norppa.io
Przewodniki

Przewodnik CRA · 11 min

Unijny akt o cyberodporności (CRA): czego wymaga, kiedy obowiązuje i co oznacza dla Twojego łańcucha dostaw

Akt o cyberodporności to pierwsze horyzontalne unijne prawo o cyberbezpieczeństwie produktów. Tam, gdzie NIS2 reguluje sposób, w jaki organizacje prowadzą swoje bezpieczeństwo, CRA reguluje bezpieczeństwo sprzętu i oprogramowania wprowadzanego na rynek UE (od urządzeń podłączonych do sieci po samodzielne oprogramowanie. Już obowiązuje, jego pierwsze obowiązki w zakresie zgłaszania zaczynają się we wrześniu 2026 r., a od grudnia 2027 r. produktu, który nie spełnia jego wymogów, nie będzie można legalnie sprzedawać w UE. Ten przewodnik wyjaśnia zakres, harmonogram i obowiązki) a dla zespołów, które kupują te produkty i są od nich zależne, to, czego wymagać od dostawców i jak to udokumentować.

Najważniejsze punkty

  • CRA reguluje produkty z elementami cyfrowymi (sprzęt i oprogramowanie) sprzedawane w UE; kieruje się przede wszystkim do producentów, z obowiązkami także dla importerów i dystrybutorów.
  • Etapowe terminy: obowiązuje od grudnia 2024 r., zgłaszanie podatności i incydentów od 11 września 2026 r., wszystkie główne obowiązki od 11 grudnia 2027 r.
  • Czysty SaaS zwykle pozostaje poza CRA, ale jeśli kupujesz produkty lub komponenty, Twój obowiązek łańcucha dostaw z NIS2 i CRA wskazują teraz ten sam kierunek: żądaj dowodów bezpieczeństwa już na etapie projektowania i obsługi podatności.

Czym jest CRA

Akt o cyberodporności (rozporządzenie (UE) 2024/2847) ustanawia obowiązkowe wymogi cyberbezpieczeństwa dla „produktów z elementami cyfrowymi”: każdego produktu programowego lub sprzętowego oraz jego rozwiązań do zdalnego przetwarzania danych, który może łączyć się z urządzeniem lub siecią i jest wprowadzany na rynek UE. To rozporządzenie, więc obowiązuje bezpośrednio we wszystkich 27 państwach członkowskich bez transpozycji krajowej.

Większość obowiązków spoczywa na producencie, który musi projektować, wytwarzać i utrzymywać produkt w sposób bezpieczny oraz wykazać zgodność (oznakowanie CE). Importerzy i dystrybutorzy mają własne obowiązki (mogą wprowadzać na rynek wyłącznie produkty zgodne i muszą działać, gdy dowiedzą się, że produkt nie jest zgodny. Rozporządzenie definiuje też dwie kategorie wyższego ryzyka) produkty „ważne” i „krytyczne” (na przykład menedżery haseł, systemy zarządzania siecią czy sprzętowe moduły bezpieczeństwa), objęte surowszymi procedurami oceny zgodności.

W zakresie

Produkty sprzętowe i programowe wprowadzane na rynek UE, które mogą łączyć się z urządzeniem lub siecią: urządzenia podłączone do sieci, systemy operacyjne, aplikacje, biblioteki oraz nieodłącznie z nimi związane rozwiązania do zdalnego przetwarzania danych.

Poza zakresem (w szczególności SaaS)

Czyste oprogramowanie jako usługa zwykle nie jest „produktem” w rozumieniu CRA i jest zamiast tego objęte NIS2: chyba że rozwiązanie do zdalnego przetwarzania danych jest niezbędne do działania produktu i opracowane przez producenta tego produktu. Wyłączone są również produkty już objęte przepisami sektorowymi (np. wyroby medyczne, pojazdy silnikowe, niektóre produkty lotnicze).

Harmonogram, który ma znaczenie

CRA obowiązuje etapami. Dwie daty wyznaczają większość planowania:

10 gru 2024

Wszedł w życie. Zegar zgodności zaczyna bieg; żadne obowiązki materialne jeszcze nie obowiązują.

11 wrz 2026

Zaczynają obowiązywać obowiązki zgłaszania. Producenci muszą zgłaszać aktywnie wykorzystywane podatności i poważne incydenty (wczesne ostrzeżenie w ciągu 24 godzin, powiadomienie w ciągu 72 godzin i raport końcowy w ciągu 14 dni) do swojego krajowego CSIRT i do ENISA za pośrednictwem jednej platformy zgłoszeniowej.

11 gru 2027

Pełne stosowanie. Obowiązują wszystkie wymogi zasadnicze; produktów z elementami cyfrowymi niespełniających wymogów nie można już wprowadzać na rynek UE.

