Zakres CRA: czy backend Twojej aplikacji to zdalne przetwarzanie danych?

Opublikowano 18 czerwca 2026

Aplikacja na telefonie rozmawia z serwerem, który zbudowałeś. W rozumieniu aktu o cyberodporności ten serwer nie jest osobnym bytem, który można zignorować. Jest częścią produktu. Sztandarowym przykładem zdalnego przetwarzania danych w samym rozporządzeniu jest aplikacja mobilna sięgająca po API lub bazę danych dostarczaną w formie usługi przez producenta. Backend stojący za aplikacją nie jest więc sąsiadem produktu. Jest w jego wnętrzu.

Ta strona podaje test, a następnie porządkuje każdy backend, z którym rozmawia typowa aplikacja, w trzy kategorie: rozwiązanie zdalnego przetwarzania danych, komponent oraz pozostające poza zakresem. Test podsumowaliśmy w omówieniu wytycznych Komisji z marca 2026 r.. To jest wersja przepracowana krok po kroku dla każdego, kto dostarcza aplikację mobilną, API lub backend chmurowy.

Podsumowanie

  • Zdalne przetwarzanie danych jest częścią produktu. CRA traktuje produkt podłączony jako urządzenie lub aplikację plus zbudowany przez Ciebie backend, którego ono potrzebuje, aby działać. Rozwiązanie zdalnego przetwarzania danych skraca się do RDPS i ta strona używa tego skrótu.
  • Jeden test, trzy warunki naraz. Backend jest zdalnym przetwarzaniem danych, gdy działa na odległość, produkt potrzebuje go do wykonywania funkcji, a Ty go zbudowałeś lub został zbudowany na Twoją odpowiedzialność. Brak choćby jednego z tych trzech warunków oznacza, że nim nie jest.
  • Wzorcowy przykład to aplikacja i jej API. Sztandarowy przypadek w samym rozporządzeniu to aplikacja mobilna sięgająca po API lub bazę danych prowadzoną przez zbudowaną przez Ciebie usługę.
  • Trzy kategorie i nic poza nimi. Każdy backend, z którym łączy się aplikacja, jest albo rozwiązaniem zdalnego przetwarzania danych, albo komponentem, albo pozostaje poza zakresem.
  • Gotowy SaaS to nie RDPS, ale wciąż jest Twoim zmartwieniem. Usługa, którą jedynie licencjonujesz, jest komponentem. Nadal oceniasz ryzyko integracji i prowadzisz wobec niej należytą staranność wobec dostawcy.
  • Sieć 5G jest całkowicie poza zakresem. Sieć komórkowa to środek zapewniający łączność, jak router czy sygnał Wi-Fi. Wobec operatora nie masz żadnych obowiązków należytej staranności.
  • Twój CI/CD i CRM są poza zakresem. CRA nie reguluje całości sieci firmowej. Wewnętrzne potoki, lista płac i infrastruktura red team pozostają na zewnątrz.
3
Warunki do sprawdzenia
Na odległość, potrzebne do funkcji, zbudowane przez lub dla Ciebie
2
Pytania rozstrzygające
Potrzebne do funkcji oraz zbudowane przez lub dla Ciebie
3
Kategorie do sortowania
Zdalne przetwarzanie danych, komponent, poza zakresem
1
Sztandarowy przykład
Aplikacja sięgająca po zbudowane przez Ciebie API lub bazę danych

Zdalne przetwarzanie danych w czterech liczbach: warunki, które sprawdzasz, dwa pytania, które rozstrzygają, kategorie, w jakich może wylądować zależność, oraz przykład, od którego prowadzi rozporządzenie.

Co właściwie oznacza zdalne przetwarzanie danych

Rozporządzenie sprowadza to do jednej idei, a trzy warunki muszą zachodzić jednocześnie. Dane muszą być przetwarzane gdzieś poza własnym urządzeniem użytkownika. Produkt musi potrzebować tego przetwarzania do wykonania jednego ze swoich zadań. A Ty musisz zbudować usługę lub zlecić jej zbudowanie na swoją odpowiedzialność. Spełnij wszystkie trzy, a masz rozwiązanie zdalnego przetwarzania danych. Pomiń jeden, a nie masz.

Rozłóż te trzy warunki osobno, bo każdy z nich potyka inny zespół.

