Od 11 grudnia 2027 r. każdy producent sprzętu i oprogramowania wprowadzanego na rynek Unii Europejskiej będzie musiał spełnić jednolite, horyzontalne wymagania w zakresie cyberbezpieczeństwa. Podstawą jest rozporządzenie Parlamentu Europejskiego i Rady (UE) 2024/2847 z dnia 23 października 2024 r. — w skrócie CRA (Cyber Resilience Act), po polsku akt o cyberodporności. To pierwsza unijna regulacja, która obejmuje cyberbezpieczeństwem nie konkretną branżę, lecz sam produkt: od inteligentnej żarówki, przez router, po oprogramowanie antywirusowe. Z naszego doświadczenia w pracy z firmami technologicznymi, fintechami i producentami IoT widzimy, że skala tego obowiązku wciąż jest niedoszacowana — a kary sięgają 15 mln euro lub 2,5% światowego obrotu.
Ten artykuł otwiera cykl 13 wpisów, w których krok po kroku omawiamy konkretne obowiązki wynikające z CRA — od zakresu zastosowania, przez klasyfikację produktów i wymagania zasadnicze, aż po ocenę zgodności, nadzór rynku i sankcje.
Co to jest CRA (akt o cyberodporności)?
CRA to rozporządzenie UE 2024/2847 ustanawiające horyzontalne wymagania w zakresie cyberbezpieczeństwa dla produktów z elementami cyfrowymi wprowadzanych na rynek unijny.
Pełna nazwa aktu to rozporządzenie Parlamentu Europejskiego i Rady (UE) 2024/2847 z dnia 23 października 2024 r. w sprawie horyzontalnych wymagań w zakresie cyberbezpieczeństwa w odniesieniu do produktów z elementami cyfrowymi oraz w sprawie zmiany rozporządzeń (UE) nr 168/2013 i (UE) 2019/1020 i dyrektywy (UE) 2020/1828 (akt o cyberodporności). Akt opublikowano w Dzienniku Urzędowym Unii Europejskiej 20 listopada 2024 r., a jego podstawą traktatową jest art. 114 TFUE (rynek wewnętrzny). Zgodnie z art. 1 rozporządzenie ustanawia m.in. przepisy dotyczące udostępniania na rynku produktów z elementami cyfrowymi w celu zapewnienia ich cyberbezpieczeństwa, a także zasadnicze wymagania dotyczące projektowania, opracowywania i wytwarzania takich produktów oraz obowiązki podmiotów gospodarczych.
CRA jest rozporządzeniem, a więc obowiązuje bezpośrednio we wszystkich państwach członkowskich — nie wymaga transpozycji do polskiej ustawy, choć Polska wyznaczy organy nadzoru i doprecyzuje przepisy proceduralne.
Czym jest „produkt z elementami cyfrowymi”?
Produkt z elementami cyfrowymi to — zgodnie z art. 3 pkt 1 CRA — oprogramowanie komputerowe lub sprzęt komputerowy oraz powiązane z nimi rozwiązania zdalnego przetwarzania danych.
To definicja celowo szeroka. Obejmuje zarówno urządzenia fizyczne (routery, kamery, sterowniki, zabawki podłączone do internetu, urządzenia medyczne do noszenia), jak i samo oprogramowanie (systemy operacyjne, aplikacje, oprogramowanie antywirusowe, menedżery haseł). Do zakresu wchodzą również rozwiązania zdalnego przetwarzania danych — np. funkcjonalność chmurowa, bez której produkt nie pełniłby swojej funkcji (sterowanie inteligentnym urządzeniem domowym przez aplikację). Granicom zakresu i wyłączeniom (m.in. usługi w chmurze SaaS/PaaS/IaaS objęte dyrektywą NIS2, wyroby medyczne, pojazdy, lotnictwo) poświęcamy osobny artykuł: Kogo dotyczy CRA — czym jest „produkt z elementami cyfrowymi” i co jest wyłączone.
Kogo dotyczy CRA?
CRA dotyczy podmiotów gospodarczych udostępniających produkty z elementami cyfrowymi na rynku unijnym: producentów, importerów, dystrybutorów oraz upoważnionych przedstawicieli.
