Normy zharmonizowane to specyfikacje techniczne, które przekładają szerokie wymagania z Załącznika I aktu o cyberodporności na konkretne, sprawdzalne postanowienia. Ta strona wyjaśnia, czym są, i śledzi każdy projekt w ramach wniosku o normalizację M/606 Komisji Europejskiej: kategorię produktów, organizację, która go opracowuje, jego aktualny status oraz link do każdego publicznego projektu.
Podsumowanie
- Żadna norma zharmonizowana CRA nie jest jeszcze opublikowana w Dzienniku Urzędowym (stan na 4 czerwca 2026 r.), więc domniemanie zgodności z Artykułu 27 nie jest dostępne dla żadnej kategorii produktów.
- Projekty produktowe ETSI oraz pierwsze normy CEN są najbardziej zaawansowane. Projekty EN 304 6xx są już publicznie dostępne do czytania, a kilka norm CEN (horyzontalny słownik EN 40000, części dotyczące zasad i obsługi podatności, plus normy dla elementów bezpiecznych EN 50764/50765/50766 oraz prEN 18330) zamknęło ankietę publiczną i jest na etapie zatwierdzania.
- Reszta jest na wcześniejszym etapie: profile OT EN 50770, część EN 40000 z ogólnymi wymaganiami bezpieczeństwa, EN 50767 oraz nienumerowane prace CEN/TC 224 nad tożsamością i krytycznym sprzętem są wciąż przed ankietą.
- Nie musisz czekać. Przeczytaj odpowiedni projekt, aby wyprzedzić wymagania i zbudować dowody z Załącznika I, których CRA wymaga niezależnie od tego, która norma ma zastosowanie.
Czym jest norma zharmonizowana
Akt o cyberodporności określa swoje zasadnicze wymagania w zakresie cyberbezpieczeństwa w szerokich kategoriach prawnych. Norma zharmonizowana to specyfikacja techniczna, opracowana przez europejską organizację normalizacyjną na wniosek Komisji Europejskiej, która przekłada te wymagania na konkretne, sprawdzalne postanowienia. Niektóre normy są specyficzne dla danego typu produktu (na przykład routery albo oprogramowanie antywirusowe); inne są horyzontalne i mają zastosowanie do wielu kategorii.
Norma zharmonizowana nabiera mocy prawnej dopiero wtedy, gdy Komisja opublikuje odniesienie do niej w Dzienniku Urzędowym Unii Europejskiej (Dz.U. UE). Od tego momentu produkt zgodny z normą jest objęty domniemaniem spełnienia wymagań, które ta norma obejmuje. W praktyce daje to dwie rzeczy:
- daje producentom uznany, audytowalny sposób wykazania zgodności; oraz
- dla produktów ważnych w Klasie I zastosowanie opublikowanej normy zharmonizowanej pozwala producentowi przeprowadzić samoocenę w trybie wewnętrznej kontroli zamiast angażować jednostkę notyfikowaną. Nie usuwa to oceny przez stronę trzecią, której potrzebują produkty Klasy II i krytyczne, a zwykłe produkty spoza tych kategorii mogą już teraz przeprowadzić samoocenę samodzielnie.
Status na 4 czerwca 2026 r.: żadna norma zharmonizowana CRA nie została jeszcze zatwierdzona ani jej odniesienie nie zostało opublikowane w Dzienniku Urzędowym. Każda norma w poniższych tabelach to wciąż projekt, więc domniemanie zgodności nie jest dostępne dla żadnej kategorii produktów. Zatwierdzenie (ratyfikacja jako EN) oraz osobne odniesienie w Dzienniku Urzędowym to dwa późniejsze kamienie milowe, a nic nie osiągnęło żadnego z nich; pierwsze normy mają zostać dostarczone w drugiej połowie 2026 r., a odniesienie ma nastąpić później. Korzystaj z projektów, aby wyprzedzić wymagania, nie jako z gotowej podstawy zgodności.