  1. Przetwarzane na odległość. Przetwarzanie odbywa się poza urządzeniem lub środowiskiem użytkownika. Może siedzieć na brzegu sieci, na łączu przewodowym lub bezprzewodowym. Aplikacja mobilna sięgająca po funkcję chmurową jest częścią przetwarzania, które zachodzi w chmurze.
  2. Potrzebne do funkcji. Bez tej usługi produkt nie wykona jednego ze swoich zadań. Rozporządzenie używa słowa funkcje, nie kluczowe cechy, i to ma znaczenie. Kolejna sekcja rozkłada, jak szerokie to jest pojęcie.
  3. Zbudowane przez lub dla Ciebie. Zaprojektowałeś i opracowałeś usługę albo dostawca zbudował ją na Twoją odpowiedzialność. Wynajem miejsca, na którym usługa działa, nie zmienia odpowiedzi.

Dwie kwestie zaskakują zespoły, zanim w ogóle zaczną sortowanie:

  • To Twoje oprogramowanie, nie sprzęt, na którym działa. Rozwiązaniem zdalnego przetwarzania danych jest kod, który zbudowałeś i uruchamiasz na odległość. Hipernadzorca lub środowisko uruchomieniowe dostawcy pod spodem to komponent, a fizyczny sprzęt, na którym to wszystko stoi, to środowisko produktu. Żadne z nich nie jest Twoim rozwiązaniem zdalnego przetwarzania danych, a ryzyko z obu oceniasz.
  • Nie musi to być chmura publiczna. Rozwiązanie zdalnego przetwarzania danych może działać na Twoich własnych serwerach lokalnych lub w chmurze prywatnej we własnej siedzibie. Testem jest projekt, opracowanie i konieczność, a nie miejsce, w którym fizycznie stoi maszyna.

Trzy pytania

Przepuść każdy backend, od którego zależy aplikacja, przez trzy pytania w kolejności. Każda ścieżka prowadzi do jednej z trzech kategorii.

Schemat decyzyjny dla testu zdalnego przetwarzania danych. Backend, którego używasz, przechodzi przez trzy pytania. Pierwsze pytanie brzmi, czy dane są przetwarzane na odległość. Nie prowadzi do poza zakresem, bo nic nie opuszcza urządzenia. Tak prowadzi do drugiego pytania, czy usługa jest potrzebna do funkcji. Nie prowadzi do poza zakresem, sprawdź ryzyko komunikacji. Tak prowadzi do trzeciego pytania, czy usługa jest zbudowana przez lub dla Ciebie. Nie to komponent, prowadź należytą staranność. Tak to rozwiązanie zdalnego przetwarzania danych.
Test trzech pytań. Oba pytania rozstrzygające muszą dać tak, aby zależność była rozwiązaniem zdalnego przetwarzania danych.

Pierwsze pytanie odfiltrowuje wszystko, co nigdy nie opuszcza urządzenia. Kolejne dwa to para rozstrzygająca i oba muszą dać tak. Trzy rzeczy warto ustalić, zanim zaczniesz:

  • Funkcje to więcej niż kluczowe cechy. Pojęcie obejmuje wszystko, co wspiera działanie produktu, nie tylko sztandarową cechę. Wysyłanie poleceń do urządzenia, synchronizacja plików, onboarding użytkownika, konfiguracja i personalizacja, otrzymywanie aktualizacji wraz z poprawkami bezpieczeństwa oraz logowanie użytkowników, wszystko to liczy się jako funkcje. Jeżeli backend jest potrzebny do choćby jednej z nich, odpowiedź na drugie pytanie brzmi tak.
  • Ręczny wariant zapasowy nie zwalnia Cię z obowiązku. Żarówka, którą można włączyć przez aplikację albo fizycznym przełącznikiem, nadal jest rozwiązaniem zdalnego przetwarzania danych dla ścieżki zdalnej. Opcja ręczna nie wyłącza funkcji z zakresu.
  • Zbudowane przez lub dla Ciebie to nie kto to prowadzi. Możesz przekazać prowadzenie usługi osobie trzeciej i pozostać odpowiedzialny. Na Twoją odpowiedzialność oznacza wykonane na zamówienie, zbudowane na Twoje zlecenie według Twojej specyfikacji oraz posiadane na własność, a nie licencjonowane. Licencjonowanie istniejącego produktu lub jego lekko zmodyfikowanej wersji nie jest zbudowaniem przez lub dla Ciebie.
Co liczy się jako funkcja. Potrzebujesz backendu do choćby jednej z nich i drugie pytanie daje tak. Sześć rodzajów funkcji: wysyłanie poleceń do urządzenia, synchronizacja plików, onboarding użytkownika, konfiguracja i personalizacja, otrzymywanie aktualizacji wraz z poprawkami bezpieczeństwa oraz logowanie użytkowników. Ręczny wariant zapasowy nie wyłącza funkcji z zakresu.
Sześć rodzajów funkcji, które dają tak na drugie pytanie. Potrzebujesz backendu do choćby jednej z nich i jest on potrzebny do funkcji.

