{"id":9859,"date":"2026-05-12T14:28:07","date_gmt":"2026-05-12T12:28:07","guid":{"rendered":"https:\/\/adaptivegrc.com\/?post_type=articles&p=9859"},"modified":"2026-05-12T14:35:14","modified_gmt":"2026-05-12T12:35:14","slug":"cyber-resilience-act","status":"publish","type":"articles","link":"https:\/\/adaptivegrc.com\/pl\/materialy\/artykuly\/cyber-resilience-act\/","title":{"rendered":"Cyber Resilience Act: obowi\u0105zki producent\u00f3w, importer\u00f3w i dystrybutor\u00f3w produkt\u00f3w z elementami cyfrowymi"},"content":{"rendered":"\n

Czym jest Cyber Resilience Act?<\/h2>\n\n\n\n

Cyber Resilience Act (CRA) to rozporz\u0105dzenie Parlamentu Europejskiego i Rady (UE) 2024\/2847, kt\u00f3re ustanawia jednolite horyzontalne wymagania dotycz\u0105ce cyberbezpiecze\u0144stwa dla produkt\u00f3w z elementami cyfrowymi wprowadzanych na rynek UE. Pe\u0142ny tekst aktu zosta\u0142 opublikowany w Dzienniku Urz\u0119dowym UE i dost\u0119pny jest w bazie EUR-Lex<\/a>.<\/p>\n\n\n\n

Rozporz\u0105dzenie CRA ma charakter horyzontalny, co oznacza, \u017ce dotyczy wszystkich produkt\u00f3w sprz\u0119towych i programowych z elementami cyfrowymi, niezale\u017cnie od bran\u017cy, w kt\u00f3rej s\u0105 sprzedawane. Zgodno\u015b\u0107 z jego wymaganiami potwierdza oznakowanie CE, kt\u00f3re dotychczas wi\u0105za\u0142o si\u0119 g\u0142\u00f3wnie z bezpiecze\u0144stwem fizycznym i elektrycznym produkt\u00f3w. Od teraz znak CE potwierdza r\u00f3wnie\u017c cyberodporno\u015b\u0107. To pierwszy taki krok w skali UE i ma on bezpo\u015brednie konsekwencje dla ka\u017cdej firmy, kt\u00f3ra projektuje lub sprzedaje produkty cyfrowe odbiorcom w pa\u0144stwach cz\u0142onkowskich.<\/p>\n\n\n\n

Dlaczego Unia Europejska wprowadzi\u0142a Cyber Resilience Act?<\/h2>\n\n\n\n

U \u017ar\u00f3de\u0142 rozporz\u0105dzenia le\u017cy kilka zjawisk, kt\u00f3re Komisja Europejska wskazywa\u0142a od 2022. Pierwszym by\u0142a rosn\u0105ca liczba podatno\u015bci w produktach powszechnego u\u017cytku i niewystarczaj\u0105ce wsparcie aktualizacyjne. Drugim problemem pozostaje brak przejrzysto\u015bci co do poziomu zabezpiecze\u0144 urz\u0105dze\u0144 IoT oraz oprogramowania oferowanego konsumentom i firmom.<\/p>\n\n\n\n

Do chwili publikacji CRA regulacje UE dotycz\u0105ce cyberbezpiecze\u0144stwa koncentrowa\u0142y si\u0119 na podmiotach i operatorach us\u0142ug, a nie na samych produktach. Dyrektywa NIS2 nak\u0142ada obowi\u0105zki na operator\u00f3w us\u0142ug kluczowych i wa\u017cnych, DORA reguluje odporno\u015b\u0107 operacyjn\u0105 sektora finansowego, ale \u017cadna z regulacji dotycz\u0105cych cyberbezpiecze\u0144stwa nie stawia\u0142a dot\u0105d wymaga\u0144 wobec producent\u00f3w oprogramowania i sprz\u0119tu. Cyber Resilience Act wype\u0142nia t\u0119 luk\u0119, przenosz\u0105c ci\u0119\u017car odpowiedzialno\u015bci za cyberbezpiecze\u0144stwo produkt\u00f3w na podmioty, kt\u00f3re je projektuj\u0105 i dostarczaj\u0105. Rozporz\u0105dzenie jest cz\u0119\u015bci\u0105 szerszej strategii cyfrowej UE, kt\u00f3ra zmierza do zbudowania odporno\u015bci cyfrowego rynku wewn\u0119trznego.<\/p>\n\n\n\n

Jakie produkty obejmuje CRA?<\/h2>\n\n\n\n

Zakres przedmiotowy CRA jest bardzo szeroki. Rozporz\u0105dzenie definiuje produkt z elementami cyfrowymi jako oprogramowanie lub sprz\u0119t oraz zwi\u0105zane z nimi rozwi\u0105zania do zdalnego przetwarzania danych, kt\u00f3re mog\u0105 \u0142\u0105czy\u0107 si\u0119 bezpo\u015brednio lub po\u015brednio z urz\u0105dzeniem albo sieci\u0105. W rezultacie bezpiecze\u0144stwo produkt\u00f3w IT dotyczy tak oprogramowania biurowego, jak i urz\u0105dze\u0144 sieciowych typu router czy smart-TV. Do zakresu nale\u017c\u0105 r\u00f3wnie\u017c inteligentne urz\u0105dzenia domowe, takie jak zamki czy kamery, oraz zabawki z modu\u0142em internetowym. Rozporz\u0105dzenie dotyczy tak\u017ce system\u00f3w sterowania przemys\u0142owego oraz aplikacji mobilnych.<\/p>\n\n\n\n

