Ten artykuł należy do cyklu o akcie o cyberodporności (CRA); kontekst znajdziesz we wprowadzeniu do CRA. To producent jest głównym adresatem obowiązków — art. 13 to najgęstszy przepis rozporządzenia. Tutaj porządkujemy, co konkretnie producent musi zrobić.

Jakie obowiązki ma producent na gruncie CRA?

Producent musi zaprojektować produkt zgodnie z wymaganiami zasadniczymi, ocenić jego zgodność, oznakować go CE i zapewnić obsługę podatności przez cały okres wsparcia.

Zgodnie z art. 13 do podstawowych obowiązków producenta należą:

Zgodność z wymaganiami zasadniczymi
Projektowanie, opracowywanie i wytwarzanie produktu zgodnie z zasadniczymi wymaganiami z Załącznika I część I.
Ocena ryzyka w cyberprzestrzeni
Przeprowadzenie oceny ryzyka i uwzględnienie jej wyniku na etapie projektowania, opracowywania, produkcji oraz utrzymania produktu.
Postępowanie z podatnościami
Zapewnienie skutecznego postępowania z podatnościami zgodnie z Załącznikiem I część II przez cały okres wsparcia oraz posiadanie polityki skoordynowanego ujawniania podatności (art. 13 ust. 8).
Dokumentacja techniczna i ocena zgodności
Sporządzenie dokumentacji technicznej (Załącznik VII), przeprowadzenie właściwej procedury oceny zgodności i sporządzenie deklaracji zgodności UE.
Oznakowanie CE i informacje dla użytkownika
Umieszczenie oznakowania CE oraz dołączenie informacji i instrukcji dla użytkowników (Załącznik II).
Obowiązki sprawozdawcze
Zgłaszanie aktywnie wykorzystywanych podatności i poważnych incydentów (art. 14).

Warto pamiętać, że podobne obowiązki w zakresie bezpieczeństwa produktów ICT i łańcucha dostaw nakłada na podmioty kluczowe i ważne art. 8 lit. e KSC. Podmiot objęty KSC, który jednocześnie produkuje oprogramowanie lub sprzęt, musi zatem działać równolegle w obu reżimach.

Czym jest okres wsparcia w CRA?

Okres wsparcia to czas, w którym producent jest zobowiązany zapewniać skuteczne reagowanie na podatności w zabezpieczeniach produktu.

To jedna z najważniejszych nowości CRA. Definicję zawiera art. 3 pkt 20, a obowiązek — art. 13. Producent określa okres wsparcia tak, aby odzwierciedlał czas, w którym produkt ma być użytkowany, uwzględniając w szczególności uzasadnione oczekiwania użytkowników i charakter produktu.

Jak długo trwa okres wsparcia?

Okres wsparcia wynosi co najmniej pięć lat, chyba że przewidywany czas użytkowania produktu jest krótszy.

Zgodnie z art. 13 okres wsparcia wynosi co najmniej pięć lat; jeżeli oczekuje się, że produkt będzie użytkowany krócej niż pięć lat, okres wsparcia odpowiada przewidywanemu czasowi użytkowania. Produkty przeznaczone do długiego użytkowania (np. systemy kontroli przemysłowej) wymagają odpowiednio dłuższego wsparcia. Z naszego doświadczenia to wymóg, który najmocniej uderza w modele biznesowe oparte na szybkiej wymianie urządzeń — pięć lat aktualizacji zabezpieczeń trzeba zaplanować i sfinansować już na etapie projektu. Obowiązek ten ściśle wiąże się z klasyfikacją produktu — im wyższa klasa, tym surowsze wymagania proceduralne na etapie oceny zgodności.

Jak długo producent przechowuje dokumentację?

Producent przechowuje dokumentację techniczną i deklarację zgodności UE przez co najmniej 10 lat po wprowadzeniu produktu do obrotu lub przez okres wsparcia — w zależności od tego, który okres jest dłuższy.

Ten sam termin (10 lat albo okres wsparcia, jeżeli dłuższy) dotyczy informacji i instrukcji dla użytkowników z Załącznika II. Jeżeli udostępniasz je online, muszą być dostępne przez ten sam czas. Dodatkowo, zgodnie z art. 13, data zakończenia okresu wsparcia musi być znana użytkownikowi w momencie zakupu.

Dla kontekstu: KSC nakłada na podmioty kluczowe obowiązek audytu bezpieczeństwa co 3 lata — art. 15 KSC wymaga udokumentowania wyników i przechowywania sprawozdań. Producent, którego klientami są podmioty KSC, powinien uwzględnić ten cykl przy planowaniu wsparcia i aktualizacji swojego produktu.

Jak możemy Ci pomóc?

W Legal Geek pomagamy ułożyć katalog obowiązków producenta z art. 13 w konkretny plan: ocena ryzyka, dokumentacja techniczna, deklaracja zgodności, polityka podatnościowa i — co praktycznie najtrudniejsze — realny, sfinansowany plan wsparcia produktu na minimum pięć lat. Pomagamy też ustalić właściwy okres wsparcia dla nietypowych produktów.

Co dalej w cyklu?

Powiązane artykuły