Przypadek wzorcowy: Twoja aplikacja, Twoje API, Twoja baza danych

Zacznij od przypadku, którego rozporządzenie używa jako własnego przykładu. Aplikacja mobilna potrzebuje API lub bazy danych, a to API lub baza danych działa w zbudowanej przez Ciebie usłudze. W takim przypadku usługa jest rozwiązaniem zdalnego przetwarzania danych, kropka. To obraz, na którym buduje reszta strony.

Wzorcowy przypadek zdalnego przetwarzania danych. Telefon oznaczony jako klient mobilny wysyła żądanie do Twojej bramy API i otrzymuje odpowiedź. Wewnątrz obszaru oznaczonego rozwiązanie zdalnego przetwarzania danych, w produkcie, brama API wywołuje Twoją usługę synchronizacji, która czyta i zapisuje Twoją bazę danych. Pod spodem pasek oznaczony Twój IaaS, wynajęta infrastruktura, jest oznaczony jako komponent, a rozwiązanie na nim działa.
Dosłowny przykład z rozporządzenia. Zbudowane przez Ciebie API i baza danych są rozwiązaniem zdalnego przetwarzania danych. Platforma chmurowa pod spodem jest komponentem.

Przeprowadź aplikację do notatek przez trzy pytania. Aplikacja synchronizuje pliki przez Twoje REST API i Twoją bazę danych. Przetwarzane na odległość, tak. Potrzebne do funkcji, tak, bo synchronizacja plików jest funkcją. Zbudowane przez lub dla Ciebie, tak, bo zaprojektowałeś API i schemat bazy danych. Trzy razy tak. Twoje API i Twoja baza danych są rozwiązaniem zdalnego przetwarzania danych. Mieszczą się w zakresie oceny zgodności produktu.

Platforma chmurowa pod spodem to inne pytanie. Jeżeli wynajmujesz infrastrukturę i wdrażasz na niej własny kod, wynajmowana platforma nie jest rozwiązaniem zdalnego przetwarzania danych. Twój kod nim jest. IaaS pod spodem to komponent. Dokumentujesz tę zależność, oceniasz ryzyko integracji i możesz poprosić dostawcę o dowody dotyczące bezpieczeństwa.

Trzy kategorie w skrócie

Diagram sortujący. Aplikacja stoi na górze i rozgałęzia się w dół na trzy kolumny. Kolumna rozwiązanie zdalnego przetwarzania danych wymienia Twój backend synchronizacji, Twoją usługę tokenów i Twoją chmurę smart home. Kolumna komponent wymienia gotowy magazyn SaaS, licencjonowanego dostawcę tożsamości i zewnętrzny czat wsparcia. Kolumna poza zakresem wymienia sieć 5G, Twój CI/CD i CRM oraz telemetrię wyłącznie statystyczną.
Ta sama aplikacja, każda zależność posortowana. To kategoria ustala obowiązek, a nie nazwa dostawcy.

Każda zależność trafia dokładnie do jednej kategorii. Oba pytania rozstrzygające na tak to rozwiązanie zdalnego przetwarzania danych. Potrzebne do funkcji, ale nie na Twoją odpowiedzialność, to komponent. Niepotrzebne do funkcji to poza zakresem, a Ty sprawdzasz ryzyko, które mimo to wnosi.