Główny ciężar obowiązków spoczywa na producencie — to on projektuje produkt, przeprowadza ocenę zgodności, sporządza dokumentację techniczną i odpowiada za bezpieczeństwo przez cały okres wsparcia. Importerzy i dystrybutorzy pełnią rolę kontrolną w łańcuchu dostaw. Rozporządzenie przewiduje też złagodzony, dostosowany reżim dla opiekunów otwartego oprogramowania (ang. open-source software stewards). Role poszczególnych podmiotów rozkładamy na czynniki pierwsze w artykule Podmioty gospodarcze w CRA — producent, importer, dystrybutor, upoważniony przedstawiciel, a sytuację wolnego i otwartego oprogramowania — w tekście Wolne i otwarte oprogramowanie a CRA.
Od kiedy obowiązuje CRA?
CRA weszło w życie 10 grudnia 2024 r., ale pełne stosowanie rozłożono w czasie — najważniejsza data to 11 grudnia 2027 r.
Rozporządzenie przewiduje trzy progi czasowe (art. 71):
| Data | Co zaczyna obowiązywać | Podstawa |
|---|---|---|
| 10 grudnia 2024 r. | Wejście w życie (20. dzień po publikacji z 20.11.2024) | art. 71 ust. 1 |
| 11 czerwca 2026 r. | Rozdział IV — notyfikacja jednostek oceniających zgodność (art. 35–51) | art. 71 ust. 2 |
| 11 września 2026 r. | Art. 14 — obowiązki sprawozdawcze (zgłaszanie podatności i incydentów) | art. 71 ust. 2 |
| 11 grudnia 2027 r. | Pełne stosowanie rozporządzenia | art. 71 ust. 2 |
Choć do pełnego stosowania zostało jeszcze sporo czasu, z naszego doświadczenia projektowanie zgodnego produktu i przejście oceny zgodności trwa kilkanaście miesięcy — a obowiązek zgłaszania aktywnie wykorzystywanych podatności rusza już 11 września 2026 r. Szczegółowy kalendarz omawiamy w artykule Kalendarz CRA — od kiedy stosujemy rozporządzenie.
Jak zbudowane jest rozporządzenie CRA?
CRA składa się z ośmiu rozdziałów i ośmiu załączników, które prowadzą od zakresu zastosowania, przez wymagania i obowiązki, aż po nadzór rynku i kary.
- Rozdział I — Przepisy ogólne (art. 1–11)
- Przedmiot, zakres stosowania, definicje, klasyfikacja produktów ważnych i krytycznych, relacja do ogólnego bezpieczeństwa produktów.
- Rozdział II — Obowiązki podmiotów gospodarczych i przepisy o wolnym i otwartym oprogramowaniu (od art. 13)
- Obowiązki producentów (art. 13), obowiązki sprawozdawcze (art. 14), upoważniony przedstawiciel, importerzy, dystrybutorzy, opiekunowie otwartego oprogramowania.
- Rozdział III — Zgodność produktu (od art. 27)
- Domniemanie zgodności, normy zharmonizowane, oznakowanie CE, dokumentacja techniczna, procedury oceny zgodności.
- Rozdział IV — Notyfikacja jednostek oceniających zgodność (art. 35–51)
- Organy notyfikujące i jednostki notyfikowane przeprowadzające ocenę zgodności przez stronę trzecią.
- Rozdział V — Nadzór rynku i egzekwowanie przepisów (od art. 52)
- Organy nadzoru rynku, kontrola produktów, środki naprawcze i ograniczające.
- Rozdział VI — Przekazane uprawnienia i procedura komitetowa (od art. 61)
- Akty delegowane i wykonawcze Komisji.
- Rozdział VII — Poufność i kary (art. 63–64)
- Zasada poufności oraz administracyjne kary pieniężne.
- Rozdział VIII — Przepisy przejściowe i końcowe (do art. 71)
- Zmiany w innych aktach, przepisy przejściowe, wejście w życie i rozpoczęcie stosowania.
Do tego dochodzą załączniki, w tym kluczowy Załącznik I (zasadnicze wymagania w zakresie cyberbezpieczeństwa — część I dotyczy cech produktu, część II postępowania z podatnościami), Załącznik III (ważne produkty z elementami cyfrowymi, klasa I i II), Załącznik IV (produkty krytyczne) oraz Załącznik VII (dokumentacja techniczna).
Jakie produkty podlegają surowszym wymaganiom?
CRA dzieli produkty na trzy poziomy ryzyka: zwykłe, ważne (klasa I i II) oraz krytyczne — im wyższy poziom, tym surowsza procedura oceny zgodności.
