Cyber Resilience Act (CRA) – nowe unijne regulacje w zakresie cyberbezpieczeństwa produktów cyfrowych

17 lutego 2025by Joanna Pohl

Artykuł zawiera treści promocyjne oraz lokowanie produktów związanych z ofertą Doradcy365.

W dobie rosnącej liczby cyberzagrożeń i powszechnej cyfryzacji, Unia Europejska wprowadza nowe regulacje mające na celu zwiększenie poziomu bezpieczeństwa produktów cyfrowych. 23 października 2024 roku Parlament Europejski i Rada UE przyjęły Rozporządzenie 2024/2847, znane jako Cyber Resilience Act (CRA).
Nowe przepisy mają na celu podniesienie poziomu bezpieczeństwa produktów cyfrowych w Unii Europejskiej poprzez wprowadzenie horyzontalnych wymagań dotyczących cyberbezpieczeństwa dla producentów i sprzedawców detalicznych, obejmując cały cykl życia produktów zawierających komponent cyfrowy. Nowe przepisy ułatwią konsumentom i przedsiębiorstwom wybór bezpiecznych rozwiązań oraz poprawią ochronę przed zagrożeniami cybernetycznymi.
Przepisy te wejdą w życie 11 grudnia 2027 r. i będą stosowane bezpośrednio w całej UE.
Dlaczego powstał Cyber Resilience Act?

Współczesne produkty cyfrowe, takie jak oprogramowanie, urządzenia IoT czy systemy operacyjne, często zawierają luki bezpieczeństwa, które mogą być wykorzystywane przez cyberprzestępców. W odpowiedzi na rosnące zagrożenia i liczne incydenty, Unia Europejska postanowiła nałożyć nowe obowiązki na producentów i dostawców, aby zapewnić wyższy poziom ochrony użytkowników i systemów IT.

Główne cele CRA obejmują:

Bezpieczne projektowanie produktów cyfrowych – ograniczenie podatności już na etapie projektowania i opracowywania.

Obowiązkowe wymogi cyberbezpieczeństwa – wprowadzenie jednolitych zasad bezpieczeństwa dla sprzętu i oprogramowania.

Większa przejrzystość w zakresie bezpieczeństwa – umożliwienie użytkownikom łatwiejszego identyfikowania produktów spełniających wymogi.

Wzmocnienie odpowiedzialności producentów – zapewnienie długoterminowego wsparcia i szybkiego reagowania na zagrożenia.

Zakres stosowania i podmioty objęte regulacją

Rozporządzenie CRA ma zastosowanie do szerokiej gamy produktów cyfrowych, w tym:

  • Urządzeń IoT (Internetu Rzeczy),
  • Oprogramowania (zarówno komercyjnego, jak i open-source),
  • Sprzętu IT (np. routery, komputery, serwery),
  • Systemów operacyjnych i aplikacji mobilnych,
  • Inteligentnych urządzeń domowych (np. termostaty, zamki elektroniczne, systemy oświetleniowe),
  • Przemysłowych urządzeń IoT wykorzystywanych w produkcji i logistyce.

Rozporządzenie klasyfikuje produkty na podstawie potencjalnego ryzyka cyberbezpieczeństwa:

  • Produkty krytyczne (załącznik IV) – ich naruszenie może prowadzić do poważnych zagrożeń dla bezpieczeństwa. Do tej kategorii zaliczają się m.in. bramy inteligentnych liczników, urządzenia sprzętowe zabezpieczające dane czy systemy transakcji finansowych.
  • Ważne produkty klasy II – mają kluczowe znaczenie dla infrastruktury IT i obejmują zapory sieciowe, systemy wykrywania zagrożeń, oprogramowanie do zarządzania dostępem i uwierzytelniania.
  • Ważne produkty klasy I – ich naruszenie może mieć wpływ na funkcjonowanie systemów IT, ale nie stanowią one krytycznego ryzyka. Należą do nich m.in. przeglądarki internetowe, VPN-y, oprogramowanie antywirusowe czy systemy zarządzania tożsamością.
  • Produkty standardowe – wszelkie inne produkty cyfrowe, które nie należą do kategorii krytycznych ani ważnych, ale podlegają podstawowym wymogom cyberbezpieczeństwa.

Podmioty objęte regulacją to:

  • Producenci – zobowiązani do zapewnienia bezpieczeństwa swoich produktów przez cały cykl ich życia.
  • Importerzy – muszą sprawdzić, czy produkty wprowadzane na rynek spełniają wymogi CRA.
  • Dystrybutorzy – odpowiedzialni za udostępnianie na rynku wyłącznie certyfikowanych produktów.
Najważniejsze wymagania CRA

Nowe rozporządzenie nakłada szereg obowiązków na producentów i dostawców technologii cyfrowych. Kluczowe wymagania obejmują:

1️⃣ Wbudowane cyberbezpieczeństwo (Security by Design)

Każdy produkt cyfrowy musi być projektowany z uwzględnieniem zasad cyberbezpieczeństwa już na etapie jego tworzenia. Konieczne jest ograniczenie ryzyka związanego z podatnościami systemowymi i regularne aktualizacje zabezpieczeń.

