Czym jest produkt z elementami cyfrowymi w rozumieniu CRA?

Produkt z elementami cyfrowymi to sprzęt lub oprogramowanie wprowadzone do obrotu na rynku UE, którego przeznaczenie lub racjonalnie przewidywalne użycie obejmuje bezpośrednie lub pośrednie połączenie danych z innym urządzeniem lub siecią. Decydują trzy bramki: forma produktu, komercyjne wprowadzenie do obrotu i połączenie. Połączenie jest testem, który zespoły najczęściej niedoceniają. Niniejsza strona omawia każdą bramkę, przypadki specyficzne dla chmury oraz sektory pozostające poza zakresem CRA.

Podsumowanie

  • Zakres opiera się na połączeniu. Sprzęt lub oprogramowanie wprowadzone do obrotu na rynku UE mieści się w zakresie, gdy jego przeznaczenie lub racjonalnie przewidywalne użycie obejmuje połączenie danych z innym urządzeniem lub siecią.
  • Rozporządzenie wymienia cztery formy. Produkty programowe, produkty sprzętowe, komponenty wprowadzane do obrotu osobno oraz rozwiązania zdalnego przetwarzania danych dostarczane przez producenta.
  • Obowiązują trzy rodzaje połączeń. Logiczne, fizyczne i pośrednie. Klauzula połączenia pośredniego jest najszerszą siecią i obejmuje każdy produkt docierający do sieci przez większy system.
  • Niektóre sektory są wyłączone. Wyroby medyczne, pojazdy silnikowe, certyfikowane produkty lotnictwa cywilnego, wyposażenie morskie, części zamienne oraz produkty na potrzeby bezpieczeństwa narodowego lub obronności pozostają poza zakresem; zob. Kto musi spełnić wymogi CRA, gdzie wskazano rozporządzenie właściwe dla każdego sektora.
Połączenie
Test zakresu
Bezpośrednie lub pośrednie, z urządzeniem lub siecią
4
Form w zakresie
Oprogramowanie, sprzęt, komponent, zdalne przetwarzanie danych
3
Rodzaje połączeń
Logiczne, fizyczne, pośrednie
6+
Sektory wyłączone
Medyczne, pojazdy, lotnictwo, morskie, obronność, części zamienne

Zakres CRA w czterech liczbach: test rozstrzygający o objęciu produktu zakresem, rozpoznawane formy, trzy sposoby, w jakie liczy się połączenie, oraz sektory pozostające poza zakresem.

Co liczy się jako produkt z elementami cyfrowymi?

Najprościej: zadaj trzy pytania. Produkt mieści się w zakresie CRA wyłącznie wtedy, gdy odpowiedź na wszystkie trzy brzmi „tak".

  1. Czy jest to produkt programowy, produkt sprzętowy, komponent wprowadzany do obrotu osobno albo rozwiązanie zdalnego przetwarzania danych? Te cztery formy są objęte zakresem; opisano je w kolejnej sekcji.
  2. Czy zostanie wprowadzony do obrotu na rynku UE w toku działalności komercyjnej? Dostarczanie odpłatne i nieodpłatne liczy się jednakowo, o ile działalność ma charakter komercyjny.
  3. Czy jego przeznaczenie lub racjonalnie przewidywalne użycie obejmuje bezpośrednie lub pośrednie połączenie danych z innym urządzeniem lub siecią? Rodzaje połączeń omówiono w teście połączenia danych poniżej.

Mówiąc prosto, definicja obejmuje produkty programowe, produkty sprzętowe, oddzielnie sprzedawane komponenty oprogramowania lub sprzętu oraz usługi zdalnego przetwarzania, które producent dostarcza jako część produktu.

CRA to Rozporządzenie (UE) 2024/2847. Szerszy kontekst (co obejmuje rozporządzenie, kluczowe daty oraz sankcje) omówiono na stronie Czym jest Cyber Resilience Act.

Formy produktu z elementami cyfrowymi

Rozporządzenie uznaje cztery formy. Każda z nich może dotyczyć Twojego produktu.