Nie ka\u017cdy produkt cyfrowy podlega jednak CRA. Rozporz\u0105dzenie wyra\u017anie wy\u0142\u0105cza kategorie ju\u017c regulowane odr\u0119bnymi aktami UE.<\/p>\n\n\n\n

Produkty wy\u0142\u0105czone z zakresu CRA<\/strong><\/td>Podstawa prawna \/ przyczyna<\/strong><\/td><\/tr><\/thead>
Wyroby medyczne<\/td>Rozporz\u0105dzenie (UE) 2017\/745 (MDR)<\/td><\/tr>
Diagnostyka in vitro<\/td>Rozporz\u0105dzenie (UE) 2017\/746 (IVDR)<\/td><\/tr>
Pojazdy silnikowe i ich komponenty<\/td>Rozporz\u0105dzenie (UE) 2019\/2144, regulacje ONZ<\/td><\/tr>
Wyroby lotnicze<\/td>Rozporz\u0105dzenie (UE) 2018\/1139<\/td><\/tr>
Produkty wy\u0142\u0105cznie do cel\u00f3w obronnych lub bezpiecze\u0144stwa narodowego<\/td>Art. 2 CRA<\/td><\/tr>
Pure SaaS (us\u0142uga bez komponentu produktowego)<\/td>CRA jest regulacj\u0105 produktow\u0105<\/td><\/tr>
Wolne i otwarte oprogramowanie poza dzia\u0142alno\u015bci\u0105 komercyjn\u0105<\/td>Motyw 18, art. 3 CRA<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n

Wy\u0142\u0105czenia te wynikaj\u0105 z zasady niepodwajania obowi\u0105zk\u00f3w tam, gdzie bezpiecze\u0144stwo reguluj\u0105 ju\u017c inne akty. Produkt, kt\u00f3ry nie mie\u015bci si\u0119 w \u017cadnej z tych kategorii, a \u0142\u0105czy si\u0119 z sieci\u0105 lub urz\u0105dzeniem, z du\u017cym prawdopodobie\u0144stwem podlega CRA.<\/p>\n\n\n\n

Kogo dotycz\u0105 obowi\u0105zki wynikaj\u0105ce z CRA?<\/h2>\n\n\n\n

Obowi\u0105zki wynikaj\u0105ce z CRA s\u0105 roz\u0142o\u017cone na ca\u0142y \u0142a\u0144cuch dostaw, ale g\u0142\u00f3wny ci\u0119\u017car spoczywa na producentach. Producent oprogramowania lub sprz\u0119tu to podmiot, kt\u00f3ry projektuje b\u0105d\u017a zleca produkcj\u0119 produktu i wprowadza go na rynek pod w\u0142asn\u0105 mark\u0105. To on przeprowadza ocen\u0119 ryzyka i sporz\u0105dza dokumentacj\u0119 techniczn\u0105. Nast\u0119pnie podpisuje deklaracj\u0119 zgodno\u015bci UE i umieszcza znak CE.<\/p>\n\n\n\n

Importer odpowiada za to, \u017ce produkt spoza UE spe\u0142nia wymagania Cyber Resilience Act, zanim trafi na rynek wewn\u0119trzny. Sprawdza on obecno\u015b\u0107 znaku CE i kompletno\u015b\u0107 dokumentacji, a w razie w\u0105tpliwo\u015bci co do zgodno\u015bci z CRA wstrzymuje sprzeda\u017c. Dystrybutor, czyli ogniwo ko\u0144cowe, weryfikuje znak CE i dope\u0142nienie obowi\u0105zk\u00f3w przez producenta oraz importera. Importer i dystrybutor maj\u0105 r\u00f3wnie\u017c obowi\u0105zek wsp\u00f3\u0142pracowa\u0107 z organami nadzoru rynku i informowa\u0107 producenta o wykrytych podatno\u015bciach.<\/p>\n\n\n\n

Osobn\u0105 kategori\u0105 podmiotu jest opiekun otwartego oprogramowania (ang. open-source software steward). To osoba prawna, kt\u00f3ra trwale wspiera rozw\u00f3j wolnego i otwartego oprogramowania przeznaczonego do cel\u00f3w dzia\u0142alno\u015bci handlowej. Opiekun\u00f3w obowi\u0105zuj\u0105 wybrane wymogi Cyber Resilience Act, takie jak polityka cyberbezpiecze\u0144stwa czy raportowanie podatno\u015bci, jednak za naruszenia nie gro\u017c\u0105 im kary finansowe.<\/p>\n\n\n\n

Najwa\u017cniejsze wymagania CRA dla producent\u00f3w<\/h2>\n\n\n\n

Szczeg\u00f3\u0142owe wymagania CRA dla producent\u00f3w zawiera Za\u0142\u0105cznik I rozporz\u0105dzenia, podzielony na dwie cz\u0119\u015bci. Cz\u0119\u015b\u0107 pierwsza dotyczy w\u0142a\u015bciwo\u015bci samego produktu. Producent musi wprowadza\u0107 na rynek produkt wolny od znanych podatno\u015bci, z bezpieczn\u0105 konfiguracj\u0105 domy\u015bln\u0105 zgodnie z zasad\u0105 security by default oraz z mechanizmami ochrony danych i kontroli dost\u0119pu. Liczba potencjalnych punkt\u00f3w wej\u015bcia atakuj\u0105cego powinna by\u0107 ograniczona do minimum. Cz\u0119\u015b\u0107 druga dotyczy zarz\u0105dzania podatno\u015bciami przez ca\u0142y okres wsparcia produktu.<\/p>\n\n\n\n