Kategoria Kiedy ma zastosowanie Znaczenie Co musisz zrobić
Rozwiązanie zdalnego przetwarzania danych na odległość, potrzebne do funkcji oraz zbudowane przez lub dla Ciebie Część samego produktu Spełnij zasadnicze wymagania z Załącznika I. Włącz je do oceny ryzyka produktu. Ujmij je w deklaracji zgodności UE i dokumentacji technicznej. Obsługuj i zgłaszaj podatności przez cały okres wsparcia
Komponent na odległość i potrzebne do funkcji, ale nie zbudowane przez lub dla Ciebie Element osoby trzeciej, na którym opiera się produkt Oceń ryzyko integracji. Ogranicz je na poziomie produktu, przez uwierzytelnianie, kontrolę integralności, izolację i weryfikację odpowiedzi. Prowadź należytą staranność wobec dostawcy i zapisz gwarancje bezpieczeństwa w SLA. Wykorzystaj ponownie dowody, które dostawca już posiada, takie jak oznakowanie CE, certyfikat ISO/IEC 27001 lub 27017, europejski certyfikat cyberbezpieczeństwa, dowody obowiązków dostawcy z NIS2 lub jego obowiązków z DORA, gdy mają zastosowanie
Poza zakresem niepotrzebne do funkcji lub czysta łączność Ani rozwiązanie zdalnego przetwarzania danych, ani komponent Brak obowiązku zgodności i obowiązku komponentowego. Nadal oceniasz każde ryzyko, które wnosi komunikacja. Czysta łączność, jak sieć komórkowa, Wi-Fi czy router, to jedyny przypadek, w którym wobec dostawcy nie masz żadnych obowiązków

Nasze zdanie: W praktyce test rzadko upada na pierwszych dwóch pytaniach. Niemal wszystko, z czym rozmawia aplikacja, działa na odległość i jest do czegoś potrzebne. Odpowiedź rozstrzyga trzecie pytanie, własność, i to tam widzimy, jak zespoły się potykają. Jeżeli usługa została zbudowana dla Ciebie i masz ją na własność, traktuj ją jako objętą zakresem i idź dalej. Kosztowny błąd, który wciąż widzimy, to wpisywanie szytego na miarę backendu pod komponent, bo akurat prowadzi go zewnętrzny dostawca.

Przykłady praktyczne

Projekt wytycznych przeprowadza rozumowanie przez zestaw fikcyjnych, archetypowych produktów, a galeria poniżej to odwzorowuje. Tam, gdzie nazywa rzeczywistą kategorię technologii, klasyfikuje typowy wzorzec. Odpowiedź zależy od tego, jak korzystasz z danej rzeczy, zbudowane samodzielnie kontra licencjonowane gotowe, nigdy zaś nie jest prawnym werdyktem o konkretnym dostawcy.

A. Twój własny backend synchronizacji

Produkt: aplikacja do notatek lub produktywności. Aplikacja łączy się z Twoim REST API i Twoją bazą danych na wynajętej infrastrukturze. Przetwarzane na odległość, tak. Potrzebne do funkcji, tak, synchronizacja plików. Zbudowane przez lub dla Ciebie, tak. To rozwiązanie zdalnego przetwarzania danych. Wynajęta infrastruktura pod spodem jest komponentem. To przypadek wzorcowy z sekcji powyżej.

B. Aplikacja towarzysząca smart home

Przypadek smart home. Aplikacja towarzysząca i termostat z ręcznym przełącznikiem wysyłają dane do Twojego backendu chmurowego, oznaczonego jako rozwiązanie zdalnego przetwarzania danych. Wewnątrz backendu brama urządzeń odbiera wiadomości, usługa poleceń odsyła ustaw temperaturę do termostatu, a magazyn preferencji przechowuje preferencje użytkownika. Backend chmurowy działa na zewnętrznym IaaS, oznaczonym jako komponent.
Termostat, który można też przekręcić ręcznie. Ręczny przełącznik nie usuwa ścieżki zdalnej z zakresu.

Produkt: termostat lub żarówka i jej aplikacja towarzysząca. Aplikacja rozmawia z Twoim backendem chmurowym, który zbudowałeś i uruchamiasz na infrastrukturze osoby trzeciej. Urządzenie działa też dzięki ręcznemu przełącznikowi. Przetwarzane na odległość, tak. Potrzebne do funkcji, tak, wysyłanie poleceń do urządzenia, a ręczny wariant zapasowy tego nie zmienia. Zbudowane przez lub dla Ciebie, tak. To rozwiązanie zdalnego przetwarzania danych. Infrastruktura pod spodem jest komponentem. Rozporządzenie potwierdza, że sterowanie chmurowe producenta smart home mieści się w zakresie.

