Kogo dokładnie dotyczy CRA?

Każdego producenta, importera oraz dystrybutora wprowadzającego na rynek UE produkt z elementami cyfrowymi (PDE — produkt z elementami cyfrowymi). Obejmuje urządzenia z oprogramowaniem (router, urządzenie medyczne, AGD z funkcjami łączności) oraz oprogramowanie jako produkt (system operacyjny, aplikacja, biblioteka).

Czy model SaaS jest objęty CRA?

Usługa SaaS bez komponentu instalowanego po stronie klienta — co do zasady nie podlega. Biblioteki, komponenty uruchomieniowe (środowisko uruchomieniowe), agenty oraz wtyczki instalowane u klienta — podlegają rozporządzeniu. Rozróżnienie wymaga indywidualnej analizy produktu.

Jak CRA klasyfikuje produkty?

Trzy poziomy. Produkty domyślne — większość produktów, samoocena. Produkty istotne (Załącznik III): klasa I — menedżery haseł, routery, zapory sieciowe, oprogramowanie antywirusowe, systemy operacyjne; klasa II — hipernadzorcy, zapory sieciowe przemysłowe, procesory ogólnego przeznaczenia. Produkty krytyczne (Załącznik IV) — karty inteligentne, elementy bezpieczne, bramki inteligentnych liczników — wymagają oceny zewnętrznej przez jednostkę notyfikowaną.

Czy CRA zastępuje certyfikację cyberbezpieczeństwa (np. ISO 27001)?

Nie zastępuje. CRA dotyczy produktu; ISO 27001 — organizacji (procesów, personelu, polityk). Producent powinien posiadać oba: ISO 27001 dla zarządzania bezpieczeństwem informacji oraz ocenę zgodności CRA dla każdego produktu. Audyty są zazwyczaj komplementarne.

Jakie kary grożą za nieprzestrzeganie CRA?

Art. 64 CRA wprowadza trzy poziomy sankcji (wyższa z dwóch wartości): do 15 mln € lub 2,5% rocznego globalnego obrotu — za naruszenie wymagań zasadniczych oraz obowiązków z art. 13/14; do 10 mln € lub 2% — za inne obowiązki (importerów, ocenę zgodności, oznakowanie CE); do 5 mln € lub 1% — za dostarczenie błędnych, niekompletnych lub wprowadzających w błąd informacji do organów nadzoru. Dodatkowo: zakaz sprzedaży w UE, wycofanie produktu oraz publikacja informacji o niezgodności.

Cyber Resilience Act 2026 — trzy terminy, które producent oprogramowania musi znać

CRA — geneza rozporządzenia

Cyber Resilience Act (Rozporządzenie (UE) 2024/2847) weszło w życie 10 grudnia 2024. Stanowi pierwsze unijne rozporządzenie nakładające horyzontalne wymagania cyberbezpieczeństwa na każdy produkt z elementami cyfrowymi wprowadzany na rynek UE — od urządzeń oświetleniowych z funkcjami łączności, przez routery, po komercyjne oprogramowanie. Komisja Europejska podkreśla, że CRA wypełnia lukę regulacyjną, w której produkty cyfrowe trafiały na rynek UE bez systemowej oceny ryzyka cybernetycznego.

Główne obowiązki producentów:

Bezpieczeństwo wbudowane w projekt w cyklu rozwoju produktu
Zarządzanie podatnościami przez cały cykl życia produktu
Oznakowanie CE uwzględniające wymagania cyberbezpieczeństwa po zakończeniu okresu przejściowego
Raportowanie poważnych incydentów oraz aktywnie wykorzystywanych podatności
Wsparcie techniczne (aktualizacje bezpieczeństwa) przez okres przewidywanej eksploatacji produktu — minimum 5 lat

Pełne stosowanie rozporządzenia rozpoczyna się 11 grudnia 2027; lata 2026–2027 obejmują kluczowe terminy pośrednie.