Wdro\u017cenie CRA zaczyna si\u0119 od oceny ryzyka cyberbezpiecze\u0144stwa, kt\u00f3r\u0105 producent musi przeprowadzi\u0107 i uwzgl\u0119dni\u0107 na wszystkich etapach cyklu \u017cycia produktu, od planowania a\u017c po utrzymanie. Jej wyniki trafiaj\u0105 do dokumentacji technicznej, kt\u00f3r\u0105 organy nadzoru rynku mog\u0105 kontrolowa\u0107 przez co najmniej 10 lat od wprowadzenia produktu na rynek. Producent musi te\u017c zadba\u0107 o nale\u017cyt\u0105 staranno\u015b\u0107 wobec komponent\u00f3w zewn\u0119trznych, aby nie os\u0142abi\u0142y one cyberbezpiecze\u0144stwa finalnego produktu. Brak weryfikacji dostawc\u00f3w<\/a> jest tu jednym z najcz\u0119\u015bciej niedocenianych ryzyk.<\/p>\n\n\n\n

\"\"<\/figure>\n\n\n\n

Security by design i security by default jako fundament zgodno\u015bci<\/h2>\n\n\n\n

Podej\u015bcie security by design wymaga, \u017ceby bezpiecze\u0144stwo stanowi\u0142o integraln\u0105 cz\u0119\u015b\u0107 projektu produktu ju\u017c od etapu koncepcyjnego. Decyzje architektoniczne dotycz\u0105ce modelu uwierzytelniania czy sposobu przechowywania danych wra\u017cliwych zapadaj\u0105 wtedy z udzia\u0142em zespo\u0142u bezpiecze\u0144stwa. Zesp\u00f3\u0142 produktowy i zesp\u00f3\u0142 bezpiecze\u0144stwa pracuj\u0105 razem od pierwszego szkicu specyfikacji.<\/p>\n\n\n\n

Security by default oznacza, \u017ce produkt zaraz po w\u0142\u0105czeniu dzia\u0142a w najbezpieczniejszej konfiguracji, jak\u0105 dopuszcza jego zastosowanie. Domy\u015blne has\u0142a administracyjne czy w\u0142\u0105czone nieu\u017cywane us\u0142ugi to elementy konfiguracji, kt\u00f3re CRA ka\u017ce eliminowa\u0107 u \u017ar\u00f3d\u0142a. U\u017cytkownik powinien m\u00f3c u\u017cywa\u0107 produktu w bezpieczny spos\u00f3b od razu po jego uruchomieniu, bez konieczno\u015bci r\u0119cznej konfiguracji podstawowych zabezpiecze\u0144. Zasady security by design i security by default tworz\u0105 fundament, na kt\u00f3rym opieraj\u0105 si\u0119 szczeg\u00f3\u0142owe wymagania zasadnicze z Za\u0142\u0105cznika I.<\/p>\n\n\n\n

Jak wygl\u0105da zarz\u0105dzanie podatno\u015bciami i aktualizacjami bezpiecze\u0144stwa wed\u0142ug CRA?<\/h2>\n\n\n\n

Zarz\u0105dzanie podatno\u015bciami w CRA opiera si\u0119 na kilku filarach. Producent musi prowadzi\u0107 polityk\u0119 obs\u0142ugi podatno\u015bci, kt\u00f3ra przewiduje przyjmowanie zg\u0142osze\u0144 z zewn\u0105trz (coordinated vulnerability disclosure) oraz analiz\u0119 podatno\u015bci bezpiecze\u0144stwa w produkcie i jego komponentach. Do tego dochodzi obowi\u0105zek dostarczania poprawek bez zb\u0119dnej zw\u0142oki. Aktualizacje bezpiecze\u0144stwa musz\u0105 by\u0107 udost\u0119pniane przez ca\u0142y okres wsparcia, kt\u00f3ry producent sam wyznacza, ale nie mo\u017ce on by\u0107 kr\u00f3tszy, ni\u017c uzasadnia to przewidywany czas u\u017cywania produktu.<\/p>\n\n\n\n

Kluczowym narz\u0119dziem operacyjnym zarz\u0105dzania podatno\u015bciami jest SBOM (ang. Software Bill of Materials), czyli wykaz komponent\u00f3w oprogramowania u\u017cywanych w produkcie. SBOM pozwala szybko zidentyfikowa\u0107, kt\u00f3re produkty s\u0105 nara\u017cone w razie wykrycia podatno\u015bci w powszechnie u\u017cywanej bibliotece. Aktualizacje bezpiecze\u0144stwa producent dostarcza co do zasady nieodp\u0142atnie i razem z jasn\u0105 informacj\u0105 dla u\u017cytkownika o sposobie ich instalacji. Tam, gdzie to technicznie zasadne, aktualizacje bezpiecze\u0144stwa powinny by\u0107 oddzielone od aktualizacji funkcjonalnych, \u017ceby u\u017cytkownik m\u00f3g\u0142 zainstalowa\u0107 sam\u0105 poprawk\u0119 bez wymuszonej zmiany funkcji produktu.<\/p>\n\n\n\n

Jakie s\u0105 terminy raportowania incydent\u00f3w i aktywnie wykorzystywanych podatno\u015bci?<\/h2>\n\n\n\n