Jak opracowywane są normy
Komisja zwróciła się do dwóch europejskich organizacji normalizacyjnych o opracowanie tych norm w drodze wniosku o normalizację M/606:
- ETSI (Komitet Techniczny CYBER, CYBER-EUSR) opracowuje normy dla większości ważnych kategorii oprogramowania i produktów połączonych. Noszą one odniesienia EN 304 6xx i są najbardziej zaawansowane; ich projekty są publiczne w folderze otwartych konsultacji ETSI CYBER-EUSR, z historią prac w repozytoriach ETSI Labs STAN4CRA, i są linkowane pojedynczo poniżej.
- CEN i CENELEC opracowują normy horyzontalne (seria EN 40000), profile technologii operacyjnej (seria EN 50770), normy dla półprzewodników (EN 5076x) oraz prace nad tożsamością i elementami bezpiecznymi w CEN/TC 224. Nie mają one jednego publicznego folderu; status śledzony jest poprzez macierz projektów normalizacyjnych DIN/DKE dotyczących CRA, wyszukiwarkę norm CEN/CENELEC oraz prace techniczne STAN4CRA.
Projekt przechodzi przez wersje grupy roboczej i publiczną ankietę CEN (w przypadku ETSI: otwarte konsultacje i głosowanie zatwierdzające), a następnie ratyfikację jako EN. CEN-CENELEC może pominąć osobne formalne głosowanie i opublikować normę bezpośrednio po pozytywnej ankiecie. Ratyfikacja wciąż nie jest metą: Komisja musi następnie przywołać odniesienie w Dzienniku Urzędowym, i dopiero to odniesienie uruchamia domniemanie zgodności. W czerwcu 2026 r. kilka projektów CEN zamknęło ankietę publiczną (słownik EN 40000, części dotyczące zasad i obsługi podatności oraz normy dla elementów bezpiecznych), a EN 304 627 ETSI jest na etapie projektu finalnego; żadna z nich nie jest ratyfikowana ani przywołana. Pierwsze normy mają zostać dostarczone w drugiej połowie 2026 r., a odniesienie w Dzienniku Urzędowym ma nastąpić w terminie, którego Komisja jeszcze nie potwierdziła.
Jak czytać status
| Status | Znaczenie |
|---|---|
| W opracowaniu | Prace nad pozycją trwają; w naszych źródłach nie potwierdzono publicznego projektu. |
| Projekt dojrzały | Dostępny jest publiczny dojrzały projekt (link w tabeli). |
| Projekt finalny | Dostępny jest projekt finalny, bliski formalnego głosowania. |
| Ankieta zamknięta | Projekt przeszedł publiczną ankietę CEN (rundę komentarzy i głosowania) i jest finalizowany do zatwierdzenia. Tekst nie jest darmowy: kopię projektu można zwykle kupić w krajowej jednostce normalizacyjnej, takiej jak DIN, ale nie ma darmowego publicznego pliku PDF, dlatego te wiersze pokazują "n/a" w kolumnie projektu. |
| Zatwierdzona (ratyfikowana jako EN) | Przyjęta jako EN przez CEN-CENELEC lub ETSI, ale jeszcze nieprzywołana w Dzienniku Urzędowym, więc na razie brak domniemania zgodności. |
| Opublikowana w Dz.U. UE | Odniesienie w Dzienniku Urzędowym; obowiązuje domniemanie zgodności. |
Poniższe tabele są pogrupowane według kategorii zgodności CRA. Normy horyzontalne mają zastosowanie do każdego produktu; normy produktowe są podzielone na produkty ważne klasy I, produkty ważne klasy II i produkty krytyczne, ponieważ kategoria decyduje o ścieżce zgodności. Odniesienie normy pokazuje, kto ją opracowuje: EN 304 6xx = ETSI; EN 40000 = CEN-CLC/JTC 13; EN 50770 = profile technologii operacyjnej CLC/TC 65X, które działają równolegle do norm ETSI dla tych samych funkcji; EN 5076x = CLC/TC 47X; EN 18330 = CEN/TC 224.
Żadna norma nie osiągnęła statusu "Zatwierdzona (ratyfikowana jako EN)" ani "Opublikowana w Dz.U. UE". Status odzwierciedla najnowsze publiczne dowody na dzień podany u góry tej strony.