Klasyfikacja produktów według CRA

CRA wprowadza trzy poziomy klasyfikacji, które determinują tryb oceny zgodności:

Produkty domyślne (większość produktów) — samoocena przez producenta, bez udziału jednostki zewnętrznej
Produkty istotne — Załącznik III:
- Klasa I — menedżery haseł, routery, zapory sieciowe, oprogramowanie antywirusowe, systemy operacyjne, systemy zarządzania tożsamością
- Klasa II — hipernadzorcy, zapory sieciowe przemysłowe, procesory (CPU) ogólnego przeznaczenia
Produkty krytyczne — Załącznik IV — karty inteligentne, elementy bezpieczne, bramki inteligentnych liczników. Wymagana obowiązkowa ocena przez jednostkę notyfikowaną

Klasyfikacja determinuje ścieżkę oceny zgodności (Moduł A / B+C / H) oraz wymóg zaangażowania jednostki zewnętrznej.

Trzy kamienie milowe — wymagania etapowe

11 czerwca 2026 — notyfikacja jednostek oceny zgodności

W życie wchodzą przepisy Rozdziału IV CRA dotyczące notyfikowania jednostek oceny zgodności (CAB). Państwa członkowskie rozpoczynają zgłaszanie do Komisji Europejskiej jednostek uprawnionych do oceny zgodności z CRA. Skutek praktyczny dla producenta: od tej daty możliwe jest nawiązywanie kontaktu z CAB oraz rezerwacja terminu oceny. Dostępność terminów ulegnie szybkiemu wyczerpaniu.

11 września 2026 — raportowanie podatności i incydentów

Najszerszy zakres podmiotowy — dotyczy wszystkich producentów PDE wprowadzonych na rynek UE, niezależnie od klasyfikacji produktu.

Obowiązki raportowe:

24 godziny od wykrycia: zgłoszenie wstępne aktywnie wykorzystywanej podatności lub poważnego incydentu do ENISA
72 godziny: raport pełny
14 dni: raport końcowy zawierający analizę oraz działania naprawcze
Powiadomienie użytkowników — bez zbędnej zwłoki

Kanał raportowania: portal ENISA (planowane uruchomienie czerwiec 2026).

11 grudnia 2027 — pełne stosowanie rozporządzenia

Od tej daty obowiązują wszystkie wymagania materialne CRA, w tym:

Wymagania zasadnicze (Załącznik I) — bezpieczeństwo wbudowane w projekt, zarządzanie podatnościami, domyślnie bezpieczna konfiguracja
Ocena zgodności właściwa dla klasy produktu — samoocena (produkty domyślne), Moduł B+C lub H dla produktów istotnych, obowiązkowa jednostka notyfikowana dla produktów krytycznych
Oznakowanie CE uwzględniające wymagania cyberbezpieczeństwa
Dokumentacja techniczna (Załącznik VII)
Deklaracja zgodności UE
Wsparcie produktu (aktualizacje bezpieczeństwa) przez przewidywany okres eksploatacji — minimum 5 lat

Produkty wprowadzane na rynek UE od 11 grudnia 2027 bez spełnienia powyższych wymagań podlegają sankcjom z art. 64.

Harmonogram wdrożenia dla producenta

Drugi kwartał 2026 (do końca czerwca)

Klasyfikacja produktów: default / important Class I lub II / critical / poza zakresem
Wybór jednostki CAB dla produktów wymagających oceny zewnętrznej oraz rezerwacja terminu
Wdrożenie wykazu komponentów oprogramowania (SBOM) — w praktyce najczęściej stosuje się formaty CycloneDX lub SPDX
Uruchomienie kanału ujawniania podatności (security.txt oraz dedykowany adres e-mail)

Trzeci kwartał 2026 (do września)

Wdrożenie procesu raportowania 24-godzinnego do ENISA: role, kanał komunikacji, osoba zatwierdzająca — obowiązek od 11 września 2026
Udokumentowany cykl bezpiecznego rozwoju oprogramowania — jako dobra praktyka wdrożeniowa odwołuje się zwykle do ISO/IEC 27034, NIST SSDF lub równoważnego modelu
Proces skoordynowanego ujawniania podatności — typowo w oparciu o ISO/IEC 29147 oraz ISO/IEC 30111
Włączenie CRA w ramy ISO 27001/27002 — większość wymaganych kontroli jest już zaimplementowana; wymagane jest ich odwzorowanie na klauzule CRA