C. Aplikacja bankowa, przypadek wszystkich trzech kategorii

Przypadek bankowy pokazujący wszystkie trzy kategorie. Aplikacja bankowa wysyła żądanie do Twojej warstwy API, rozwiązania zdalnego przetwarzania danych, które uwierzytelnia i kieruje ruch. Warstwa API odpytuje tożsamość z systemu zarządzania kontami i przesyła transakcję do systemu księgi, oba oznaczone jako poza zakresem, zewnętrzna zależność, której aplikacja nigdy nie dotyka bezpośrednio, a księga zwraca status transakcji. Zewnętrzny czat wsparcia obsługujący sesję czatu jest komponentem, odizolowanym od rdzenia bankowego. Twój kod powiadomień push, wysyłający powiadomienia o transakcjach, jest rozwiązaniem zdalnego przetwarzania danych działającym na zewnętrznym PaaS, który jest komponentem.
Jeden produkt, każda kategoria. Werdykt wynika z tego, co robi każdy element i kto go zbudował, a nie z tego, gdzie działa.

Produkt: aplikacja bankowa. Jedna aplikacja, cztery zależności, trzy kategorie.

  • Twoja warstwa API hostowana we własnym zakresie to rozwiązanie zdalnego przetwarzania danych. Zbudowałeś ją, aplikacja jej potrzebuje, działa na odległość.
  • Systemy konta i księgi, których aplikacja nigdy nie dotyka bezpośrednio, są poza zakresem, jako zewnętrzna zależność. Nadal podlegają ocenie ryzyka. Stosujesz silne uwierzytelnianie interfejsów backendowych, ochronę integralności i weryfikację odpowiedzi.
  • Zewnętrzny SaaS czatu wsparcia to komponent. Izolujesz go od rdzenia przepływu bankowego, weryfikujesz treść, którą zwraca, i prowadzisz należytą staranność.
  • Twój kod powiadomień push na zewnętrznym PaaS to rozwiązanie zdalnego przetwarzania danych. Sama platforma PaaS to komponent. Twój kod to oprogramowanie, które zaprojektowałeś. Platforma to wynajęta warstwa pod spodem.

D. Tożsamość i logowanie

Przypadek tożsamości. Trzy ścieżki logowania. Twoja własna usługa uwierzytelniania wydająca tokeny jest oznaczona jako rozwiązanie zdalnego przetwarzania danych. Gotowy dostawca tożsamości, którego licencjonujesz, jest oznaczony jako komponent. Usługa tożsamości szyta na miarę, zbudowana wyłącznie dla Ciebie i posiadana przez Ciebie, jest oznaczona jako rozwiązanie zdalnego przetwarzania danych. Podpis brzmi: ten sam dostawca, inna umowa, inna odpowiedź.
Ten sam dostawca, inna umowa, inna odpowiedź. Test dotyczy tego, kto zaprojektował i posiada usługę, a nie kto ją prowadzi.

Produkt: dowolna aplikacja. Logowanie użytkowników jest funkcją, więc tożsamość wchodzi do gry.

  • Twoja własna usługa uwierzytelniania wydająca tokeny to rozwiązanie zdalnego przetwarzania danych. Zbudowałeś ją, aplikacja jej potrzebuje, aby logować użytkowników.
  • Zewnętrzny dostawca tożsamości, którego jedynie licencjonujesz w wersji gotowej, to komponent, a nie rozwiązanie zdalnego przetwarzania danych. Oceniasz ryzyko integracji i prowadzisz należytą staranność.
  • Dostawca budujący usługę tożsamości szytą na miarę wyłącznie dla Ciebie, posiadaną przez Ciebie, wraca z powrotem do rozwiązania zdalnego przetwarzania danych. Ten sam dostawca, inna umowa, inna odpowiedź.

E. Gotowy magazyn SaaS

Produkt: aplikacja medialna lub czytnik e-booków przechowujący zakupione treści w generycznym magazynie SaaS osoby trzeciej. Przetwarzane na odległość, tak. Potrzebne do funkcji, tak. Zbudowane przez lub dla Ciebie, nie, bo licencjonowałeś istniejący gotowy produkt. To komponent, a nie rozwiązanie zdalnego przetwarzania danych. Zabezpieczasz uwierzytelnianie, szyfrowanie i integralność komunikacji oraz prowadzisz należytą staranność. Porównaj to z przykładem A. To samo zadanie, przechowywanie plików, trafia do innej kategorii ze względu na to, kto zbudował usługę.