Operacyjnie raportowanie nale\u017cy do najtrudniejszych obowi\u0105zk\u00f3w wynikaj\u0105cych z CRA. Producent zg\u0142asza powa\u017cny incydent lub aktywnie wykorzystywan\u0105 podatno\u015b\u0107 (czyli tak\u0105, kt\u00f3ra pos\u0142u\u017cy\u0142a ju\u017c do faktycznego ataku) krajowemu zespo\u0142owi CSIRT (ang. Computer Security Incident Response Team) i agencji ENISA<\/a> (ang. European Union Agency for Cybersecurity). Wystarczy do tego jedno zg\u0142oszenie z\u0142o\u017cone przez wsp\u00f3ln\u0105 platform\u0119 raportow\u0105, kt\u00f3r\u0105 prowadzi ta agencja. Platforma rozsy\u0142a zg\u0142oszenie do CSIRT-\u00f3w w innych pa\u0144stwach cz\u0142onkowskich, w kt\u00f3rych produkt jest udost\u0119pniany. Art. 14 CRA przewiduje cztery rodzaje zg\u0142osze\u0144 z r\u00f3\u017cnymi terminami.<\/p>\n\n\n\n

Rodzaj zg\u0142oszenia<\/strong><\/td>Termin wys\u0142ania<\/strong><\/td>Adresat<\/strong><\/td><\/tr><\/thead>
Wczesne ostrze\u017cenie<\/td>24 godziny<\/td>CSIRT + ENISA (Single Reporting Platform)<\/td><\/tr>
Zg\u0142oszenie g\u0142\u00f3wne<\/td>72 godziny<\/td>CSIRT + ENISA<\/td><\/tr>
Raport ko\u0144cowy dla aktywnie wykorzystywanej podatno\u015bci<\/td>Nie p\u00f3\u017aniej ni\u017c 14 dni od udost\u0119pnienia \u015brodka zaradczego lub \u0142atki<\/td>CSIRT + ENISA<\/td><\/tr>
Raport ko\u0144cowy dla powa\u017cnego incydentu<\/td>1 miesi\u0105c od zg\u0142oszenia g\u0142\u00f3wnego<\/td>CSIRT + ENISA<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n

Producent musi te\u017c bez zb\u0119dnej zw\u0142oki informowa\u0107 u\u017cytkownik\u00f3w produktu o incydencie lub podatno\u015bci oraz o dost\u0119pnych \u015brodkach ochrony. Obowi\u0105zki raportowe zaczynaj\u0105 obowi\u0105zywa\u0107 od 11 wrze\u015bnia 2026 i dotycz\u0105 wszystkich produkt\u00f3w z elementami cyfrowymi udost\u0119pnionych na rynku UE, tak\u017ce tych wprowadzonych przed pe\u0142nym stosowaniem rozporz\u0105dzenia. Dla zespo\u0142\u00f3w SOC i zespo\u0142\u00f3w produktowych oznacza to konieczno\u015b\u0107 przygotowania procedur wykrywania i klasyfikacji incydent\u00f3w cyberbezpiecze\u0144stwa oraz jasnych zasad przekazywania ich na wy\u017csze poziomy organizacji, \u017ceby termin 24 godzin by\u0142 realnie osi\u0105galny.<\/p>\n\n\n\n

Kategorie produkt\u00f3w w CRA: standardowe, wa\u017cne i krytyczne<\/h2>\n\n\n\n

CRA r\u00f3\u017cnicuje wymagania w zale\u017cno\u015bci od kategorii ryzyka produktu. Produkty standardowe (non-critical) stanowi\u0105 wi\u0119kszo\u015b\u0107 i podlegaj\u0105 ocenie zgodno\u015bci w trybie samooceny. Produkty wa\u017cne (important) s\u0105 wymienione w Za\u0142\u0105czniku III i podzielone na dwie klasy. Produkty krytyczne (critical) zawiera Za\u0142\u0105cznik IV, a ich lista jest najbardziej restrykcyjna.<\/p>\n\n\n\n

Do produkt\u00f3w wa\u017cnych klasy I nale\u017c\u0105 mi\u0119dzy innymi mened\u017cery hase\u0142 i oprogramowanie antywirusowe. Klasa II to produkty o wi\u0119kszym znaczeniu dla bezpiecze\u0144stwa, takie jak firewalle przedsi\u0119biorstw czy modu\u0142y HSM. Produkty krytyczne to mi\u0119dzy innymi elementy inteligentnych licznik\u00f3w oraz smart cards wykorzystywane w infrastrukturze uwierzytelniania. Szczeg\u00f3\u0142owy opis techniczny tych kategorii zawiera rozporz\u0105dzenie wykonawcze Komisji (UE) 2025\/2392 z 28 listopada 2025 r.<\/p>\n\n\n\n

\"\"<\/figure>\n\n\n\n

Kiedy wystarczy samoocena, a kiedy potrzebna jest jednostka notyfikowana?<\/h2>\n\n\n\n

Oznakowanie CE na produkcie cyfrowym potwierdza, \u017ce producent przeprowadzi\u0142 odpowiedni\u0105 ocen\u0119 zgodno\u015bci i produkt spe\u0142nia zasadnicze wymagania CRA. Tryb oceny zgodno\u015bci zale\u017cy od kategorii ryzyka.<\/p>\n\n\n\n