  • Produkt programowy. Systemy operacyjne, zapory sieciowe, menedżery haseł, pakiety antywirusowe, przeglądarki, rozszerzenia przeglądarek, aplikacje mobilne do pobrania oraz biblioteki deweloperskie dostarczane komercyjnie.
  • Produkt sprzętowy. Routery, czujniki IoT, kamery inteligentne, przemysłowe sterowniki PLC, urządzenia smart home oraz trackery fitness. Wszystko, co komunikuje się przez Wi-Fi, Bluetooth, Ethernet, sieć komórkową lub przemysłową magistralę fieldbus.
  • Komponent wprowadzany do obrotu osobno. Oprogramowanie lub sprzęt dostarczany samodzielnie do integracji z innym systemem. Kwalifikuje się firmware sprzedawany jako odrębny produkt, biblioteki programowe dostarczane producentom OEM oraz moduły wbudowane.
  • Rozwiązanie zdalnego przetwarzania danych. Usługi chmurowe lub zdalne, które producent projektuje i dostarcza jako część produktu, a których brak uniemożliwiłby produktowi wykonywanie jednej z jego funkcji. Kanonicznym przykładem jest chmura producenta urządzeń smart home, która pozwala użytkownikom zdalnie sterować urządzeniem. Czysta usługa SaaS bez powiązanego produktu pozostaje co do zasady poza rozporządzeniem; SaaS, PaaS oraz IaaS jako takie podlegają Dyrektywie (UE) 2022/2555 (NIS2).

Testem rozstrzygającym jest połączenie danych, a nie forma produktu.

Test połączenia danych

Do objęcia produktu zakresem wystarczy jeden z trzech rodzajów połączeń, o ile przeznaczenie lub racjonalnie przewidywalne użycie produktu obejmuje to połączenie.

Typ połączenia Znaczenie praktyczne Przykład z życia
Logiczne Wirtualna ścieżka danych przez interfejs programowy Wywołanie REST API między mikroserwisem a backendem
Fizyczne Łącze przez interfejsy elektryczne, optyczne lub mechaniczne, przewody albo fale radiowe Kabel Ethernet, parowanie Bluetooth, przemysłowa magistrala RS-485
Pośrednie Połączenie docierające do urządzenia lub sieci przez większy system, który sam jest bezpośrednio łączalny Czujnik docierający do internetu wyłącznie przez lokalny koncentrator

Klauzula połączenia pośredniego jest najczęściej niedoceniana. Czujnik komunikujący się wyłącznie z lokalną bramą mieści się w zakresie, jeżeli brama dociera do internetu, nawet jeśli sam czujnik nie posiada stosu IP.

Kiedy usługa chmurowa mieści się w zakresie CRA

Komponent chmurowy lub SaaS mieści się w zakresie oceny zgodności CRA wyłącznie wtedy, gdy spełnione są wszystkie trzy poniższe warunki. Projekt wytycznych Komisji Europejskiej z marca 2026 r. (Komunikat Ares(2026)2319816) prowadzi producentów przez te warunki krok po kroku.

  1. Czy rozwiązanie przetwarza dane na odległość? Jeżeli usługa chmurowa faktycznie nie przetwarza danych zdalnie, nie jest rozwiązaniem zdalnego przetwarzania danych.
  2. Czy bez tego rozwiązania produkt nie mógłby wykonywać jednej ze swoich funkcji? Backend opcjonalny lub jedynie wzbogacający nie wciąga chmury w zakres; brak usługi musi uniemożliwiać produktowi dostarczenie deklarowanej funkcji.
  3. Czy rozwiązanie jest zaprojektowane przez producenta lub na jego odpowiedzialność? Gotowa usługa SaaS osoby trzeciej, z której produkt przy okazji korzysta, nie jest rozwiązaniem zdalnego przetwarzania danych. Usługa szyta na miarę, opracowana na odpowiedzialność producenta, może nim być.

Każde „nie" na jedno z tych pytań wyłącza komponent chmurowy z zakresu rozwiązań zdalnego przetwarzania danych.

Wyjście z zakresu RDPS nie oznacza wyjścia z obowiązków. Nawet gdy usługa chmurowa nie kwalifikuje się jako rozwiązanie zdalnego przetwarzania danych, producent zachowuje obowiązki należytej staranności wobec komponentów, gdy usługa jest zintegrowana z produktem. Obowiązek bezpieczeństwa przesuwa się z oceny zgodności na zarządzanie komponentami; nie znika.

Komisja ilustruje test pięcioma konkretnymi scenariuszami: aplikacją bankową, inteligentnym termostatem, czytnikiem e-booków, robotem przemysłowym oraz urządzeniem sieci komórkowej. Wytyczne pozostają w wersji roboczej do czasu finalizacji we wszystkich wersjach językowych UE. Jako użyteczne przykłady graniczne traktują też backend aplikacji mobilnej prowadzony przez producenta oraz chmurę smart home.