Rok 2027 (do grudnia)

Spełnienie wymagań zasadniczych dla wszystkich wprowadzanych produktów
Przeprowadzenie oceny zgodności właściwej dla klasy (samoocena lub przez jednostkę notyfikowaną)
Przygotowanie dokumentacji technicznej (Załącznik VII CRA) oraz deklaracji zgodności UE
Próbny audyt wewnętrzny CRA — identyfikacja luk przed właściwym audytem CAB

CRA i ISO 27001 — komplementarność

W 80% wymagania CRA pokrywają się z systemem zarządzania bezpieczeństwem informacji ISO 27001 (aktualizacja 2022). Organizacje posiadające ISO 27001 mają większość prac wdrożeniowych wykonaną.

W kontekście raportowania incydentów do ENISA pomocne są też oficjalne wytyczne agencji ds. zarządzania podatnościami — definiują format zgłoszenia i ścieżkę eskalacji, której CRA wymaga w terminach 24h/72h/14 dni.

CRA stanowi też naturalne uzupełnienie dyrektywy NIS2 — NIS2 reguluje organizacje, CRA reguluje produkty cyfrowe.

Obszary, w których CRA wykracza poza ISO 27001:

Obszar	ISO 27001	CRA
Zakres	Organizacja	Każdy produkt
SBOM	Nieobjęty	Wymagany (Załącznik I)
Raportowanie do ENISA	Nieobjęte	Wymagane 24h / 72h / 14 dni
Wsparcie produktu	Niesprecyzowane	Minimum 5 lat (lub okres eksploatacji)
Oznakowanie CE	Nieobjęte	Wymagane

Klientom oferujemy audyt zintegrowany: ISO 27001 łącznie z analizą luk CRA w ramach pojedynczego wyjazdu audytora.

Konsekwencje braku zgodności

Art. 64 CRA wprowadza trzypoziomowy system sankcji administracyjnych (stosuje się wartość wyższą):

Poziom	Kara	Zakres naruszenia
I	do 15 mln € lub 2,5% rocznego globalnego obrotu	Naruszenie wymagań zasadniczych (Załącznik I) oraz obowiązków producenta z art. 13 i 14
II	do 10 mln € lub 2% rocznego globalnego obrotu	Naruszenie innych obowiązków — importerów, dystrybutorów, procedur oceny zgodności, oznakowania CE
III	do 5 mln € lub 1% rocznego globalnego obrotu	Dostarczenie błędnych, niekompletnych lub wprowadzających w błąd informacji jednostkom notyfikowanym lub organom nadzoru rynku

Dodatkowe sankcje pozafinansowe:

Zakaz sprzedaży w UE — natychmiastowy, decyzją organu nadzoru rynku
Wycofanie produktów sprzedanych — na koszt producenta
Wpis do publicznego rejestru produktów niezgodnych (konsekwencja reputacyjna o największym ciężarze)

Egzekwowanie CRA jest rygorystyczne od pierwszego dnia obowiązywania — w odróżnieniu od wcześniejszych dyrektyw o łagodnej ścieżce egzekucyjnej.

Rekomendacja końcowa

W praktyce rok 2026 to okres wdrożenia, rok 2027 — pełnej egzekucji. Producent rozpoczynający wdrożenie dopiero w drugiej połowie 2026 prawdopodobnie nie dotrzyma terminu oceny zgodności 11 grudnia 2027 — dostępność terminów w CAB będzie wówczas ograniczona o 6–9 miesięcy.

Rozpoczęcie prac wdrożeniowych powinno nastąpić niezwłocznie.

Autor artykułu

Zespół Multicert

Redakcja Multicert · Akredytacja PCA AC 210

Artykuły przygotowuje zespół audytorów i specjalistów Multicert z wieloletnim doświadczeniem w certyfikacji systemów ISO, wyrobów CE oraz regulacjach UE.

← Wszystkie artykuły 5 kwietnia 2026