Ten artykuł należy do cyklu o akcie o cyberodporności (CRA). Punkt wyjścia omawiamy w tekście Akt o cyberodporności (CRA) — wprowadzenie. Tutaj odpowiadamy na pierwsze pytanie, które zadaje każdy producent i importer: czy mój produkt w ogóle podlega rozporządzeniu (UE) 2024/2847?

Czym jest „produkt z elementami cyfrowymi” w rozumieniu CRA?

Produkt z elementami cyfrowymi to — zgodnie z art. 3 pkt 1 CRA — oprogramowanie komputerowe lub sprzęt komputerowy oraz powiązane z nimi rozwiązania zdalnego przetwarzania danych.

Definicja jest szeroka i celowo neutralna technologicznie. Obejmuje produkty, których przeznaczenie lub racjonalnie przewidywalne wykorzystanie obejmuje bezpośrednie lub pośrednie, logiczne lub fizyczne połączenie danych z urządzeniem lub siecią (art. 2 ust. 1). W praktyce dotyczy to zarówno sprzętu (routery, kamery IP, sterowniki przemysłowe, zabawki podłączone do internetu, urządzenia noszone), jak i samego oprogramowania (systemy operacyjne, aplikacje mobilne, oprogramowanie antywirusowe, menedżery haseł).

Co to są „rozwiązania zdalnego przetwarzania danych”?

To przetwarzanie danych na odległość, bez którego produkt z elementami cyfrowymi nie mógłby pełnić jednej ze swoich funkcji.

CRA wciąga do zakresu również funkcjonalność chmurową, jeśli została zaprojektowana przez producenta lub w jego imieniu i jest niezbędna do działania produktu — na przykład usługa w chmurze umożliwiająca sterowanie inteligentnym urządzeniem domowym na odległość. Co istotne, same usługi w chmurze świadczone w modelu SaaS, PaaS lub IaaS nie są produktem z elementami cyfrowymi — podlegają dyrektywie (UE) 2022/2555 (NIS2 / KSC). Granicę tę wyznacza to, czy chmura jest integralną funkcją produktu, czy odrębną usługą.

Kto jest adresatem obowiązków z CRA?

Adresatami CRA są podmioty gospodarcze udostępniające produkty na rynku UE: producenci, importerzy, dystrybutorzy oraz upoważnieni przedstawiciele.

Rozporządzenie stosuje się do produktów udostępnianych na rynku w ramach działalności handlowej — odpłatnie lub w innym modelu monetyzacji. Główny ciężar spoczywa na producencie; importerzy i dystrybutorzy pełnią funkcje kontrolne. Role i obowiązki każdego z tych podmiotów rozkładamy w artykule Podmioty gospodarcze w CRA — producent, importer, dystrybutor, upoważniony przedstawiciel.

Jakie produkty są wyłączone z CRA?

CRA nie stosuje się do produktów, których cyberbezpieczeństwo regulują już inne, sektorowe akty prawa Unii, ani do produktów dla bezpieczeństwa narodowego i obronności.

Zgodnie z art. 2 rozporządzenie nie ma zastosowania m.in. do:

Wyrobów medycznych
Produktów objętych rozporządzeniem (UE) 2017/745 oraz rozporządzeniem (UE) 2017/746 (wyroby medyczne do diagnostyki in vitro) — art. 2 ust. 2 lit. a i b.
Pojazdów silnikowych
Produktów objętych rozporządzeniem (UE) 2019/2144 (homologacja i bezpieczeństwo pojazdów) — art. 2 ust. 2 lit. c.
Lotnictwa cywilnego
Produktów certyfikowanych zgodnie z rozporządzeniem (UE) 2018/1139 — art. 2 ust. 3.
Bezpieczeństwa narodowego i obronności
Produktów opracowanych lub zmodyfikowanych wyłącznie na potrzeby bezpieczeństwa narodowego lub obronności oraz produktów zaprojektowanych specjalnie do przetwarzania informacji niejawnych — art. 2 ust. 7.
Niektórych części zamiennych
Komponentów udostępnianych wyłącznie w celu wymiany identycznych komponentów, wytwarzanych zgodnie z tymi samymi specyfikacjami — art. 2 ust. 6.

Rozporządzenie wyłącza także określone urządzenia objęte zakresem odrębnej dyrektywy sektorowej (art. 2 ust. 4). Z naszego doświadczenia najwięcej wątpliwości budzi granica między CRA a regulacjami sektorowymi — ten sam producent może wytwarzać produkty objęte CRA i wyłączone z niego, dlatego kwalifikację warto przeprowadzić produkt po produkcie.

Jak CRA odnosi się do ogólnego bezpieczeństwa produktów?

Do aspektów i zagrożeń nieobjętych CRA stosuje się odpowiednio rozporządzenie (UE) 2023/988 o ogólnym bezpieczeństwie produktów.

Na zasadzie odstępstwa, zgodnie z art. 11 CRA, do produktów z elementami cyfrowymi w odniesieniu do ryzyka nieobjętego CRA mają zastosowanie wskazane rozdziały rozporządzenia 2023/988. Innymi słowy CRA zajmuje się cyberbezpieczeństwem, a luki w zakresie bezpieczeństwa fizycznego produktu domyka ogólny reżim produktowy.

Jak możemy Ci pomóc?

W Legal Geek przeprowadzamy kwalifikację produktu pod kątem CRA: ustalamy, czy produkt jest „produktem z elementami cyfrowymi”, czy nie podlega wyłączeniu sektorowemu, i jak rozgraniczyć go względem usług chmurowych objętych dyrektywą NIS2. To pierwszy krok, który decyduje o całej dalszej ścieżce zgodności.

Co dalej w cyklu?

Powiązane artykuły