielą rytm 24h/72h, lecz mają różne terminy raportu końcowego, co bywa często mylone.
| Strumień | Wczesne ostrzeżenie 24h | Powiadomienie 72h | Raport końcowy |
|---|---|---|---|
| Aktywnie wykorzystywana podatność (14(1)–(2)) | W ciągu 24h od powzięcia wiedzy | W ciągu 72h od powzięcia wiedzy | 14 dni po udostępnieniu środka naprawczego lub łagodzącego |
| Poważny incydent (14(3)–(5)) | W ciągu 24h od powzięcia wiedzy | W ciągu 72h od powzięcia wiedzy | Jeden miesiąc od powiadomienia 72h |
Zegar raportu końcowego dla podatności startuje w chwili, gdy łatka jest gotowa, a nie w chwili powzięcia wiedzy; odstęp może wynosić tygodnie lub miesiące. Zegar raportu końcowego dla poważnego incydentu jest zakotwiczony w powiadomieniu 72h, czyli w praktyce dzień 33 od powzięcia wiedzy. Zob. przewodnik klastra zgłaszania podatności zawierający przepływ operacyjny, routing CSIRT-koordynatora na podstawie artykułu 14(7) (w tym kaskadę zapasową dla producentów spoza UE), obowiązek powiadamiania użytkowników z artykułu 14(8) oraz mechanikę jednolitej platformy zgłaszania z artykułu 16.
Okres wsparcia i obowiązki po wprowadzeniu do obrotu
Artykuł 13(8) ustala okres wsparcia na co najmniej 5 lat, lub oczekiwany okres używania, jeśli krótszy; aktualizacje bezpieczeństwa pozostają dostępne przez co najmniej 10 lat od ich wydania na podstawie artykułu 13(9). Datę zakończenia (co najmniej miesiąc i rok) należy ujawnić w chwili zakupu na podstawie artykułu 13(19). Zob. przewodnik klastra okresu wsparcia zawierający kryteria wyznaczania, zasady istotnie zmodyfikowanych wersji oprogramowania z 13(10) i (11) oraz obowiązek powiadomienia o zakończeniu wsparcia.
Dwa obowiązki producenta po wprowadzeniu do obrotu istnieją obok reżimu okresu wsparcia i nie mają osobnej strony klastra. Artykuł 13(21)–(22): po stwierdzeniu niezgodności z załącznikiem I producent niezwłocznie podejmuje działania naprawcze, wycofuje z rynku lub odzyskuje, stosownie do okoliczności, a na uzasadniony wniosek organu nadzoru rynku przekazuje wszystkie informacje potrzebne do wykazania zgodności w języku zrozumiałym dla organu. Artykuł 13(23): producent zaprzestający działalności informuje właściwe organy nadzoru rynku przed zaprzestaniem oraz, w miarę możliwości i wszelkimi dostępnymi środkami, użytkowników.
Producent a istotny modyfikator z artykułu 22
Artykuł 22 dotyczy innego przypadku niż klasyfikacja z artykułu 3 punkt 13. Dosłownie:
"Osoba fizyczna lub prawna, inna niż producent, importer lub dystrybutor, która dokonuje istotnej modyfikacji produktu z elementami cyfrowymi i udostępnia ten produkt na rynku, jest uznawana za producenta do celów niniejszego rozporządzenia."
Artykuł 22 wprost wyłącza producentów, importerów i dystrybutorów. Stosuje się do stron trzecich poza łańcuchem z artykułu 3: integratorów systemowych, sprzedawców z wartością dodaną, działów IT przedsiębiorstwa, które modyfikują produkty dostawców przed dalszą dystrybucją. Zakres artykułu 22(2) jest precyzyjny: modyfikujący traktowany jest jak producent w odniesieniu do części produktu objętej istotną modyfikacją lub w odniesieniu do całego produktu, jeśli modyfikacja ma wpływ na cyberbezpieczeństwo produktu jako całości. "Istotna modyfikacja" jest zdefiniowana w artykule 3 punkt 30 jako zmiana po wprowadzeniu do obrotu, która wpływa na zgodność z załącznikiem I część I lub modyfikuje przeznaczenie, dla którego produkt został oceniony.