Co NIE jest produktem z elementami cyfrowymi

Dwa testy progowe wyłączają produkt spod CRA, zanim w ogóle pojawi się kwestia sektorowa:

  • Produkty bez oprogramowania, firmware'u i połączenia danych. Czysto mechaniczne urządzenie bez elektroniki jest poza zakresem już na etapie testu wejścia. Prosty analogowy termostat, pasywny kabel czy nieelektroniczne narzędzie ręczne nie zostaną nim objęte.
  • Czyste usługi wyłącznie chmurowe bez powiązanego produktu. Samodzielna usługa SaaS, PaaS lub IaaS, która nie jest rozwiązaniem zdalnego przetwarzania danych produktu, pozostaje poza CRA; te modele usług chmurowych podlegają Dyrektywie (UE) 2022/2555 (NIS2). Strony internetowe niewspierające funkcjonalności produktu z elementami cyfrowymi również pozostają poza CRA. Rozporządzenie sięga po usługę chmurową wyłącznie wtedy, gdy producent dostarcza ją jako część produktu, a brak usługi uniemożliwiałby produktowi działanie.

Najczęściej zadawane pytania

Czy moje urządzenie wyłącznie Bluetooth mieści się w zakresie CRA?

Tak. Bluetooth to fizyczne połączenie przez fale radiowe, a urządzenie, które potrafi sparować się z telefonem, koncentratorem lub innym hostem Bluetooth, spełnia test zakresu. Nawet jeśli urządzenie nigdy nie dociera bezpośrednio do internetu, klauzula połączenia pośredniego włącza je w zakres z chwilą, gdy sparowany host dociera do sieci.

Czy SaaS, PaaS lub IaaS mieszczą się w zakresie CRA?

Co do zasady nie. Software as a Service, Platform as a Service oraz Infrastructure as a Service podlegają Dyrektywie (UE) 2022/2555 (NIS2), a nie CRA. Usługa chmurowa wchodzi w zakres CRA wyłącznie wtedy, gdy została zaprojektowana i jest dostarczana przez producenta produktu z elementami cyfrowymi, a jej brak uniemożliwiałby produktowi wykonywanie jednej z jego funkcji. Kanonicznym przykładem objętym zakresem jest chmura producenta urządzeń smart home, pozwalająca użytkownikom na zdalne sterowanie urządzeniem.

Czy backend API naszej aplikacji mobilnej mieści się w zakresie CRA?

Tak, jeżeli producent aplikacji projektuje i rozwija backend, a aplikacja go potrzebuje, by działać. Aplikacja mobilna wymagająca dostępu do API lub bazy danych dostarczanej przez usługę producenta wciąga tę usługę w zakres CRA jako rozwiązanie zdalnego przetwarzania danych.

Czy firmware dostarczany wewnątrz naszego własnego sprzętu liczy się jako odrębny komponent?

Nie, chyba że firmware jest również wprowadzany do obrotu osobno. Firmware wbudowany w sprzedawany sprzęt jest częścią tego produktu, a nie samodzielnym komponentem. Jeżeli sprzedajesz firmware również osobno, na przykład jako pakiet aktualizacji, OEM SDK lub samodzielny plik do pobrania, wersja firmware'u sprzedawana osobno może niezależnie mieścić się w zakresie.

Czy aplikacja mobilna do pobrania jest produktem z elementami cyfrowymi?

Tak, gdy jest dostarczana w toku działalności komercyjnej. Aplikacja mobilna dystrybuowana przez sklep z aplikacjami albo jako plik do pobrania jest produktem programowym udostępnianym na rynku. Aplikacje komercyjne płatne i bezpłatne mieszczą się jednakowo w zakresie. Fakt, że sklep z aplikacjami dystrybuuje aplikację, nie przenosi odpowiedzialności CRA na sklep; producentem jest podmiot wprowadzający aplikację do obrotu pod własną nazwą lub znakiem towarowym. Produkt musi również spełnić test połączenia, który większość aplikacji spełnia poprzez przewidziane użycie sieci lub API urządzenia.

Od czego zacząć

  1. Skorzystaj z bezpłatnego sprawdzenia stosowalności CRA, aby przejść przez proces interaktywnie, albo potwierdź test połączenia ręcznie: każda logiczna, fizyczna lub pośrednia droga do urządzenia lub sieci wystarczy.
  2. Sprawdź, czy nie ma zastosowania żadne wyłączenie sektorowe. Pełny test zakresu opisano krok po kroku na stronie Kto musi spełnić wymogi CRA.
  3. Zidentyfikuj swoją rolę: producent, importer, dystrybutor albo upoważniony przedstawiciel.
  4. Sklasyfikuj produkt jako domyślny, istotny lub krytyczny, korzystając z klasyfikacji produktów.
  5. Wybierz ścieżkę oceny zgodności po ustaleniu klasy produktu.
  6. Wróć do centrum zgodności z CRA i zbuduj cztery artefakty CRA: SBOM, dokumentację techniczną, proces obsługi podatności oraz unijną deklarację zgodności.