Niezgodność z CRA grozi karami do 15 000 000 EUR lub 2,5% łącznego rocznego światowego obrotu, w zależności od tego, która z tych kwot jest wyższa. To najwyższy próg kar przewidziany w Artykule 64 ust. 2, stosowany w razie naruszenia zasadniczych wymagań z Załącznika I oraz obowiązków określonych w Artykule 13 i Artykule 14. Obowiązek sporządzenia SBOM wynika z Załącznika I. Dwa terminy wyznaczają harmonogram. Artykuł 14 dotyczący zgłaszania podatności staje się obowiązkowy 11 września 2026 r. Pełne egzekwowanie CRA następuje 11 grudnia 2027 r. Produkty z elementami cyfrowymi wprowadzane do obrotu na rynku UE po tej dacie bez zgodnego z przepisami SBOM nie mogą nosić oznakowania CE i nie mogą być legalnie sprzedawane.
Najważniejsze informacje
- 11 września 2026 r.: Artykuł 14 dotyczący zgłaszania podatności i incydentów do ENISA staje się obowiązkowy dla producentów
- 11 grudnia 2027 r.: Pełne egzekwowanie CRA, w tym obowiązek SBOM wynikający z Załącznika I
- Maksymalna kara: 15 000 000 EUR lub 2,5% łącznego rocznego światowego obrotu (w zależności od tego, która kwota jest wyższa), Artykuł 64 ust. 2
- Przechowywanie: SBOM musi być przechowywany przez co najmniej 10 lat od wprowadzenia ostatniej jednostki do obrotu (Artykuł 13 ust. 13)
Terminy zgodności z SBOM w ramach CRA
CRA przewiduje stopniowe wdrożenie przepisów. Dwa terminy dotyczą bezpośrednio zgodności SBOM:
| Data | Kamień milowy |
|---|---|
| 11 września 2026 r. | Obowiązki w zakresie zgłaszania podatności wchodzą w życie. Producenci mają obowiązek zgłaszania aktywnie wykorzystywanych podatności w ciągu 24 godzin. |
| 11 grudnia 2027 r. | Pełne egzekwowanie. Wszystkie produkty z elementami cyfrowymi muszą spełniać wymagania CRA, w tym posiadać kompletne SBOM. |
Produkty wprowadzane do obrotu na rynku UE po grudniu 2027 r. bez zgodnego z przepisami SBOM nie mogą nosić oznakowania CE i nie mogą być legalnie sprzedawane. Szerszy harmonogram wdrożenia obejmujący jednostki notyfikowane, normy zharmonizowane oraz zgłaszanie na podstawie Artykułu 14 opisano w artykule harmonogram wdrożenia CRA 2027.
Harmonogram zgłaszania na podstawie Artykułu 14
Termin „24 godzin" to jedynie pierwszy krok. Artykuł 14 ustanawia wieloetapowy harmonogram zgłaszania do koordynującego CSIRT i ENISA jednocześnie, za pośrednictwem pojedynczej platformy sprawozdawczej ustanowionej na podstawie Artykułu 16.
| Etap | Termin | Artykuł | Zdarzenie wyzwalające |
|---|---|---|---|
| Wczesne ostrzeżenie | W ciągu 24 godzin | art. 14 ust. 2 lit. a) | Aktywnie wykorzystywana podatność |
| Zgłoszenie podatności | W ciągu 72 godzin | art. 14 ust. 2 lit. b) | Aktywnie wykorzystywana podatność |
| Sprawozdanie końcowe | W ciągu 14 dni od udostępnienia środka naprawczego | art. 14 ust. 2 lit. c) | Aktywnie wykorzystywana podatność |
| Wczesne ostrzeżenie | W ciągu 24 godzin | art. 14 ust. 4 lit. a) | Poważny incydent |
| Zgłoszenie incydentu | W ciągu 72 godzin | art. 14 ust. 4 lit. b) | Poważny incydent |
| Sprawozdanie końcowe | W ciągu 1 miesiąca od zgłoszenia incydentu | art. 14 ust. 4 lit. c) | Poważny incydent |
Artykuł 14 dotyczący zgłaszania obowiązuje od 11 września 2026 r. Jeżeli po tej dacie produkt posiada aktywnie wykorzystywaną podatność, producent ma obowiązek przesłać wczesne ostrzeżenie do koordynującego CSIRT i ENISA w ciągu 24 godzin, pełniejsze zgłoszenie w ciągu 72 godzin oraz sprawozdanie końcowe w ciągu 14 dni. Wymaga to posiadania infrastruktury monitorowania podatności przed tą datą. SBOM stanowi fundament tego monitorowania: nie można śledzić tego, czego się nie udokumentowało.