Dla produkt\u00f3w standardowych wystarczy wewn\u0119trzna kontrola produkcji (modu\u0142 A), czyli samoocena. Producent sam weryfikuje zgodno\u015b\u0107 i na tej podstawie podpisuje deklaracj\u0119 oraz umieszcza znak CE. W przypadku produkt\u00f3w wa\u017cnych klasy I samoocena jest dopuszczalna tylko wtedy, gdy producent zastosowa\u0142 normy zharmonizowane albo europejski schemat certyfikacji cyberbezpiecze\u0144stwa. Bez nich konieczna jest ocena przez jednostk\u0119 notyfikowan\u0105, czyli niezale\u017cn\u0105 instytucj\u0119 certyfikuj\u0105c\u0105 wyznaczon\u0105 przez pa\u0144stwo cz\u0142onkowskie do oceny zgodno\u015bci wyrob\u00f3w z wymaganiami CE. Dla produkt\u00f3w wa\u017cnych klasy II oraz dla produkt\u00f3w krytycznych ocena przez jednostk\u0119 notyfikowan\u0105 jest zasadniczo obowi\u0105zkowa.<\/p>\n\n\n\n

Normy zharmonizowane odgrywaj\u0105 tu szczeg\u00f3ln\u0105 rol\u0119. Ich zastosowanie tworzy domniemanie zgodno\u015bci z wymaganiami Cyber Resilience Act, co upraszcza ocen\u0119 zgodno\u015bci i zmniejsza ryzyko sporu z organami nadzoru. Komisja Europejska przy wsparciu ENISA oraz europejskich organizacji standaryzacyjnych (CEN, CENELEC, ETSI) pracuje nad zestawem norm zharmonizowanych, kt\u00f3re pozwol\u0105 producentom wykaza\u0107 zgodno\u015b\u0107 z CRA w spos\u00f3b przewidywalny.<\/p>\n\n\n\n

Harmonogram wdro\u017cenia CRA: kluczowe daty<\/h2>\n\n\n\n

Harmonogram CRA daje producentom wieloetapowy okres przygotowa\u0144, ale nie wszystkie obowi\u0105zki ruszaj\u0105 w jednym momencie.<\/p>\n\n\n\n

10 grudnia 2024: <\/strong>Wej\u015bcie w \u017cycie rozporz\u0105dzenia 2024\/2847.<\/p>\n\n\n\n

11 czerwca 2026: <\/strong>Pa\u0144stwa cz\u0142onkowskie zaczynaj\u0105 zg\u0142asza\u0107 Komisji Europejskiej jednostki notyfikowane uprawnione do oceny zgodno\u015bci produkt\u00f3w z wymaganiami CRA.<\/p>\n\n\n\n

11 wrze\u015bnia 2026: <\/strong>Start obowi\u0105zk\u00f3w raportowych zawartych w art. 14. Producenci zg\u0142aszaj\u0105 aktywnie wykorzystywane podatno\u015bci i powa\u017cne incydenty.<\/p>\n\n\n\n

11 grudnia 2027: <\/strong>Pe\u0142ne stosowanie CRA. Od tej daty \u017caden produkt z elementami cyfrowymi niespe\u0142niaj\u0105cy wymaga\u0144 nie mo\u017ce by\u0107 wprowadzony na rynek UE.<\/p>\n\n\n\n

Jak przygotowa\u0107 organizacj\u0119 do wymog\u00f3w Cyber Resilience Act?<\/h2>\n\n\n\n

Przygotowanie do CRA jest zadaniem wielowymiarowym i wymaga wsp\u00f3\u0142pracy zespo\u0142\u00f3w produktowych z zespo\u0142ami bezpiecze\u0144stwa oraz zespo\u0142ami prawnymi i zakupowymi. Pierwszym krokiem jest pe\u0142na inwentaryzacja portfela produkt\u00f3w. Firma musi wiedzie\u0107, kt\u00f3re z nich podlegaj\u0105 CRA i do jakiej kategorii ryzyka nale\u017c\u0105. Nast\u0119pnie producent przek\u0142ada wymagania Za\u0142\u0105cznika I na procesy cyklu \u017cycia produktu i identyfikuje luki.<\/p>\n\n\n\n

Kolejnym obszarem jest wdro\u017cenie SBOM dla ka\u017cdego produktu oraz polityki obs\u0142ugi podatno\u015bci ze zdefiniowanymi kana\u0142ami zg\u0142osze\u0144 zewn\u0119trznych. Zespo\u0142y bezpiecze\u0144stwa musz\u0105 zaprojektowa\u0107 procedur\u0119 raportowania zgodn\u0105 z 24-godzinnym terminem, w tym zasady przekazywania sprawy z poziomu operacyjnego do zarz\u0105du. Umowy z dostawcami komponent\u00f3w trzeba uzupe\u0142ni\u0107 o klauzule dotycz\u0105ce bezpiecze\u0144stwa i zg\u0142aszania podatno\u015bci.<\/p>\n\n\n\n

R\u00f3wnolegle warto uporz\u0105dkowa\u0107 dokumentacj\u0119 techniczn\u0105 oraz ocen\u0119 ryzyka cyberbezpiecze\u0144stwa tak, by mo\u017cna je by\u0142o bez przygotowania przedstawi\u0107 organowi nadzoru. Tutaj sprawdza si\u0119 systemowe zarz\u0105dzanie zgodno\u015bci\u0105<\/a>, kt\u00f3re \u0142\u0105czy wymagania, dowody i raporty w jednym miejscu i ogranicza prac\u0119 r\u0119czn\u0105. Bez takiego systemu koszt utrzymania zgodno\u015bci z CRA ro\u015bnie wraz z liczb\u0105 produkt\u00f3w i komponent\u00f3w w ofercie firmy.<\/p>\n\n\n\n

