Zasadnicze wymagania w zakresie cyberbezpieczeństwa — Załącznik I część I CRA

Ten artykuł należy do cyklu o akcie o cyberodporności (CRA); kontekst znajdziesz we wprowadzeniu do CRA. Sercem rozporządzenia jest Załącznik I — to on przekłada hasło „bezpieczny produkt” na konkretne, egzekwowalne wymagania.

Czym są zasadnicze wymagania w zakresie cyberbezpieczeństwa?

Zasadnicze wymagania to określone w Załączniku I CRA wymagania, które produkt z elementami cyfrowymi musi spełniać, aby mógł być wprowadzony na rynek unijny.

Załącznik I dzieli się na dwie części: część I dotyczy cech produktów z elementami cyfrowymi, a część II — postępowania producenta w przypadku wykrycia podatności. W tym artykule skupiamy się na części I; postępowaniu z podatnościami poświęcamy osobny tekst: Postępowanie z podatnościami i SBOM.

Na czym opiera się spełnienie wymagań zasadniczych?

Spełnienie wymagań zasadniczych opiera się na ocenie ryzyka w cyberprzestrzeni — to ona decyduje, w jakim zakresie i w jaki sposób stosuje się poszczególne wymagania.

Zgodnie z art. 13 producent, wprowadzając produkt do obrotu, uwzględnia wynik oceny ryzyka w cyberprzestrzeni. Dokumentacja techniczna wskazuje, w jaki sposób ma zastosowanie Załącznik I część I pkt 1 oraz w jaki sposób wdrażane są wymagania dotyczące postępowania z podatnościami z Załącznika I część II. To podejście oparte na ryzyku oznacza, że ten sam wymóg może być realizowany inaczej dla prostego czujnika, a inaczej dla menedżera haseł. Ocena ryzyka to zarazem fundament obowiązków producenta z art. 13 — bez niej nie można prawidłowo sporządzić dokumentacji technicznej ani przeprowadzić oceny zgodności.

Co obejmują wymagania dotyczące cech produktu?

Wymagania z Załącznika I część I dotyczą bezpiecznego projektowania, opracowywania i wytwarzania produktu oraz utrzymania jego bezpieczeństwa w trakcie eksploatacji.

Wymagania te realizują zasadę bezpieczeństwa już na etapie projektowania i domyślnie (security by design and by default). Obejmują w szczególności następujące obszary:

Bezpieczne projektowanie oparte na ryzyku

Produkt projektuje się, opracowuje i wytwarza tak, aby zapewniał odpowiedni poziom cyberbezpieczeństwa stosownie do ryzyka.

Bezpieczna konfiguracja domyślna

Produkt dostarcza się z bezpiecznymi ustawieniami domyślnymi, z możliwością przywrócenia produktu do stanu pierwotnego.

Ochrona przed nieuprawnionym dostępem

Produkt zapewnia ochronę dostępu m.in. przez mechanizmy uwierzytelniania i kontroli dostępu.

Ochrona poufności, integralności i dostępności

Produkt chroni poufność i integralność przetwarzanych danych oraz dostępność swoich podstawowych funkcji.

Minimalizacja danych i powierzchni ataku

Produkt przetwarza wyłącznie dane adekwatne do jego funkcji oraz ogranicza powierzchnie podatne na ataki.

Aktualizacje zabezpieczeń

Produkt umożliwia eliminowanie podatności przez aktualizacje zabezpieczeń, w tym — w stosownych przypadkach — automatyczne.

Warto zwrócić uwagę, że zasada security by design jest zbieżna z podejściem stosowanym w systemie zarządzania bezpieczeństwem informacji z art. 8 KSC — obejmującym m.in. polityki bezpieczeństwa w procesie nabywania i rozwoju systemów informacyjnych. Producent udostępniający produkt podmiotom objętym KSC musi zatem uwzględniać wymagania obu reżimów.

Jak wykazać zgodność z wymaganiami zasadniczymi?

Zgodność wykazuje się przez właściwą procedurę oceny zgodności, a stosowanie norm zharmonizowanych daje domniemanie zgodności.

Zgodnie z art. 27 produkty zgodne z normami zharmonizowanymi (lub ich częściami), do których odniesienia opublikowano w Dzienniku Urzędowym UE, korzystają z domniemania zgodności z wymaganiami zasadniczymi objętymi tymi normami. To praktyczne ułatwienie — zamiast dowodzić zgodności „od zera”, producent opiera się na uznanych normach. Ścieżki oceny zgodności i rolę norm zharmonizowanych rozwijamy w artykule Ocena zgodności, oznakowanie CE i dokumentacja techniczna. Na wybór właściwej ścieżki wpływa z kolei klasyfikacja produktu na zwykłe, ważne lub krytyczne.

Jak możemy Ci pomóc?

W Legal Geek pomagamy przełożyć Załącznik I na wymagania projektowe i dokumentacyjne dla konkretnego produktu: od oceny ryzyka w cyberprzestrzeni, przez mapowanie wymagań na normy zharmonizowane, po przygotowanie dokumentacji technicznej. Dzięki temu zespół produktowy wie, co konkretnie musi zaprojektować i udowodnić.

Co dalej w cyklu?

• Akt o cyberodporności (CRA) — wprowadzenie
• Postępowanie z podatnościami i SBOM — Załącznik I część II
• Klasyfikacja produktów w CRA
• Ocena zgodności, oznakowanie CE i dokumentacja techniczna
• Obowiązki producentów i okres wsparcia

Powiązane artykuły

• Art. 8 KSC w praktyce — 14 obszarów systemu zarządzania bezpieczeństwem informacji
• Ustawa o KSC po nowelizacji 2026 — co naprawdę się zmieniło
• Zgłaszanie incydentów poważnych w KSC — terminy 24h, 72h i 1 miesiąc w praktyce