F. Funkcja AI i LLM

Przypadek funkcji AI. Aplikacja z funkcją AI wysyła zapytanie i otrzymuje odpowiedź. Trzy ścieżki. Twoja własna usługa wnioskowania, którą zbudowałeś i uruchamiasz na infrastrukturze osoby trzeciej, jest oznaczona jako rozwiązanie zdalnego przetwarzania danych, a infrastruktura jest komponentem. Licencjonowane zewnętrzne API modelu jest oznaczone jako komponent. Dane wysyłane wyłącznie do trenowania modelu, niepotrzebne do funkcji, są oznaczone jako poza zakresem.
Funkcja AI dzieli się tak samo jak każdy inny backend. To, co zbudowałeś, jest rozwiązaniem zdalnego przetwarzania danych, to, co licencjonujesz, jest komponentem, a dane wyłącznie do trenowania pozostają na zewnątrz.

Produkt: aplikacja z funkcją AI.

  • Twój własny model lub usługa wnioskowania, którą zbudowałeś i uruchamiasz na infrastrukturze osoby trzeciej, to rozwiązanie zdalnego przetwarzania danych.
  • Zewnętrzne API modelu, które jedynie licencjonujesz w wersji gotowej, to komponent, a nie rozwiązanie zdalnego przetwarzania danych. Oceniasz ryzyko integracji i prowadzisz należytą staranność.
  • Dane wysyłane wyłącznie do trenowania modelu lub do statystyk, niepotrzebne do funkcji produktu, prawdopodobnie pozostają poza zakresem. Nadal oceniasz każde ryzyko, które dodaje ta komunikacja.

G. Zestaw poza zakresem

Granica poza zakresem w dwóch strefach. Pierwsza strefa, nic do dostawcy, wymienia sieć 5G, Wi-Fi użytkownika i router. Druga strefa, nie RDPS, ale wciąż sprawdzasz ryzyko komunikacji, wymienia telemetrię wyłącznie statystyczną, stronę marketingową lub centrum pomocy oraz Twoją własną sieć z CI/CD, CRM, listą płac i dystrybucją aktualizacji.
Poza zakresem ma dwie podstrefy. Wobec łączności nie masz nic do operatora. Telemetria i strony marketingowe wciąż dostają sprawdzenie ryzyka komunikacji.

Poza zakresem to nie jedna rzecz. Ma dwie podstrefy, a one niosą różną pracę.

  • Nic do dostawcy. Sieć 5G lub komórkowa, Wi-Fi użytkownika i router to środki zapewniające łączność. Nie są rozwiązaniem zdalnego przetwarzania danych ani komponentem. Wobec operatora nie masz żadnych obowiązków należytej staranności.
  • Nie rozwiązanie zdalnego przetwarzania danych, ale wciąż sprawdzasz ryzyko. Telemetria awarii lub użytkowania zbierana wyłącznie do statystyk lub przyszłego rozwoju produktu nie jest rozwiązaniem zdalnego przetwarzania danych, ale oceniasz każde ryzyko komunikacji, które dodaje. Strona marketingowa lub centrum pomocy, do których aplikacja jedynie odsyła, również nie są rozwiązaniem zdalnego przetwarzania danych.
  • Twoja własna sieć. Wewnętrzny CRM, HR, lista płac, potoki CI/CD, wewnętrzna dystrybucja aktualizacji do lokalizacji brzegowych oraz infrastruktura testów penetracyjnych lub red team nie są rozwiązaniem zdalnego przetwarzania danych. CRA nie reguluje całości sieci firmowej.

Do czego zobowiązuje Cię każda kategoria

Kategoria to nie etykieta. Ustala pracę.

Podział odpowiedzialności w chmurze dla trzech modeli. Dla IaaS oprogramowanie, które wdrażasz, jest rozwiązaniem zdalnego przetwarzania danych, hipernadzorca dostawcy jest komponentem, a sprzęt pod spodem to środowisko produktu, poza zakresem produktu i wciąż podlegające ocenie ryzyka. Dla PaaS kod Twojej aplikacji jest rozwiązaniem zdalnego przetwarzania danych, a platforma uruchomieniowa jest komponentem. Dla SaaS cała gotowa aplikacja jest komponentem.
Gdzie pada granica w IaaS, PaaS i SaaS. Warstwa, którą projektujesz i opracowujesz, jest rozwiązaniem zdalnego przetwarzania danych. Warstwa dostawcy jest komponentem.

Granica przesuwa się wraz z modelem chmury. Na wynajętej infrastrukturze oprogramowanie, które wdrażasz, może być rozwiązaniem zdalnego przetwarzania danych, hipernadzorca dostawcy pod spodem jest komponentem, a fizyczny sprzęt to środowisko produktu. Na wynajętej platformie kod Twojej aplikacji może być rozwiązaniem zdalnego przetwarzania danych, a platforma uruchomieniowa jest komponentem. Gotowa aplikacja SaaS jest komponentem, a nie rozwiązaniem zdalnego przetwarzania danych.