Wp\u0142yw CRA na producent\u00f3w software, hardware i IoT<\/h2>\n\n\n\n

Producenci oprogramowania odczuj\u0105 zmian\u0119 przede wszystkim w sprawie zale\u017cno\u015bci open source i okres\u00f3w wsparcia. Producent ma obowi\u0105zek dochowa\u0107 nale\u017cytej staranno\u015bci wobec bibliotek stron trzecich, w tym tych pobieranych z publicznych repozytori\u00f3w. W razie podatno\u015bci w zewn\u0119trznym komponencie musi wiedzie\u0107, co dok\u0142adnie znajduje si\u0119 w jego produkcie i jak na ni\u0105 zareagowa\u0107. Czysty SaaS pozostaje poza zakresem CRA jako us\u0142uga, ale oprogramowanie dostarczane do instalacji u klienta podlega rozporz\u0105dzeniu, co rozszerza zakres obowi\u0105zk\u00f3w na du\u017c\u0105 cz\u0119\u015b\u0107 rynku B2B.<\/p>\n\n\n\n

Producenci sprz\u0119tu, zw\u0142aszcza w segmencie IoT, maj\u0105 obowi\u0105zek zapewni\u0107 cyberbezpiecze\u0144stwo produktu przez ca\u0142y zadeklarowany okres wsparcia. Dla wielu tanich urz\u0105dze\u0144 to fundamentalna zmiana, bo dotychczas okres wsparcia cz\u0119sto istnia\u0142 tylko na papierze. Producenci musz\u0105 utrzymywa\u0107 aktualizacje firmware i kontrolowa\u0107 dostawy komponent\u00f3w. W przemys\u0142owym IoT bezpiecze\u0144stwo produkt\u00f3w IT trzeba dodatkowo godzi\u0107 z regulacjami sektorowymi, na przyk\u0142ad w energetyce czy transporcie.<\/p>\n\n\n\n

W segmencie open source rozporz\u0105dzenie przewiduje wyj\u0105tki dla projekt\u00f3w niekomercyjnych, a opiekun\u00f3w otwartego oprogramowania obejmuje w\u0119\u017cszy zakres obowi\u0105zk\u00f3w. Firmy, kt\u00f3re komercjalizuj\u0105 projekty open source, dostaj\u0105 jasn\u0105 zasad\u0119 rozdzielenia odpowiedzialno\u015bci komercyjnej od wsparcia spo\u0142eczno\u015bci.<\/p>\n\n\n\n

CRA a inne regulacje cyberbezpiecze\u0144stwa w UE<\/h2>\n\n\n\n

CRA nie dzia\u0142a w pr\u00f3\u017cni. Dyrektywa NIS2 dotyczy cyberbezpiecze\u0144stwa podmiot\u00f3w kluczowych i wa\u017cnych, takich jak dostawcy us\u0142ug cyfrowych, operatorzy infrastruktury krytycznej czy szpitale. DORA stawia wymagania odporno\u015bci operacyjnej sektorowi finansowemu oraz jego dostawcom ICT. \u017badna z tych regulacji nie adresuje bezpo\u015brednio cyberbezpiecze\u0144stwa produkt\u00f3w wprowadzanych na rynek i w\u0142a\u015bnie t\u0119 luk\u0119 wype\u0142nia CRA.<\/p>\n\n\n\n

CRA powi\u0105zany jest te\u017c z innymi aktami unijnymi. Dyrektywa RED (2014\/53\/UE) wraz z aktem delegowanym 2022\/30 wprowadzi\u0142a wymagania cyberbezpiecze\u0144stwa dla urz\u0105dze\u0144 radiowych. Te wymagania zostan\u0105 w znacznej cz\u0119\u015bci poch\u0142oni\u0119te przez CRA, co upro\u015bci \u017cycie producentom \u0142\u0105czno\u015bci bezprzewodowej. RODO pozostaje odr\u0119bn\u0105 regulacj\u0105 dotycz\u0105c\u0105 ochrony danych osobowych i dzia\u0142a r\u00f3wnolegle do CRA, poniewa\u017c wiele incydent\u00f3w cyberbezpiecze\u0144stwa wi\u0105\u017ce si\u0119 z naruszeniem danych. Dla firm oznacza to, \u017ce jeden incydent mo\u017ce rodzi\u0107 obowi\u0105zki raportowe wynikaj\u0105ce z CRA i z innych akt\u00f3w, takich jak NIS2 czy RODO, co wymaga skoordynowanej reakcji prawnej i operacyjnej.<\/p>\n\n\n\n

Najcz\u0119stsze wyzwania we wdro\u017ceniu CRA<\/h2>\n\n\n\n

Wdro\u017cenie CRA ujawnia w wielu firmach te same trudno\u015bci. Pierwsza z nich dotyczy \u0142a\u0144cucha dostaw komponent\u00f3w. Du\u017ca cz\u0119\u015b\u0107 produkt\u00f3w korzysta z bibliotek i modu\u0142\u00f3w dostarczanych przez dziesi\u0105tki firm, kt\u00f3rych polityki bezpiecze\u0144stwa bardzo r\u00f3\u017cni\u0105 si\u0119 jako\u015bci\u0105. Wykazanie nale\u017cytej staranno\u015bci wobec setek komponent\u00f3w wymaga specjalistycznych narz\u0119dzi, bo arkusze kalkulacyjne ju\u017c tego nie obs\u0142u\u017c\u0105.<\/p>\n\n\n\n

Drugie wyzwanie to wyznaczenie okresu wsparcia. Producenci, kt\u00f3rzy do tej pory wspierali produkt przez kilka lat, musz\u0105 zweryfikowa\u0107 swoje modele biznesowe. Nieadekwatnie dobrany okres mo\u017ce dla firmy oznacza\u0107 sankcje i utrat\u0119 klient\u00f3w.<\/p>\n\n\n\n