Normy horyzontalne
Seria EN 40000, opracowywana przez CEN-CLC/JTC 13, ma zastosowanie do każdego produktu z elementami cyfrowymi, na dodatek do każdej normy produktowej z sekcji poniżej.
| M/606 | Norma | Temat | Status |
|---|---|---|---|
| n/a | EN 40000-1-1 | Słownictwo i terminologia | Ankieta zamknięta |
| 1 | EN 40000-1-2 | Zasady cyberodporności | Ankieta zamknięta |
| 2-14 | EN 40000-1-4 | Ogólne wymagania bezpieczeństwa | W opracowaniu |
| 15 | EN 40000-1-3 | Obsługa podatności | Ankieta zamknięta |
Produkty ważne: Klasa I
Obejmują one kategorie z Załącznika III Klasy I. Zastosowanie opublikowanej normy zharmonizowanej pozwala producentowi z Klasy I przeprowadzić samoocenę w trybie wewnętrznej kontroli; bez niej zgodność trzeba wykazać w inny sposób.
| M/606 | Norma | Kategoria produktów | Status | Najnowszy publiczny projekt |
|---|---|---|---|---|
| 16 | Odniesienie jeszcze nieprzypisane | Zarządzanie tożsamością, zarządzanie dostępem uprzywilejowanym, czytniki uwierzytelniające | W opracowaniu | n/a |
| 17a/b | EN 304 617 | Przeglądarki wbudowane i samodzielne | Projekt dojrzały | V0.1.1 · Apr 2026 |
| 18 | EN 304 618 | Menedżery haseł | W opracowaniu | Jeszcze niepubliczny |
| 19 | EN 304 619 | Antywirus / antymalware | Projekt dojrzały | V0.0.26 · Apr 2026 |
| 20a | EN 304 620 | Wirtualne sieci prywatne (VPN) | Projekt dojrzały | V0.1.9 · Apr 2026 |
| 20b | prEN 50770-4 | VPN w technologii operacyjnej | W opracowaniu | n/a |
| 21a | EN 304 621 | Systemy zarządzania siecią | Projekt dojrzały | V0.1.3 · Apr 2026 |
| 21b | prEN 50770-2 | Systemy zarządzania siecią w technologii operacyjnej | W opracowaniu | n/a |
| 22a | EN 304 622 | SIEM | W opracowaniu | Jeszcze niepubliczny |
| 22b | prEN 50770-6 | SIEM w technologii operacyjnej | W opracowaniu | n/a |
| 23 | EN 304 623 | Menedżery rozruchu | Projekt dojrzały | V0.1.1 · May 2026 |
| 24 | EN 304 624 | Oprogramowanie PKI / wydawania certyfikatów | W opracowaniu | Jeszcze niepubliczny |
| 25a | EN 304 625 | Fizyczne i wirtualne interfejsy sieciowe | Projekt dojrzały | V0.0.14 · Apr 2026 |
| 25b | prEN 50770-3 | Fizyczne i wirtualne interfejsy sieciowe w technologii operacyjnej | W opracowaniu | n/a |
| 26 | EN 304 626 | Systemy operacyjne | Projekt dojrzały | V0.2.0 · Apr 2026 |
| 27a | EN 304 627 | Routery, modemy, przełączniki | Projekt finalny | V1.0.0 · Jun 2026 |
| 27b | prEN 50770-5 | Routery, modemy, przełączniki w technologii operacyjnej | W opracowaniu | n/a |
| 28-29 | EN 50765 | Mikroprocesory i mikrokontrolery z funkcjami bezpieczeństwa | Ankieta zamknięta | n/a |
| 30 | EN 50767 | Układy ASIC i FPGA z funkcjami bezpieczeństwa | W opracowaniu | n/a |
| 31 | EN 304 631 | Wirtualni asystenci inteligentnego domu | Projekt dojrzały | V0.2.1.4 · Apr 2026 |
| 32 | EN 304 632 | Produkty inteligentnego domu z funkcjami bezpieczeństwa (np. kamery monitorujące) | Projekt dojrzały | V0.2.1.4 · Apr 2026 |
| 33 | EN 304 633 | Zabawki połączone z internetem | Projekt dojrzały | V0.2.3.3 · Apr 2026 |
| 34 | EN 304 634 | Osobiste urządzenia ubieralne | Projekt dojrzały | V0.2.6 · Apr 2026 |
Produkty ważne: Klasa II
Produkty Klasy II zawsze potrzebują oceny przez stronę trzecią (jednostkę notyfikowaną); norma zharmonizowana nie odblokowuje dla nich samooceny.