Produkty niesklasyfikowane jako ważne ani krytyczne producent może ocenić samodzielnie (wewnętrzna kontrola produkcji). Ważne produkty z elementami cyfrowymi (Załącznik III — np. menedżery haseł, systemy zarządzania tożsamością, zapory sieciowe, systemy wykrywania włamań) dzielą się na klasę I i II i podlegają bardziej rygorystycznym procedurom. Produkty krytyczne (Załącznik IV — m.in. sprzętowe urządzenia ze skrzynkami zabezpieczającymi oraz bramy inteligentnych liczników) mogą zostać objęte obowiązkiem certyfikacji. Pełną mapę klasyfikacji znajdziesz w artykule Klasyfikacja produktów w CRA — zwykłe, ważne i krytyczne.
Co musi zrobić producent, żeby spełnić CRA?
Producent musi zaprojektować produkt zgodnie z wymaganiami zasadniczymi, ocenić jego zgodność, oznakować go CE i zapewnić obsługę podatności przez cały okres wsparcia.
W skrócie producent: projektuje i wytwarza produkt zgodnie z zasadniczymi wymaganiami w zakresie cyberbezpieczeństwa (Załącznik I część I); wdraża procedury postępowania z podatnościami (Załącznik I część II); przeprowadza ocenę ryzyka w cyberprzestrzeni; sporządza dokumentację techniczną (Załącznik VII); przeprowadza właściwą procedurę oceny zgodności; sporządza deklarację zgodności UE i umieszcza oznakowanie CE; definiuje okres wsparcia wynoszący co do zasady co najmniej pięć lat; oraz zgłasza aktywnie wykorzystywane podatności i poważne incydenty. Obowiązki producenta rozwijamy w artykule Obowiązki producentów i okres wsparcia, wymagania zasadnicze — w Zasadnicze wymagania w zakresie cyberbezpieczeństwa, a postępowanie z podatnościami i SBOM — w Postępowanie z podatnościami i SBOM.
Jakie kary grożą za naruszenie CRA?
Za naruszenie CRA grożą administracyjne kary pieniężne sięgające 15 mln euro lub 2,5% łącznego rocznego światowego obrotu — w zależności od tego, która kwota jest wyższa.
Rozporządzenie przewiduje trzy progi sankcji (art. 64): najwyższy — do 15 000 000 EUR lub 2,5% obrotu — za niezgodność z wymaganiami zasadniczymi (Załącznik I) oraz obowiązkami z art. 13 i 14; do 10 000 000 EUR lub 2% obrotu za naruszenie pozostałych obowiązków; oraz do 5 000 000 EUR lub 1% obrotu za przekazanie jednostkom notyfikowanym lub organom nadzoru rynku informacji nieprawidłowych, niekompletnych lub wprowadzających w błąd. Nadzór rynku i kary szczegółowo omawiamy w artykule Nadzór rynku i kary za naruszenie CRA.
Jak CRA ma się do NIS2, DORA i aktu w sprawie AI?
CRA reguluje bezpieczeństwo samego produktu, podczas gdy NIS2 i DORA regulują bezpieczeństwo organizacji, które takich produktów używają — akty te uzupełniają się.
To rozróżnienie jest praktyczne: ten sam router może być przedmiotem obowiązków producenta z CRA i jednocześnie elementem łańcucha dostaw podmiotu objętego dyrektywą NIS2 (rozporządzenie odsyła m.in. do dyrektywy (UE) 2022/2555). Relacje CRA z dyrektywą NIS2, rozporządzeniem DORA (2022/2554) oraz aktem w sprawie sztucznej inteligencji (2024/1689) rozkładamy w artykule CRA a NIS2, DORA i akt w sprawie sztucznej inteligencji.
Jak możemy Ci pomóc?
W Legal Geek pomagamy producentom sprzętu i oprogramowania, fintechom oraz firmom IoT przygotować się do CRA: od oceny, czy i jak produkt jest objęty rozporządzeniem, przez klasyfikację (zwykły / ważny / krytyczny), po zaprojektowanie procedur postępowania z podatnościami, dokumentacji technicznej i ścieżki oceny zgodności. Jeśli wprowadzasz produkt z elementami cyfrowymi na rynek UE — odezwij się do nas, zanim zrobi to za Ciebie organ nadzoru rynku.
Co dalej w cyklu?
- Kogo dotyczy CRA — czym jest „produkt z elementami cyfrowymi” i co jest wyłączone
- Podmioty gospodarcze w CRA — producent, importer, dystrybutor, upoważniony przedstawiciel
- Kalendarz CRA — od kiedy stosujemy rozporządzenie
- Klasyfikacja produktów w CRA — zwykłe, ważne i krytyczne
- Nadzór rynku i kary za naruszenie CRA