| Przypadek | Klasyfikacja |
|---|---|
| Inżynieria własna, marka własna | Producent (artykuł 3 punkt 13) |
| Marka oryginalna, strona trzecia dodaje funkcje firmware'u po wprowadzeniu do obrotu, zmieniając powierzchnię ataku | Pierwotny producent pozostaje; strona trzecia jest również producentem dla zmodyfikowanej części na podstawie artykułu 22 |
| Rebranding white-label produktu spoza UE przez podmiot z UE | Podmiot z UE jest producentem na podstawie artykułu 3 punkt 13; nie "eskalacja artykułu 22" |
| Integrator z UE łączy zgodne produkty bez modyfikacji ich wnętrza | Dystrybutor na podstawie artykułu 3 punkt 17, nie artykuł 22 |
| Dział IT przedsiębiorstwa instaluje własny build firmware'u na urządzeniach dostawcy, a następnie odsprzedaje | Modyfikator z artykułu 22; traktowany jak producent dla zmodyfikowanego produktu |
Praktyczna konsekwencja objęcia strony trzeciej artykułem 22: pełne obowiązki z artykułu 13 i artykułu 14 dla zmodyfikowanej części lub całego produktu, w tym świeży plik techniczny, świeża deklaracja zgodności, świeże CE pod odpowiedzialnością modyfikującego oraz powyższy rytm zgłaszania z artykułu 14.
Harmonogram wdrożenia
Typowe pułapki
| Twierdzenie | Dlaczego upada |
|---|---|
| "Tak naprawdę nie jesteśmy producentem; OEM w innym kraju to składa." | Artykuł 3 punkt 13 łapie właściciela marki. Zlecenie produkcji nie przenosi obowiązku. |
| "Nasza polityka bezpieczeństwa jest wystarczająco dobra; nie musimy przeprowadzać oceny załącznika I część I." | Artykuł 13(2) czyni ocenę ryzyka cyberbezpieczeństwa obowiązkową. Dokumentacja techniczna musi zawierać tę ocenę na podstawie artykułu 13(4). |
| "Nasi klienci nie pytają o SBOM, więc go nie tworzymy." | Załącznik I część II punkt (1) wymaga identyfikacji podatności i komponentów, w tym SBOM w powszechnie używanym formacie czytelnym maszynowo. Zainteresowanie klienta jest bez znaczenia. |
| "Nasz chatbot to pojedynczy punkt kontaktowy." | Artykuł 13(17) wymaga, by użytkownik mógł wybrać preferowany środek komunikacji. Środki nie mogą być ograniczone do narzędzi automatycznych. |
| "Pięć lat od premiery produktu wystarczy na okres wsparcia." | Artykuł 13(8) liczy okres wsparcia od wprowadzenia każdego egzemplarza do obrotu, a nie od premiery. Egzemplarze wprowadzone w 4. roku niosą obowiązki wsparcia do 9. roku. |
| "Termin raportu końcowego 14 dni dotyczy także incydentów." | Nie. Podatności: 14 dni po udostępnieniu środka naprawczego. Poważne incydenty: jeden miesiąc po powiadomieniu 72h (artykuł 14(2)(c) vs 14(4)(c)). |
| "Nasza umowa SLA już pokrywa podatności; nie musimy zgłaszać do ENISA." | Zgłaszanie z artykułu 14 trafia do CSIRT wyznaczonego jako koordynator i do ENISA jednocześnie, przez jednolitą platformę zgłaszania z artykułu 16. SLA klienckie nie zastępują tego obowiązku. |
| "Mamy ubezpieczenie od naruszeń." | Kary administracyjne z artykułu 64 nie są w większości państw członkowskich ubezpieczalne. Transfer ryzyka nie zastąpi zgodności. |
| "Artykuł 14 stosuje się dopiero, gdy będziemy mieli podmiot w UE." | Artykuł 14(7) akapit trzeci kieruje producentów spoza UE przez kaskadę CSIRT opartą na lokalizacji upoważnionego przedstawiciela, importera, dystrybutora lub użytkownika. Obowiązek zgłaszania startuje 11 września 2026 r. niezależnie od tego. |
| "Opóźniamy publiczne ujawnienie każdej podatności do następnego wydania kwartalnego." | Załącznik I część II punkt (4) dopuszcza opóźnienie wyłącznie w należycie uzasadnionych przypadkach do czasu, gdy użytkownicy będą mogli zastosować łatkę. Rutynowe kwartalne grupowanie nie jest "należycie uzasadnionym przypadkiem". |
Najczęściej zadawane pytania
Kim jest producent na gruncie CRA?
