Ten artykuł należy do cyklu o akcie o cyberodporności (CRA); kontekst znajdziesz we wprowadzeniu do CRA. Pytanie „od kiedy to obowiązuje?” pada zawsze jako jedno z pierwszych — a w przypadku CRA odpowiedź nie jest pojedynczą datą. Rozporządzenie wprowadza stosowanie etapami.
Od kiedy obowiązuje CRA?
CRA weszło w życie 10 grudnia 2024 r., a pełne stosowanie rozpoczyna się 11 grudnia 2027 r.
Zgodnie z art. 71 ust. 1 rozporządzenie weszło w życie dwudziestego dnia po publikacji w Dzienniku Urzędowym Unii Europejskiej (publikacja: 20 listopada 2024 r.). Zasadnicza data stosowania to 11 grudnia 2027 r. (art. 71 ust. 2) — od tego dnia produkty z elementami cyfrowymi wprowadzane na rynek muszą spełniać pełny zestaw wymagań.
Jakie są kluczowe daty wdrożenia CRA?
CRA przewiduje trzy etapy stosowania: notyfikację jednostek od 11 czerwca 2026 r., obowiązki sprawozdawcze od 11 września 2026 r. oraz pełne stosowanie od 11 grudnia 2027 r.
| Data | Co zaczyna obowiązywać | Podstawa |
|---|---|---|
| 10 grudnia 2024 r. | Wejście w życie rozporządzenia | art. 71 ust. 1 |
| 11 czerwca 2026 r. | Rozdział IV — notyfikacja jednostek oceniających zgodność (art. 35–51) | art. 71 ust. 2 |
| 11 września 2026 r. | Art. 14 — obowiązki sprawozdawcze (zgłaszanie podatności i incydentów) | art. 71 ust. 2 |
| 11 grudnia 2027 r. | Pełne stosowanie rozporządzenia | art. 71 ust. 2 |
Dlaczego niektóre przepisy stosuje się wcześniej?
Rozporządzenie uruchamia wcześniej te elementy, które muszą działać, zanim ruszy pełny reżim: infrastrukturę oceny zgodności i raportowanie zagrożeń.
- 11 czerwca 2026 r. — notyfikacja jednostek (art. 35–51)
- Rozdział IV uruchamia się wcześniej, aby państwa członkowskie zdążyły wyznaczyć i notyfikować jednostki oceniające zgodność. Bez działających jednostek notyfikowanych producenci ważnych i krytycznych produktów nie mogliby przejść oceny zgodności na czas.
- 11 września 2026 r. — obowiązki sprawozdawcze (art. 14)
- Obowiązek zgłaszania aktywnie wykorzystywanych podatności i poważnych incydentów rusza ponad rok przed pełnym stosowaniem — szczegóły w artykule Zgłaszanie aktywnie wykorzystywanych podatności i poważnych incydentów w CRA.
Z naszego doświadczenia trzyletnie vacatio bywa mylnie odczytywane jako „mamy czas do 2027 roku”. W praktyce zaprojektowanie zgodnego produktu, wdrożenie procedur podatnościowych i przejście oceny zgodności (zwłaszcza przez stronę trzecią) zajmuje kilkanaście miesięcy. Do tego dochodzi obowiązek raportowania ruszający we wrześniu 2026 r. Warto zestawić ten harmonogram z terminami zgłaszania incydentów w KSC/NIS2, które już teraz obowiązują podmioty kluczowe i ważne.
Co zrobić w pierwszej kolejności?
Punktem startowym jest inwentaryzacja produktów i ich kwalifikacja: które są objęte CRA i do której klasy należą.
Pierwsze kroki to: ustalenie, które produkty są „produktami z elementami cyfrowymi” (zob. Kogo dotyczy CRA), ich klasyfikacja (zob. Klasyfikacja produktów w CRA), a następnie zaplanowanie ścieżki oceny zgodności z odpowiednim wyprzedzeniem względem 11 grudnia 2027 r.
Jak możemy Ci pomóc?
W Legal Geek układamy harmonogram dostosowania do CRA dopasowany do portfela produktów — z kamieniami milowymi dla raportowania (wrzesień 2026) i pełnej zgodności (grudzień 2027). Pomagamy ustawić priorytety tak, aby ocena zgodności nie stała się wąskim gardłem tuż przed terminem.
Co dalej w cyklu?
- Akt o cyberodporności (CRA) — wprowadzenie
- Kogo dotyczy CRA — czym jest „produkt z elementami cyfrowymi”
- Klasyfikacja produktów w CRA — zwykłe, ważne i krytyczne
- Zgłaszanie aktywnie wykorzystywanych podatności i poważnych incydentów
- Ocena zgodności, oznakowanie CE i dokumentacja techniczna