Rozwiązanie zdalnego przetwarzania danych. Jest wewnątrz produktu. Spełniasz zasadnicze wymagania z Załącznika I, włączasz je do oceny ryzyka produktu, ujmujesz je w deklaracji zgodności UE i dokumentacji technicznej oraz obsługujesz i zgłaszasz podatności przez cały okres wsparcia.

Komponent. To element osoby trzeciej, na którym opiera się produkt. Oceniasz ryzyko integracji i ograniczasz je na poziomie produktu, przez uwierzytelnianie, kontrolę integralności, izolację i weryfikację odpowiedzi. Prowadzisz należytą staranność wobec dostawcy i zapisujesz gwarancje bezpieczeństwa w SLA. Możesz wykorzystać ponownie dowody, które dostawca już posiada, takie jak oznakowanie CE, certyfikat ISO/IEC 27001 lub 27017, europejski certyfikat cyberbezpieczeństwa, dowody obowiązków dostawcy z NIS2 lub jego obowiązków z DORA, gdy mają zastosowanie. Zmiana własnej usługi przez zewnętrznego dostawcę nie jest istotną modyfikacją Twojego produktu.

Poza zakresem. Brak obowiązku zgodności i obowiązku komponentowego. Nadal oceniasz każde ryzyko, które wnosi komunikacja, z wyjątkiem przypadku łączności, gdzie wobec dostawcy nie masz żadnych obowiązków.

Wpisz rozwiązania zdalnego przetwarzania danych oraz korzystanie z usług osób trzecich do dokumentacji technicznej. Ocena ryzyka obejmuje rozwiązania zdalnego przetwarzania danych, korzystanie z usług osób trzecich oraz środowisko produktu.

Nie musisz przeprowadzać całego backendu przez ocenę zgodności. CRA sięga tylko po te części Twoich systemów, które przechowują lub przetwarzają dane potrzebne funkcji produktu. Oddzielenie tych części od reszty, tak jak aplikacja bankowa trzyma księgę osobno od API, zawęża to, co wpada do oceny. A jeżeli jeden backend obsługuje kilka produktów, zadeklaruj go w dokumentacji technicznej każdego z nich. Tę dokumentację możesz wykorzystać ponownie z oceny jednego produktu w kolejnej.

Częste błędy

  • Traktowanie całej chmury jako objętej zakresem. CRA nie sięga po całość sieci firmowej. Twój CI/CD, CRM, HR i lista płac są poza zakresem.
  • Zakładanie, że rozstrzyga kto to prowadzi. Prowadzenie nie jest testem. Testem są projekt, opracowanie i własność.
  • Zapominanie, że komponenty wciąż wymagają pracy. Poza zakresem oceny zgodności to nie poza obowiązkami. Komponent wymaga oceny ryzyka integracji, środków ograniczających na poziomie produktu i należytej staranności wobec dostawcy.
  • Myślenie, że telemetria wciąga Cię w zakres. Telemetria wyłącznie statystyczna nie jest rozwiązaniem zdalnego przetwarzania danych. Nadal dostaje sprawdzenie ryzyka komunikacji, ale nie jest częścią produktu.
  • Mylenie aktualizacji produktu z wewnętrzną dystrybucją aktualizacji. Produkt otrzymujący aktualizacje wraz z poprawkami bezpieczeństwa to funkcja, więc zbudowana przez Ciebie usługa dostarczania aktualizacji może być rozwiązaniem zdalnego przetwarzania danych. Wewnętrzna dystrybucja tych aktualizacji po Twoich własnych lokalizacjach brzegowych to infrastruktura wewnętrzna i jest poza zakresem.

Najczęściej zadawane pytania

Czy własne REST API mojej aplikacji mieści się w zakresie CRA?

Tak, jeżeli je zbudowałeś, a aplikacja potrzebuje go do wykonywania funkcji. Własny przykład rozporządzenia to aplikacja mobilna sięgająca po API lub bazę danych prowadzoną przez zbudowaną przez producenta usługę, co umieszcza Twoje API w zakresie oceny zgodności produktu. Platforma chmurowa, na której je uruchamiasz, to odrębne pytanie i jest traktowana jako komponent.

Jeżeli hostuję backend w zewnętrznej chmurze, czy chmura czyni z całego stosu rozwiązanie zdalnego przetwarzania danych?