Trzecia trudno\u015b\u0107 to dowodowo\u015b\u0107, czyli umiej\u0119tno\u015b\u0107 wykazania zgodno\u015bci w razie kontroli. Organy nadzoru mog\u0105 \u017c\u0105da\u0107 dokumentacji technicznej oraz wynik\u00f3w test\u00f3w bezpiecze\u0144stwa. Firmy, kt\u00f3re prowadzi\u0142y testy, ale nie dokumentowa\u0142y ich systematycznie, b\u0119d\u0105 musia\u0142y zbudowa\u0107 \u015bcie\u017ck\u0119 audytu od zera.<\/p>\n\n\n\n

Jeszcze jedna kwestia to status produkt\u00f3w ju\u017c obecnych na rynku w momencie pe\u0142nego stosowania CRA, czyli 11 grudnia 2027. Producent nie musi ich przerabia\u0107 tak, \u017ceby spe\u0142nia\u0142y nowe wymagania, dop\u00f3ki nie wprowadzi w nich istotnej modyfikacji. Obowi\u0105zki raportowe obejmuj\u0105 jednak wszystkie produkty udost\u0119pnione na rynku UE, tak\u017ce te sprzedane wiele lat wcze\u015bniej. Producent powinien wi\u0119c jasno zdefiniowa\u0107 i og\u0142osi\u0107 dat\u0119 zako\u0144czenia wsparcia ka\u017cdego produktu, bo bez tego trudno mu b\u0119dzie odeprze\u0107 zg\u0142oszenia dotycz\u0105ce starszych wersji.<\/p>\n\n\n\n

\"\"<\/figure>\n\n\n\n

Co CRA oznacza dla biznesu<\/h2>\n\n\n\n

Cyber Resilience Act zmienia model odpowiedzialno\u015bci za cyberbezpiecze\u0144stwo produkt\u00f3w z elementami cyfrowymi w Unii Europejskiej. Dla producent\u00f3w, importer\u00f3w i dystrybutor\u00f3w to jednocze\u015bnie obowi\u0105zek i szansa. Firmy, kt\u00f3re ju\u017c teraz zaczn\u0105 porz\u0105dkowa\u0107 procesy projektowania oraz zarz\u0105dzania podatno\u015bciami wraz z dokumentacj\u0105 techniczn\u0105, wejd\u0105 w rok 2027 z gotowymi deklaracjami zgodno\u015bci i utrzymaj\u0105 dost\u0119p do rynku bez zak\u0142\u00f3ce\u0144. Te, kt\u00f3re odwlekaj\u0105 przygotowania, ryzykuj\u0105 zar\u00f3wno kary, jak i utrat\u0119 przewagi konkurencyjnej wobec dostawc\u00f3w, dla kt\u00f3rych cyberodporno\u015b\u0107 sta\u0142a si\u0119 cz\u0119\u015bci\u0105 warto\u015bci produktu. Informacje o post\u0119pach wdro\u017cenia CRA publikuje Komisja Europejska<\/a>.<\/p>\n\n\n\n

FAQ<\/h2>\n\n\n
\t\t\t\n\t\t\t\t\t\t\t\t<\/path><\/svg>\n\t\t\t\t\t\t\t<\/span>\n\t\t\t\t\t\t\n\t\t\t\t\t\t\t\t<\/path><\/svg>\n\t\t\t\t\t\t\t<\/span>\n\t\t\tCzy CRA dotyczy producent\u00f3w spoza UE?<\/span><\/div>

Tak. CRA stosuje si\u0119 do ka\u017cdego produktu z elementami cyfrowymi, kt\u00f3ry jest udost\u0119pniany na rynku unijnym, niezale\u017cnie od siedziby producenta. Firma spoza UE, kt\u00f3ra sprzedaje produkty do pa\u0144stw cz\u0142onkowskich, musi wyznaczy\u0107 upowa\u017cnionego przedstawiciela z siedzib\u0105 w UE oraz zapewni\u0107 zgodno\u015b\u0107 z zasadniczymi wymaganiami. Importer z UE dodatkowo odpowiada za weryfikacj\u0119 dokumentacji i znaku CE przed wprowadzeniem produktu na rynek.<\/p><\/div><\/div>

\t\t\t\n\t\t\t\t\t\t\t\t<\/path><\/svg>\n\t\t\t\t\t\t\t<\/span>\n\t\t\t\t\t\t\n\t\t\t\t\t\t\t\t<\/path><\/svg>\n\t\t\t\t\t\t\t<\/span>\n\t\t\tJakie s\u0105 kary za naruszenie CRA?<\/span><\/div>

Maksymalna kara dla producenta za naruszenie zasadniczych wymaga\u0144 cyberbezpiecze\u0144stwa lub obowi\u0105zk\u00f3w dotycz\u0105cych obs\u0142ugi podatno\u015bci si\u0119ga 15 mln EUR albo 2,5% \u0142\u0105cznego rocznego \u015bwiatowego obrotu z poprzedniego roku, w zale\u017cno\u015bci od tego, kt\u00f3ra kwota jest wy\u017csza. Za naruszenie pozosta\u0142ych obowi\u0105zk\u00f3w, w tym obowi\u0105zk\u00f3w importer\u00f3w i dystrybutor\u00f3w, sankcja wynosi do 10 mln EUR albo 2% obrotu. Za udzielenie nieprawid\u0142owych, niekompletnych lub wprowadzaj\u0105cych w b\u0142\u0105d informacji organom nadzoru kara si\u0119ga 5 mln EUR albo 1% obrotu.<\/p><\/div><\/div>