Właściciel marki. Producentem jest podmiot, który opracowuje lub zleca wytworzenie produktu (w tym przez fabrykę zewnętrzną) i wprowadza go do obrotu pod własną nazwą lub znakiem towarowym, odpłatnie lub nieodpłatnie. To marka na produkcie, a nie lokalizacja linii produkcyjnej, decyduje, kto jest producentem. Zarządcy oprogramowania open source to odrębna, lżejsza kategoria; odsprzedaż bez umieszczania własnej marki to dystrybucja, a nie wytwarzanie. *(artykuł 3(13); reżim opiekuna w artykule 3(14))*
Czy jestem producentem czy importerem?
Zależy od tego, czyja marka widnieje na produkcie. Własna nazwa lub znak towarowy na produkcie oznacza, że jesteś producentem, niezależnie od miejsca wytworzenia. Marka podmiotu spoza UE na produkcie wprowadzanym na rynek Unii przez podmiot unijny oznacza, że jesteś importerem. Umieść własną markę na produkcie zbudowanym poza UE, a obowiązuje pełny zestaw obowiązków producenta; zachowaj oryginalną markę, a dochodzi do stosowania lżejszego zestawu importerskiego. *(artykuły 3(13) i 3(16); obowiązki producenta w artykułach 13 i 14; obowiązki importera w artykule 19)*
Producent a upoważniony przedstawiciel: jaka jest różnica?
Upoważniony przedstawiciel jest pełnomocnikiem dokumentowym, nie zastępcą producenta. Na podstawie pisemnego mandatu przechowuje unijną deklarację zgodności i dokumentację techniczną do dyspozycji organów nadzoru rynku, odpowiada na uzasadnione wnioski i współpracuje przy działaniach egzekucyjnych. Inżynieria, ocena ryzyka, obsługa podatności, ocena zgodności i kontrola produkcji seryjnej pozostają u producenta. Upoważniony przedstawiciel nie wprowadza produktu do obrotu. Wyznaczenie go jest opcjonalne, a nie obowiązkowe. *(mandat w artykułach 3(15) i 18(1)–(3); obowiązki producenta wyłącznie w artykułach 13(1)–(11), 13(12) pierwszy akapit i 13(14))*
Czy istnieją wyłączenia dla MŚP wśród producentów?
Obowiązki materialne obowiązują niezależnie od wielkości przedsiębiorstwa. Jedyna ulga karna dla MŚP w CRA dotyczy wyłącznie terminów wczesnego ostrzeżenia 24h: mikroprzedsiębiorstwa i małe przedsiębiorstwa są zwolnione z kar powiązanych z tymi konkretnymi terminami, nic ponadto. Zarządcy oprogramowania open source mają szersze zwolnienie z kar administracyjnych, ale stanowią odrębną kategorię. Przy ustalaniu kwot kar w indywidualnych sprawach organy nadzoru rynku muszą należycie uwzględniać wielkość naruszającego, w tym MŚP i start-upy; to czynnik wymiaru kary, a nie zwolnienie z obowiązków. *(artykuły 13 i 14 stosują się do wszystkich rozmiarów; ulga MŚP w artykule 64(10)(a) dla terminów z artykułu 14(2)(a) i 14(4)(a); czynnik wymiaru kary w artykule 64(5)(c); szersze zwolnienie zarządców OSS w artykule 3(14) i 64(10)(b))*
Kiedy obowiązują obowiązki producenta z CRA?