Nie. Rozwiązaniem zdalnego przetwarzania danych jest oprogramowanie, które zaprojektowałeś i opracowałeś, a nie platforma pod spodem. Ta platforma należy do dostawcy, nie do Ciebie, więc wynajęta infrastruktura jest komponentem. Oceniasz ryzyko integracji i prowadzisz należytą staranność wobec dostawcy.

Czy zewnętrzny dostawca logowania to rozwiązanie zdalnego przetwarzania danych?

Zależy od tego, jak go używasz. Zewnętrzny dostawca tożsamości, którego licencjonujesz w wersji gotowej, to komponent, a nie rozwiązanie zdalnego przetwarzania danych, choć logowanie użytkowników jest funkcją. Jeżeli zaś dostawca buduje usługę tożsamości szytą na miarę wyłącznie dla Ciebie, a Ty masz ją na własność, wraca ona do rozwiązania zdalnego przetwarzania danych. Ten sam dostawca, inna umowa, inna odpowiedź.

Czy CRA obejmuje mój wewnętrzny potok CI/CD i CRM?

Nie. CRA nie reguluje całości sieci i systemów informatycznych firmy. Wewnętrzny CRM, lista płac, potoki CI/CD, wewnętrzna dystrybucja aktualizacji do lokalizacji brzegowych oraz testy penetracyjne i red team pozostają na zewnątrz. To Twoja własna sieć, a nie rozwiązanie zdalnego przetwarzania danych, od którego zależy produkt.

Czy sieć komórkowa, po której działa moja aplikacja, mieści się w zakresie?

Nie. Sieć 5G lub komórkowa to środek zapewniający łączność, jak router, kabel Ethernet czy sygnał Wi-Fi. Nie jest ani rozwiązaniem zdalnego przetwarzania danych, ani komponentem, a wobec operatora sieci nie masz żadnych obowiązków należytej staranności. To jedyny przypadek poza zakresem, który nie niesie obowiązku wobec dostawcy.

Jaka jest różnica między rozwiązaniem zdalnego przetwarzania danych a komponentem?

Oba mogą działać na odległość i oba mogą być potrzebne do funkcji. Różnica polega na tym, kto zbudował usługę. Rozwiązanie zdalnego przetwarzania danych projektujesz i opracowujesz Ty lub jest budowane na Twoją odpowiedzialność, więc mieści się w zakresie oceny zgodności produktu. Komponent to element osoby trzeciej, który licencjonujesz, więc pozostaje poza zgodnością, ale nadal wymaga oceny ryzyka integracji, środków ograniczających na poziomie produktu i należytej staranności. Zobacz Czym jest produkt z elementami cyfrowymi, aby zobaczyć, gdzie zdalne przetwarzanie danych mieści się w szerszym teście zakresu.

Od czego zacząć

  1. Wypisz każdy backend, z którym rozmawia aplikacja: Twoje API, Twoją bazę danych, logowanie, płatności, czat wsparcia, push, analitykę, AI oraz sieć, po której działa.
  2. Przepuść każdy z nich przez trzy pytania. Na odległość, potrzebne do funkcji, zbudowane przez lub dla Ciebie. Oba pytania rozstrzygające muszą dać tak, aby było to rozwiązanie zdalnego przetwarzania danych.
  3. Posortuj każdą zależność do kategorii i wpisz werdykt do dokumentacji technicznej, z zadeklarowanym korzystaniem z usług osób trzecich.
  4. Dla każdego komponentu prowadź należytą staranność wobec dostawcy i zbierz dowody do ponownego wykorzystania, które dostawca już posiada.
  5. Włącz rozwiązania zdalnego przetwarzania danych do oceny ryzyka produktu i swojego procesu zgłaszania podatności przez cały okres wsparcia.
  6. Sprawdź nakładanie się chmury i NIS2, aby nie liczyć podwójnie tego, co już mieści się w Dyrektywie (UE) 2022/2555, a następnie wróć do centrum zgodności z CRA.

Ten artykuł ma charakter wyłącznie informacyjny i nie stanowi porady prawnej. Przykłady praktyczne podążają za projektem wytycznych Komisji Europejskiej, Komunikatem Ares(2026)2319816 z 3 marca 2026 r., którego konsultacje zakończyły się 13 kwietnia 2026 r. i który nie został jeszcze formalnie przyjęty. W celu uzyskania szczegółowych wskazówek dotyczących zgodności należy skonsultować się z wykwalifikowanym doradcą prawnym.