2️⃣ Wymóg długoterminowego wsparcia i aktualizacji

Producent musi zapewnić regularne aktualizacje bezpieczeństwa przez co najmniej 5 lat. Użytkownicy muszą otrzymać jasne i zrozumiałe instrukcje dotyczące aktualizacji i konfiguracji zabezpieczeń.

3️⃣ Zgłaszanie podatności i incydentów bezpieczeństwa

Producent ma obowiązek zgłaszania wykrytych luk i podatności do Agencji Unii Europejskiej ds. Cyberbezpieczeństwa (ENISA) w ciągu 24 godzin od ich wykrycia. Incydenty związane z bezpieczeństwem będą musiały być raportowane także użytkownikom wraz z instrukcjami postępowania.

4️⃣ Certyfikacja i ocena zgodności

Produkty muszą spełniać określone standardy bezpieczeństwa przed wprowadzeniem na rynek. W zależności od poziomu ryzyka producent będzie zobowiązany do przeprowadzenia wewnętrznych testów zgodności lub certyfikacji przez niezależne organy.

Produkty objęte regulacją muszą przejść ocenę zgodności, która obejmuje:

  • certyfikację europejską dla produktów krytycznych,
  • ocenę zgodności przeprowadzaną przez zewnętrznych ekspertów dla produktów klasy II,
  • samodzielną weryfikację dla produktów mniej istotnych.

Produkty spełniające wymagania będą oznaczane certyfikatem CE, potwierdzającym zgodność z unijnymi regulacjami.

5️⃣ Sankcje za naruszenia przepisów

Nieprzestrzeganie regulacji może skutkować karami finansowymi do 15 mln euro lub do 2,5% rocznego globalnego obrotu firmy. W przypadku poważnych uchybień produkt może zostać wycofany z rynku.

Zapowiadane zmiany i kolejne etapy wdrożenia

Choć główne przepisy CRA wchodzą w życie w grudniu 2027 roku, Unia Europejska pracuje już nad kolejnymi usprawnieniami w zakresie cyberbezpieczeństwa. Obejmują one: ✔ Dalsze ograniczanie stosowania produktów o niskim poziomie zabezpieczeń – planowane są kolejne normy dotyczące oceny zgodności produktów cyfrowych. ✔ Nowe obowiązki dla dostawców usług cyfrowych – m.in. w zakresie ochrony infrastruktury krytycznej i wymogu stosowania zasad Zero Trust. ✔ Doprecyzowanie zasad dotyczących zgłaszania incydentów – zmiany mają na celu uproszczenie procedur i lepszą koordynację na poziomie krajowym i unijnym.

Jak CRA wpłynie na przedsiębiorstwa i konsumentów?

W odniesieniu do firm technologicznych i producentów:

Większa odpowiedzialność za bezpieczeństwo produktów – producenci są zobowiązani do zapewnienia zgodności produktów z unijnymi normami cyberbezpieczeństwa na każdym etapie cyklu życia, co oznacza konieczność wdrożenia nowych procedur i standardów.

Dodatkowe obowiązki związane z testowaniem i certyfikacją – producenci będą musieli przeprowadzać szczegółowe analizy bezpieczeństwa i spełniać rygorystyczne procedury certyfikacji, szczególnie w przypadku produktów krytycznych.

Konieczność długoterminowego wsparcia i aktualizacji – obowiązek udostępniania poprawek i aktualizacji zabezpieczeń przez co najmniej 5 lat od wprowadzenia produktu na rynek.

Obowiązek reagowania na incydenty cyberbezpieczeństwa – firmy muszą nie tylko monitorować i reagować na zagrożenia, ale także zgłaszać wszelkie wykryte podatności w zabezpieczeniach w ciągu 24 godzin do Agencji Unii Europejskiej ds. Cyberbezpieczeństwa (ENISA).

Sankcje i kary za brak zgodności – za nieprzestrzeganie regulacji grożą wysokie kary finansowe, sięgające do 15 milionów euro lub 2,5% rocznego obrotu firmy.

Zmiany w procesach produkcji i projektowania – przedsiębiorstwa będą musiały wdrożyć podejście security by design, co oznacza uwzględnienie aspektów cyberbezpieczeństwa już na etapie planowania produktu.

Wzrost kosztów operacyjnych – początkowo dla wielu firm nowe wymogi mogą oznaczać konieczność dostosowania procesów i zwiększenie wydatków na cyberbezpieczeństwo, testowanie produktów oraz zatrudnienie ekspertów ds. bezpieczeństwa IT.

W odniesieniu do importerów i dystrybutorów:

Odpowiedzialność za wprowadzane produkty – importerzy i dystrybutorzy będą zobowiązani do sprawdzenia, czy produkty spełniają wymogi CRA i posiadają certyfikację CE.