Konsekwencje niezgodności
Niezgodność z CRA skutkuje zarówno sankcjami finansowymi, jak i handlowymi. Organy nadzoru rynku w poszczególnych państwach członkowskich UE będą egzekwować te kary.
| Finansowe | Handlowe |
|---|---|
| Kary do 15 000 000 EUR lub 2,5% łącznego rocznego światowego obrotu (art. 64 ust. 2) | Wycofanie produktu lub usunięcie z rynku UE |
| Naruszenia obowiązków zgłaszania mogą podlegać odrębnym karom na podstawie art. 64 ust. 2 i art. 64 ust. 3 | Zakaz wprowadzenia do obrotu: produkty niezgodne nie mogą nosić oznakowania CE |
| Przekazywanie informacji nieprawidłowych lub niekompletnych organom: do 5 000 000 EUR lub 1% (art. 64 ust. 4) | Skutki w łańcuchu dostaw: klienci mogą nie móc korzystać z produktu przy własnej zgodności z CRA |
Narażenie na kary według rodzaju podmiotu gospodarczego
Artykuł 64 przewiduje różne pułapy kar w zależności od naruszanego obowiązku i odpowiedzialnego podmiotu. Obowiązek SBOM wynika z Załącznika I, w związku z czym brak lub niezgodność SBOM kwalifikuje producenta do progu z Artykułu 64 ust. 2.
| Podmiot | Naruszony obowiązek | Artykuł | Maksymalna kara |
|---|---|---|---|
| Producent | Zasadnicze wymagania z Załącznika I (w tym SBOM) lub obowiązki z Artykułów 13 i 14 | art. 64 ust. 2 | 15 000 000 EUR lub 2,5% łącznego rocznego światowego obrotu |
| Importer | Obowiązki importera z Artykułu 19 (weryfikacja, oznakowanie, dokumentacja) | art. 64 ust. 3 | 10 000 000 EUR lub 2% łącznego rocznego światowego obrotu |
| Importer działający jak producent | Artykuł 22: własna marka lub zmodyfikowany produkt uruchamia pełny reżim producenta | art. 64 ust. 2 | 15 000 000 EUR lub 2,5% łącznego rocznego światowego obrotu |
| Dystrybutor | Obowiązki dystrybutora z Artykułu 20 (weryfikacja, współpraca z organami nadzoru) | art. 64 ust. 3 | 10 000 000 EUR lub 2% łącznego rocznego światowego obrotu |
| Wszystkie podmioty gospodarcze | Przekazywanie organom informacji nieprawidłowych, niekompletnych lub wprowadzających w błąd | art. 64 ust. 4 | 5 000 000 EUR lub 1% łącznego rocznego światowego obrotu |
Artykuł 22 przenosi importera do pełnego reżimu producenta, gdy umieszcza on własną markę na produkcie osoby trzeciej lub modyfikuje oprogramowanie przed odsprzedażą. Narażenie na karę wzrasta z poziomu 10 mln EUR lub 2% do 15 mln EUR lub 2,5%, a wszystkie obowiązki wynikające z Artykułu 13 mają zastosowanie, w tym wymóg SBOM z Załącznika I.