Dwie daty. Zgłaszanie podatności i incydentów z artykułu 14 startuje **11 września 2026 r.** Pozostały reżim producenta (artykuł 13, załącznik I, ocena zgodności, unijna deklaracja zgodności, oznakowanie CE i dokumentacja techniczna) startuje **11 grudnia 2027 r.** Producenci potrzebują zdolności zgłaszania z artykułu 14 już we wrześniu 2026 r., nawet jeśli pełen program zgodności z artykułu 13 jest jeszcze w budowie. *(stosowanie na podstawie artykułu 71; zgłaszanie z artykułu 14 od 11 września 2026 r.; artykuły 13, 30, 31, 32 i załącznik I od 11 grudnia 2027 r.)*
Czym jest okres wsparcia i jak się go wyznacza?
Co najmniej 5 lat, albo przewidywany okres użytkowania jeśli krótszy. Producent wyznacza okres, biorąc pod uwagę racjonalne oczekiwania użytkowników, charakter i przeznaczenie produktu, odpowiednie prawo Unii dotyczące cyklu życia produktów, okresy wsparcia podobnych produktów na rynku, dostępność środowiska operacyjnego, okresy wsparcia zintegrowanych komponentów podmiotów trzecich oraz wytyczne ADCO i Komisji. Rozważone informacje muszą trafić do dokumentacji technicznej. Datę zakończenia (co najmniej miesiąc i rok) należy ujawnić w chwili zakupu. Po wydaniu aktualizacje bezpieczeństwa pozostają dostępne przez co najmniej 10 lat lub przez pozostałą część okresu wsparcia, w zależności od tego, który z tych okresów jest dłuższy. *(artykuły 13(8), 13(9) i 13(19))*
Jaka jest różnica między "aktywnie wykorzystywaną podatnością" a "poważnym incydentem" w artykule 14?
Różne definicje, różne terminy raportu końcowego. Aktywnie wykorzystywana podatność to taka, dla której istnieje wiarygodny dowód, że złośliwy aktor ją wykorzystał bez zgody właściciela systemu. Poważny incydent to taki, który negatywnie wpływa (lub może wpływać) na zdolność produktu do ochrony dostępności, autentyczności, integralności lub poufności danych albo funkcji wrażliwych lub ważnych, lub który doprowadził (albo może doprowadzić) do wprowadzenia lub wykonania złośliwego kodu w produkcie albo w sieci użytkownika. Oba strumienie stosują rytm 24h/72h, lecz raport końcowy różni się: dla podatności 14 dni po udostępnieniu środka naprawczego, dla incydentów jeden miesiąc od powiadomienia 72h. *(aktywnie wykorzystywana podatność w artykule 3(42); poważny incydent w artykule 14(5); terminy w artykule 14(2) i (4))*
Czy komponenty open source w naszym produkcie wpływają na nasze obowiązki producenta?
Tak. Producent musi dochować należytej staranności przy integracji komponentów podmiotów trzecich, w tym bezpłatnych i open source komponentów oprogramowania nieudostępnionych na rynku w toku działalności komercyjnej. Po zidentyfikowaniu podatności w komponencie, w tym open source, producent zgłasza ją osobie lub jednostce utrzymującej komponent i usuwa ją zgodnie z załącznikiem I część II. Tam gdzie producent opracował poprawkę, dzieli stosowny kod lub dokumentację z opiekunem komponentu, w formacie czytelnym maszynowo tam, gdzie ma to zastosowanie. Produkt wymaga SBOM obejmującego co najmniej zależności najwyższego poziomu. Zarządcy oprogramowania open source to odrębna kategoria z własnym (lżejszym) reżimem. *(artykuły 13(5)–(7); SBOM w Załączniku I Część II (1); kategoria zarządcy w artykule 3(14))*