| M/606 | Norma | Kategoria produktów | Status | Najnowszy publiczny projekt |
|---|---|---|---|---|
| 35 | EN 304 635 | Hipernadzorcy i systemy uruchomieniowe kontenerów | Projekt dojrzały | V0.0.15 · Apr 2026 |
| 36a | EN 304 636 | Zapory sieciowe / IDS / IPS | Projekt dojrzały | V0.1.0 · Apr 2026 |
| 36b | prEN 50770-1 | Zapory sieciowe / IDS / IPS w technologii operacyjnej | W opracowaniu | n/a |
| 37-38 | EN 50766 | Mikroprocesory i mikrokontrolery odporne na manipulacje | Ankieta zamknięta | n/a |
Produkty krytyczne
Produkty krytyczne (Załącznik IV) muszą stosować europejski program certyfikacji cyberbezpieczeństwa tam, gdzie jest on wymagany, albo w przeciwnym razie te same ścieżki oceny przez stronę trzecią co Klasa II. Norma zharmonizowana nie usuwa tego wymogu.
| M/606 | Norma | Kategoria produktów | Status |
|---|---|---|---|
| 39 | Odniesienie jeszcze nieprzypisane | Urządzenia sprzętowe ze skrzynkami zabezpieczającymi | W opracowaniu |
| 40 | Odniesienie jeszcze nieprzypisane | Bramy inteligentnych liczników (CEN-CLC/JTC 13 WG 6) | W opracowaniu |
| 41a | EN 50764 | Platformy kart inteligentnych i elementów bezpiecznych | Ankieta zamknięta |
| 41b | EN 18330 / prEN 18330 | Karty inteligentne i elementy bezpieczne, warstwa aplikacji | Ankieta zamknięta |
Najczęściej zadawane pytania
Czy jakiekolwiek normy zharmonizowane CRA już obowiązują?
Nie. Na 4 czerwca 2026 r. żadna norma zharmonizowana CRA nie została zatwierdzona (ratyfikowana jako EN) ani jej odniesienie nie zostało opublikowane w Dzienniku Urzędowym, więc domniemanie zgodności z Artykułu 27 nie jest dostępne dla żadnej kategorii produktów. Każda wymieniona tu norma to wciąż projekt. Horyzontalne projekty EN 40000 (ankieta publiczna zamknięta) oraz projekty EN 304 6xx ETSI są najbardziej zaawansowane, ale zatwierdzenie i osobne odniesienie w Dzienniku Urzędowym to późniejsze kroki. Pierwsze normy mają zostać dostarczone w drugiej połowie 2026 r., a odniesienie ma nastąpić w terminie, którego Komisja jeszcze nie potwierdziła.
Czy muszę czekać na normę zharmonizowaną, aby spełnić wymagania CRA?
Nie. Norma zharmonizowana to jedna ze ścieżek wykazania zgodności, nie jedyna. Obowiązki CRA mają zastosowanie zgodnie z własnym harmonogramem rozporządzenia niezależnie od tego, czy norma istnieje. Zasadnicze wymagania z Załącznika I można spełnić bezpośrednio i opisać w swojej dokumentacji technicznej, jak to zrobiono. Opublikowana norma daje po prostu uznany, audytowalny sposób wykazania zgodności z wymaganiami, które obejmuje, a dla produktów ważnych Klasy I otwiera ścieżkę samooceny w trybie wewnętrznej kontroli.
Co właściwie daje mi "domniemanie zgodności"?