\t\t\t\n\t\t\t\t\t\t\t\t<\/path><\/svg>\n\t\t\t\t\t\t\t<\/span>\n\t\t\t\t\t\t\n\t\t\t\t\t\t\t\t<\/path><\/svg>\n\t\t\t\t\t\t\t<\/span>\n\t\t\tCzy startupy i M\u015aP maj\u0105 ulgi we wdro\u017ceniu CRA?<\/span><\/div>

CRA uwzgl\u0119dnia specyfik\u0119 mikro-, ma\u0142ych i \u015brednich przedsi\u0119biorstw. Mikroprzedsi\u0119biorstwa i ma\u0142e firmy mog\u0105 by\u0107 zwolnione z kar za niedotrzymanie 24-godzinnego terminu wczesnego ostrze\u017cenia o aktywnie wykorzystywanej podatno\u015bci lub powa\u017cnym incydencie. Rozporz\u0105dzenie zobowi\u0105zuje te\u017c jednostki notyfikowane do uwzgl\u0119dniania wielko\u015bci przedsi\u0119biorstw przy ustalaniu op\u0142at za ocen\u0119 zgodno\u015bci. Komisja Europejska zapowiedzia\u0142a uproszczony wz\u00f3r dokumentacji technicznej oraz programy wsparcia dla M\u015aP, prowadzone przez pa\u0144stwa cz\u0142onkowskie.<\/p><\/div><\/div><\/div>","protected":false},"excerpt":{"rendered":"

Czym jest Cyber Resilience Act? Cyber Resilience Act (CRA) to rozporz\u0105dzenie Parlamentu Europejskiego i Rady (UE) 2024\/2847, kt\u00f3re ustanawia jednolite horyzontalne wymagania dotycz\u0105ce…<\/p>\n","protected":false},"author":12,"featured_media":9861,"parent":0,"menu_order":0,"comment_status":"closed","ping_status":"closed","template":"","format":"standard","meta":{"_acf_changed":false,"_eb_attr":"","inline_featured_image":false,"_uag_custom_page_level_css":"","footnotes":""},"tags":[],"class_list":["post-9859","articles","type-articles","status-publish","format-standard","has-post-thumbnail","hentry"],"acf":[],"uagb_featured_image_src":{"full":["https:\/\/adaptivegrc.com\/wp-content\/uploads\/2026\/05\/Cyber-Resilience-Act-scaled.png",2560,1920,false],"thumbnail":["https:\/\/adaptivegrc.com\/wp-content\/uploads\/2026\/05\/Cyber-Resilience-Act-150x150.png",150,150,true],"medium":["https:\/\/adaptivegrc.com\/wp-content\/uploads\/2026\/05\/Cyber-Resilience-Act-300x225.png",300,225,true],"medium_large":["https:\/\/adaptivegrc.com\/wp-content\/uploads\/2026\/05\/Cyber-Resilience-Act-768x576.png",640,480,true],"large":["https:\/\/adaptivegrc.com\/wp-content\/uploads\/2026\/05\/Cyber-Resilience-Act-1024x768.png",640,480,true],"1536x1536":["https:\/\/adaptivegrc.com\/wp-content\/uploads\/2026\/05\/Cyber-Resilience-Act-1536x1152.png",1536,1152,true],"2048x2048":["https:\/\/adaptivegrc.com\/wp-content\/uploads\/2026\/05\/Cyber-Resilience-Act-2048x1536.png",2048,1536,true],"logo":["https:\/\/adaptivegrc.com\/wp-content\/uploads\/2026\/05\/Cyber-Resilience-Act-133x100.png",133,100,true]},"uagb_author_info":{"display_name":"\u0141ukasz Krzewicki","author_link":"https:\/\/adaptivegrc.com\/pl\/author\/lukasz-krzewicki\/"},"uagb_comment_info":0,"uagb_excerpt":"Czym jest Cyber Resilience Act? Cyber Resilience Act (CRA) to rozporz\u0105dzenie Parlamentu Europejskiego i Rady (UE) 2024\/2847, kt\u00f3re ustanawia jednolite horyzontalne wymagania dotycz\u0105ce...","_links":{"self":[{"href":"https:\/\/adaptivegrc.com\/pl\/wp-json\/wp\/v2\/articles\/9859","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/adaptivegrc.com\/pl\/wp-json\/wp\/v2\/articles"}],"about":[{"href":"https:\/\/adaptivegrc.com\/pl\/wp-json\/wp\/v2\/types\/articles"}],"author":[{"embeddable":true,"href":"https:\/\/adaptivegrc.com\/pl\/wp-json\/wp\/v2\/users\/12"}],"replies":[{"embeddable":true,"href":"https:\/\/adaptivegrc.com\/pl\/wp-json\/wp\/v2\/comments?post=9859"}],"version-history":[{"count":4,"href":"https:\/\/adaptivegrc.com\/pl\/wp-json\/wp\/v2\/articles\/9859\/revisions"}],"predecessor-version":[{"id":9868,"href":"https:\/\/adaptivegrc.com\/pl\/wp-json\/wp\/v2\/articles\/9859\/revisions\/9868"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/adaptivegrc.com\/pl\/wp-json\/wp\/v2\/media\/9861"}],"wp:attachment":[{"href":"https:\/\/adaptivegrc.com\/pl\/wp-json\/wp\/v2\/media?parent=9859"}],"wp:term":[{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/adaptivegrc.com\/pl\/wp-json\/wp\/v2\/tags?post=9859"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}