Co muszą zrobić producenci

Wymogi zasadnicze obejmują cały cykl życia produktu. W skrócie, zgodny producent musi:

  • Projektować bezpiecznie (bezpieczeństwo już w fazie projektowania i domyślnie): dostarczać z bezpieczną konfiguracją, minimalizować powierzchnię ataku oraz chronić poufność i integralność.
  • Obsługiwać podatności przez cały okres wsparcia: identyfikować je, dokumentować i usuwać oraz zapewniać bezpłatne aktualizacje zabezpieczeń przez okres wsparcia odzwierciedlający oczekiwany czas użytkowania produktu (Komisja wskazuje co najmniej pięć lat dla wielu produktów).
  • Dostarczać wykaz materiałów oprogramowania (SBOM): prowadzić czytelny maszynowo spis komponentów, aby po pojawieniu się nowej podatności w zależności szybko odnaleźć produkty, których dotyczy.
  • Prowadzić politykę skoordynowanego ujawniania podatności: opublikować punkt kontaktowy i proces zgłaszania podatności (rolę, jaką w praktyce pełni security.txt).
  • Zgłaszać aktywnie wykorzystywane podatności i poważne incydenty: według harmonogramu 24 h / 72 h / 14 dni, od 11 września 2026 r.
  • Wykazać zgodność i umieścić oznakowanie CE: w drodze samooceny dla większości produktów lub oceny przez stronę trzecią dla kategorii „ważne” i „krytyczne”, popartej dokumentacją techniczną.

Jak CRA odnosi się do NIS2

NIS2 i CRA są komplementarne, nie konkurencyjne. NIS2 dotyczy podmiotów (tego, jak podmiot kluczowy lub ważny zarządza własnym bezpieczeństwem i je prowadzi, w tym ryzykiem cybernetycznym swoich dostawców (art. 21 ust. 2 lit. d). CRA dotyczy produktów) tego, czy rzeczy wprowadzane na rynek są bezpieczne już w fazie projektowania i właściwie utrzymywane. Jedno reguluje operatora; drugie to, co operator kupuje i wykorzystuje.

I właśnie tam się spotykają. Obowiązek łańcucha dostaw podmiotu objętego NIS2 coraz częściej obejmuje pytanie „czy produkty i komponenty, które kupujemy, są gotowe na CRA?”, czy dostawca obsługuje podatności, dostarcza aktualizacje, publikuje kanał ujawniania i udostępnia SBOM? Od grudnia 2027 r. oznakowanie CE odpowie na część tego; do tego czasu i stale później nabywcy nadal potrzebują własnej pewności, że bezpieczeństwo dostawcy sprawdza się w praktyce.

CRA to rozporządzenie typu bezpieczeństwa produktów, a niektóre granice (zwłaszcza linia między SaaS a zdalnym przetwarzaniem danych oraz kategorie „ważne” i „krytyczne”) mogą być niuansowe. Potwierdź, jak stosuje się ono do konkretnego produktu, korzystając z wykwalifikowanej porady i tekstu urzędowego.

Co to oznacza dla Ciebie

Twoje obowiązki zależą od Twojej roli w łańcuchu. Szybka orientacja:

Producent produktów z elementami cyfrowymi

CRA stosuje się bezpośrednio. Zbuduj już teraz zdolności w zakresie bezpieczeństwa w fazie projektowania, obsługi podatności, SBOM, ujawniania i zgłaszania: obowiązek zgłaszania działa od września 2026 r., a pełna zgodność jest wymagana do grudnia 2027 r.

Importer lub dystrybutor

Możesz wprowadzać na rynek UE wyłącznie produkty zgodne, z oznakowaniem CE, musisz sprawdzić, czy producent dopełnił obowiązków, i musisz działać (oraz poinformować organy) gdy dowiesz się, że produkt niesie istotne ryzyko cyberbezpieczeństwa.

Nabywca lub operator (zwłaszcza objęty NIS2)

CRA nie reguluje Cię bezpośrednio jako nabywcy, ale na nowo określa, co jest „dobre” w zakupach. Żądaj dowodów obsługi podatności, SBOM, polityki ujawniania i okresu wsparcia, oraz monitoruj, czy dostawcy rzeczywiście je realizują.

Dostawca czystego SaaS

Zwykle poza CRA (podlegasz zamiast tego NIS2): chyba że Twoja usługa jest rozwiązaniem do zdalnego przetwarzania danych niezbędnym dla regulowanego produktu. Tak czy inaczej należyta staranność Twoich klientów postawi te same pytania o bezpieczeństwo.

Źródła: Rozporządzenie (UE) 2024/2847 (Cyber Resilience Act) oraz strony Komisji Europejskiej poświęcone Cyber Resilience Act. Daty i zakres odzwierciedlają opublikowane rozporządzenie; szczegóły dotyczące Twoich produktów potwierdź u wykwalifikowanego doradcy.

Jak pomaga norppa.io

norppa.io nie sprawi, że produkt będzie zgodny z CRA (to zadanie producenta) ale daje nabywcom i operatorom zewnętrzny dowód, którego wymagają teraz zakupy i należyta staranność NIS2. Sygnały, na których opiera się CRA, to właśnie te, które monitorujemy w sposób ciągły: oprogramowanie po zakończeniu wsparcia i niezałatane podatności (słaba obsługa podatności), brak kanału skoordynowanego ujawniania oraz usługi wystawione lub błędnie skonfigurowane.