Na podstawie Artykułu 27 produkt zgodny z normą zharmonizowaną, której odniesienie opublikowano w Dzienniku Urzędowym, jest objęty domniemaniem spełnienia tych wymagań z Załącznika I, które ta norma obejmuje. W praktyce daje to obronną, uznaną podstawę deklaracji zgodności, a dla produktów ważnych Klasy I pozwala przeprowadzić samoocenę w trybie wewnętrznej kontroli zamiast angażować jednostkę notyfikowaną. Nie zmienia to oceny przez stronę trzecią, której produkty Klasy II i krytyczne wymagają na podstawie Artykułu 32.
Gdzie mogę przeczytać projekty norm?
To zależy od tego, kto je opracowuje. Projekty ETSI EN 304 6xx są publikowane bezpłatnie w folderze otwartych konsultacji ETSI CYBER-EUSR, linkowane przy każdej normie w powyższych tabelach. Projekty CEN/CENELEC (EN 40000, EN 50770, EN 5076x oraz prace CEN/TC 224) są inne: nie ma darmowego publicznego folderu. Widać, że projekt istnieje, i można kupić kopię w krajowej jednostce normalizacyjnej (DIN, NEN, AFNOR, BSI i tak dalej), ale tekst nie jest publikowany bezpłatnie, a gdy ankieta publiczna projektu się zamknie, kończy się nawet darmowy dostęp do komentowania. Dlatego te wiersze pokazują "n/a" w kolumnie najnowszego publicznego projektu.
Czy mogę polegać na dojrzałym lub finalnym projekcie, zanim zostanie opublikowany?
Użyj go, aby wyprzedzić wymagania, nie jako gotowej podstawy prawnej. Dojrzały lub finalny projekt jest zwykle bliski ostatecznego brzmienia, ale wciąż może się zmienić podczas formalnego głosowania lub w ocenie Komisji, a domniemanie zgodności nie obowiązuje, dopóki odniesienie nie pojawi się w Dzienniku Urzędowym. Przeczytanie go teraz to i tak najszybszy sposób na przygotowanie się.
Jaka jest różnica między normami EN 304 6xx a EN 40000?
Normy EN 304 6xx, opracowywane przez ETSI, są produktowe: każda dotyczy jednej kategorii, takiej jak przeglądarki, systemy operacyjne albo routery. Seria EN 40000, opracowywana przez CEN-CLC/JTC 13, jest horyzontalna: określa zasady, ogólne wymagania bezpieczeństwa i reguły obsługi podatności, które mają zastosowanie do wielu kategorii. Pojedynczy produkt może potrzebować przeczytania zarówno normy horyzontalnej, jak i tej dla swojej kategorii.
Czy któreś z tych norm obejmują produkty krytyczne, nie tylko ważne?
Tak. Większość śledzonych norm obejmuje produkty ważne, ale kilka obejmuje krytyczne: norma platform elementów bezpiecznych (EN 50764) oraz prace nad urządzeniami sprzętowymi ze skrzynkami zabezpieczającymi, bramami inteligentnych liczników i kartami inteligentnymi. Produkty krytyczne muszą stosować europejski program certyfikacji cyberbezpieczeństwa tam, gdzie jest on wymagany, albo w przeciwnym razie te same ścieżki oceny przez stronę trzecią co produkty Klasy II. Sekcja produktów krytycznych wskazuje je osobno. Norma zharmonizowana nie pozwala produktowi krytycznemu pominąć tej oceny w taki sposób, w jaki może to zrobić produkt ważny Klasy I.
Kiedy normy zostaną opublikowane w Dzienniku Urzędowym?
Nie ma potwierdzonej daty publikacji dla żadnej normy zharmonizowanej CRA. Projekty ETSI EN 304 6xx są najbliżej, kilka na etapie dojrzałego lub finalnego projektu, ale każdy wciąż musi przejść formalne głosowanie i ocenę Komisji, zanim odniesienie będzie mogło zostać przywołane. Traktuj kolumnę statusu tutaj jako stan bieżący i sprawdzaj trackery jednostek normalizacyjnych linkowane powyżej pod kątem zmian.