Konsekwencje prawne za sprzedaż niezgodnych produktów – firmy, które wprowadzą na rynek produkty niespełniające wymogów, mogą zostać pociągnięte do odpowiedzialności i zobowiązane do ich wycofania.

Wzrost kosztów związanych z weryfikacją zgodności – dystrybutorzy będą musieli zainwestować w procedury audytu i oceny produktów przed ich sprzedażą na rynku UE.

W odniesieniu do użytkowników i konsumentów:

Większe bezpieczeństwo urządzeń i oprogramowania – dzięki obowiązkowym zabezpieczeniom i regularnym aktualizacjom zmniejszy się ryzyko cyberataków, oszustw i kradzieży danych.

Lepsza ochrona prywatności i danych osobowych – CRA wprowadza obowiązek stosowania środków ochrony informacji, co oznacza mniejsze prawdopodobieństwo wycieku wrażliwych danych użytkowników.

Większa przejrzystość produktów – konsumenci będą mogli łatwiej identyfikować urządzenia i oprogramowanie spełniające standardy bezpieczeństwa dzięki oznakowaniu CE.

Lepsze wsparcie techniczne i dłuższe wsparcie dla produktów – producenci będą zobowiązani do udostępniania aktualizacji bezpieczeństwa przez co najmniej 5 lat, co wydłuży cykl życia urządzeń i zwiększy ich stabilność.

Możliwość świadomego wyboru bezpiecznych rozwiązań – użytkownicy uzyskają dostęp do jasnych informacji na temat poziomu bezpieczeństwa produktów, co pozwoli im na lepsze decyzje zakupowe.

Termin wdrożenia i znaczenie dla strategii UE

Akt w sprawie cyberodporności wszedł w życie 10 grudnia 2024 r., natomiast obowiązki wynikające z niego zaczną obowiązywać od 11 grudnia 2027 r.

Działania te są częścią szerszej strategii UE w zakresie cyberbezpieczeństwa oraz unii bezpieczeństwa, przyjętej w 2020 roku. Nowe przepisy uzupełniają inne inicjatywy, w tym dyrektywę NIS 2, mającą na celu zwiększenie odporności sieci i systemów informatycznych w całej Unii.

Grupa ekspertów ds. cyberodporności

Aby ułatwić wdrażanie nowych przepisów, powołano grupę ekspertów ds. cyberodporności. Będzie ona wspierać Komisję Europejską w zakresie interpretacji i implementacji aktu, a także doradzać w kwestiach technicznych i legislacyjnych.

Podsumowanie

Cyber Resilience Act (CRA) to jeden z najważniejszych aktów prawnych UE w zakresie cyberbezpieczeństwa. Wprowadza on nowe, rygorystyczne standardy dla produktów cyfrowych, nakładając na producentów obowiązki związane z zapewnieniem ich bezpieczeństwa.

Nowe regulacje dotyczące cyberbezpieczeństwa to istotny krok w kierunku zwiększenia ochrony użytkowników oraz podniesienia standardów w branży technologicznej. Wprowadzenie obowiązkowych wymogów cyberbezpieczeństwa na etapie projektowania i eksploatacji produktów cyfrowych pozwoli na skuteczniejsze przeciwdziałanie zagrożeniom, a oznakowanie CE ułatwi konsumentom podejmowanie świadomych decyzji zakupowych. Akt w sprawie cyberodporności stanowi kolejny krok w budowaniu bardziej bezpiecznego ekosystemu cyfrowego w Unii Europejskiej.

Czy Twoja firma jest gotowa na CRA?

Jeśli Twoja firma działa w branży IT, IoT lub zajmuje się dystrybucją produktów cyfrowych, warto już teraz rozpocząć przygotowania do wdrożenia nowych wymogów. Skontaktuj się z naszym zespołem ekspertów w zakresie cyberbezpieczeństwa i uzyskaj wsparcie w dostosowaniu się do nowych regulacji!

📩 Masz pytania? Skontaktuj się z nami!

Skorzystaj z naszej pomocy już dziś i uzyskaj wsparcie.

Masz więcej pytań? Zapraszamy do kontaktu

Powyższy artykuł został opracowany przy wsparciu narzędzi AI z wykorzystaniem materiałów wygenerowanych przez model językowy ChatGPT. Treść została zredagowana i zweryfikowana przez autora publikacji.

Nasi Klienci
Zaufali nam

logo lasy państwowe
logo uni przyr wroc
logo warszawa
lot crew
gmina smołdzino
logo miasto otwock
ford
logo rmf
bez tytułu
logo dp
logo trzebińskie centrum kultury
uw olsztyn
pup toruń
logo lp piła
nadleśnictwo krotoszyn
logo uni rol krak
vicotel
holcim
Dane naszej firmyDORADCY 365 Sp. z o.o.
53-135 Wrocław
ul. Januszowicka 5

Obsługujemy Klientów z całej Polski
Jesteśmy po toaby odciążyć Cię od biurokratycznych procedur
Bądż na bieżąco Zaobserwuj nas w mediach społecznościowych

Copyright DORADCY365