Ustalając wysokość kary, organy muszą zwrócić należytą uwagę na trzy czynniki wymienione w Artykule 64 ust. 5:
| Czynnik | Znaczenie |
|---|---|
| Charakter, waga i czas trwania naruszenia oraz jego konsekwencje | Poważniejsze i dłuższe naruszenie oznacza wyższą karę |
| Czy ten sam podmiot był już karany za podobne naruszenie | Ponowne naruszenie oznacza wyższą karę |
| Wielkość podmiotu gospodarczego, zwłaszcza w przypadku mikroprzedsiębiorstw i małych przedsiębiorstw | Mniejszy podmiot oznacza proporcjonalnie niższą karę |
Mikroprzedsiębiorstwa i małe przedsiębiorstwa są zwolnione z administracyjnych kar pieniężnych za niedotrzymanie terminów wczesnych ostrzeżeń określonych w art. 14 ust. 2 lit. a) i art. 14 ust. 4 lit. a). Opiekunowie oprogramowania otwartego są zwolnieni z naruszeń objętych Artykułem 64 ust. 3 do 9. Obowiązki z Załącznika I nadal obowiązują; wyłączenie dotyczy wyłącznie administracyjnej kary pieniężnej w tych konkretnych sytuacjach.
Najczęściej zadawane pytania
Jaka jest maksymalna kara na podstawie CRA?
Artykuł 64 ust. 2 określa maksymalną karę na poziomie 15 000 000 EUR lub 2,5% łącznego rocznego światowego obrotu, w zależności od tego, która kwota jest wyższa. W przypadku dużych przedsiębiorstw obliczenie oparte na obrocie może znacznie przekroczyć stały pułap. Pułap 15 000 000 EUR ma zastosowanie wyłącznie wtedy, gdy 2,5% obrotu jest od niego niższe.
Czy przed terminem grudniowym 2027 r. można już otrzymać karę?
Produkty wprowadzane do obrotu po 11 grudnia 2027 r. muszą być w pełni zgodne. Jednak obowiązek zgłaszania podatności wynikający z Artykułu 14 wchodzi w życie 11 września 2026 r. Organy mogą egzekwować ten obowiązek od tej daty. Podmiot, który po wrześniu 2026 r. zignoruje potwierdzoną aktywnie wykorzystywaną podatność, jest już narażony na sankcje.
Czy kary CRA są nakładane za produkt czy za przedsiębiorstwo?
Kary są oceniane za każde naruszenie, a nie za sprzedaną jednostkę. Jedna niezgodna linia produktowa stanowi jedno naruszenie, jednak obliczenie kary uwzględnia skalę niezgodności, liczbę egzemplarzy w obrocie i uzyskaną korzyść finansową. Systematyczna niezgodność w wielu liniach produktowych jest zwykle traktowana jako odrębne naruszenia.
Który organ egzekwuje CRA w poszczególnych państwach członkowskich UE?
CRA nie wyznacza jednego ogólnounijnego organu wykonawczego. Każde państwo członkowskie wyznacza własny organ nadzoru rynku. Niemieckie BSI, francuska ANSSI, włoska ACN i polskie CERT Polska to krajowe organy, od których oczekuje się wiodącej roli. Unijna Sieć ds. Zgodności Produktów koordynuje egzekwowanie transgraniczne w przypadku problemów obejmujących kilka rynków.
Co wyzwala postępowanie wyjaśniające w ramach nadzoru rynku CRA?
Do typowych przyczyn wszczęcia postępowania należą: skargi konkurentów, incydenty bezpieczeństwa zgłoszone przez klientów, losowe kontrole produktów przez organy, flagi kontroli celnych oraz publicznie ujawnione niezałatane podatności. Organy prowadzą też proaktywne kampanie sektorowe ukierunkowane na kategorie produktów wysokiego ryzyka.
Jak długo należy przechowywać SBOM po wycofaniu produktu z rynku?
Dokumentacja techniczna, która obejmuje SBOM, musi być przechowywana przez co najmniej 10 lat od wprowadzenia produktu z elementami cyfrowymi do obrotu lub przez okres wsparcia, w zależności od tego, który z tych okresów jest dłuższy (Artykuł 13 ust. 13 CRA). SBOM musi pozostawać aktualny przez cały aktywny okres wsparcia, który CRA określa na minimalnie 5 lat.