Kwestionariusze samooceny ujmują to, czego nie widzi żadne skanowanie zewnętrzne (dostępność SBOM, zadeklarowany okres wsparcia i aktualizacji, status zgodności) a każda odpowiedź jest zestawiana z technicznym profilem na żywo. Efektem jest aktualny, potwierdzony dowód poziomu bezpieczeństwa dostawcy, gotowy do Twoich akt dostawcy, a nie jednorazowe twierdzenie.

Dowód, że Twoi dostawcy naprawdę się bronią

Zobacz przykładowy raport dostawcy (ustalenia, dowody i mapowanie na artykuły) w około dwie minuty.

Zobacz przykładowy raport
Zobacz przykładowy pulpit

Powiązane przewodniki

Jak spełnić NIS2: mapa drogowa krok po kroku

Kroki do zgodności z NIS2 po kolei: potwierdzenie zakresu, rejestracja, odpowiedzialność kierownictwa (art. 20), środki z art. 21 ust. 2, bezpieczeństwo łańcucha dostaw, zgłaszanie incydentów (art. 23) oraz ciągłe, udokumentowane zapewnienie.

Kogo dotyczy NIS2? Podmioty kluczowe i ważne, sektory i progi wielkości

Ustal, czy NIS2 dotyczy Ciebie: dwie kategorie, sektory z załączników I/II, progi wielkości, wyjątki niezależne od wielkości i jak łańcuch dostaw wciąga Cię nawet bez wyznaczenia.

NIS2 i wymóg łańcucha dostaw: co oznacza w praktyce

NIS2 zobowiązuje podmioty kluczowe i ważne do oceny cyberryzyk w łańcuchu dostaw. Poziomy dostawców, ryzyko czwartej strony, obowiązek zgłoszenia z Art. 23 i na co zwracają uwagę audytorzy.

Ocena cyberzagrożeń dostawcy: co sprawdza automatyczny monitoring NIS2

Wszystkie kategorie kontroli wyjaśnione: ransomware, wycieki dark web, TLS/DNSSEC, bezpieczeństwo cookies, CVE/EPSS, sankcje, czarne listy MX i SAQ. Cykl życia wyników i mapowanie artykułów NIS2.

NIS2 Art. 21(2): lista kontrolna bezpieczeństwa dla dostawców

Lista kontrolna dla zespołów zakupowych i bezpieczeństwa: co pytać, jakie dowody zbierać i jak reagować, gdy dostawca nie spełnia wymagań. Zawiera propozycje dokumentów potwierdzających.

Kwestionariusz dostawcy NIS2 (SAQ): o co pytać, jak punktować i darmowy szablon

O co pytać dostawców zgodnie z art. 21 ust. 2 lit. d), jak punktować odpowiedzi i reagować na luki, dlaczego samoocena wymaga weryfikacji, oraz darmowy szablon.

Zgłaszanie incydentów NIS2: terminy 24 i 72 godzin wyjaśnione

Czym jest istotny incydent, harmonogram z artykułu 23 (wczesne ostrzeżenie 24 h, zgłoszenie 72 h, raport końcowy w miesiąc) i kiedy incydent dostawcy staje się Twoim obowiązkiem.

NIS2 a odpowiedzialność kierownictwa: co muszą wiedzieć zarząd i kadra zarządzająca

Czego NIS2 oczekuje od organu zarządzającego: obowiązki zatwierdzania i nadzoru, osobista odpowiedzialność (art. 20), szkolenia, wskaźniki raportowania do zarządu i kary z art. 34.

ISO 27001 a NIS2: co Twój SZBI już obejmuje, i luki, których nie

Jeśli masz ISO 27001: co przenosi się na NIS2, a co nie (ustawowe zgłaszanie incydentów, odpowiedzialność kierownictwa, rejestracja i ciągłe zapewnienie łańcucha dostaw) oraz jak zamknąć lukę.

NIS2 a DORA: czym się różnią, gdzie się pokrywają i który dotyczy Ciebie

Czym różnią się i pokrywają dwa reżimy UE, dlaczego DORA to lex specialis dla podmiotów finansowych, który dotyczy Ciebie, i co oba oznaczają dla ryzyka stron trzecich.

RODO a NIS2: pokrywanie się, różnice i kiedy jeden incydent uruchamia oba

Czym różnią się i pokrywają RODO i NIS2, kiedy jeden incydent uruchamia oba (RODO art. 33 72 h do organu nadzorczego vs NIS2 art. 23 24 h/72 h/miesiąc do CSIRT), współpraca z art. 35 i zakaz podwójnej kary oraz co oba oznaczają dla należytej staranności wobec dostawców.

Unijny akt o sztucznej inteligencji: poziomy ryzyka, harmonogram i obowiązki podmiotów stosujących (artykuł 26)

Czego wymaga unijny akt o AI: poziomy ryzyka, etapowe daty (obowiązuje 2024, zakazane luty 2025, GPAI sie 2025, wysokie ryzyko sie 2026), obowiązki podmiotu stosującego z art. 26, jak nakłada się na NIS2 i RODO oraz co oznacza dla zakupów AI.