Rozporządzenie (UE) 2024/2847 – Akt o cyberodporności (CRA)

Rozporządzenie (UE) 2024/2847 – Akt o cyberodporności (Cyber Resilience Act, CRA) to nowe unijne rozporządzenie wprowadzające horyzontalne wymagania z zakresu cyberbezpieczeństwa dla „produktów z elementami cyfrowymi”. Zostało przyjęte w październiku 2024 r. i zacznie obowiązywać we wszystkich krajach UE bezpośrednio, po okresach przejściowych, od końca 2027 r. Jako menedżer w branży przemysłowej – czy to odpowiedzialny za utrzymanie ruchu, zakupy, czy compliance – warto już teraz zrozumieć, które produkty obejmuje to rozporządzenie, jakie nowe obowiązki nakłada na producentów, importerów i dystrybutorów oraz jak przygotować firmę na nadchodzące zmiany. Poniżej przedstawiamy kluczowe informacje w ujęciu praktycznym, bez prawniczego żargonu, ale z techniczną precyzją – tak, aby ułatwić podjęcie odpowiednich działań przygotowawczych.

Zakres stosowania: jakie produkty obejmuje Akt o cyberodpornośc?

Rozporządzenie (UE) 2024/2847 dotyczy wszelkich „produktów z elementami cyfrowymi” udostępnianych na rynku UE, których przewidywane użycie obejmuje połączenie z innym urządzeniem lub siecią (bezpośrednio bądź pośrednio, fizycznie lub logicznie). Innymi słowy, większość urządzeń lub oprogramowania, które mogą komunikować się z innymi systemami, podlega nowym wymaganiom. W praktyce będą to m.in. urządzenia IoT i elektronika użytkowa (np. smartwatche, telefony komórkowe, inteligentne AGD/RTV, elektroniczne nianie), urządzenia noszone (np. opaski fitness), sprzęt przemysłowy z funkcjami sieciowymi (czujniki i maszyny przemysłowe podłączone do sieci) oraz różnorodne oprogramowanie (systemy operacyjne, aplikacje mobilne i komputerowe, oprogramowanie biznesowe itp.). Istotne jest, że oprogramowanie sprzedawane samodzielnie (jako produkt) również podlega pod CRA, tak samo jak zdalne usługi przetwarzania danych stanowiące integralną część produktu – np. chmurowa usługa sterująca urządzeniem smart home będzie traktowana jako część produktu i musi spełniać wymagania bezpieczeństwa.

Rozporządzenie ma bardzo szeroki zakres, ale przewiduje też wyłączenia dla pewnych kategorii wyrobów, które już są regulowane własnymi przepisami sektorowymi. CRA nie obejmuje m.in.: wyrobów medycznych (objętych rozporządzeniami MDR 2017/745 i 2017/746), pojazdów i ich wyposażenia (objętych m.in. rozporządzeniem 2019/2144 w zakresie homologacji pojazdów), statków powietrznych (rozporządzenie 2018/1139 dot. lotnictwa), ani urządzeń morskich (dyrektywa 2014/90/UE). Te produkty mają odrębne regulacje, często już zawierające wymagania dostosowane do danej branży, więc zostały z zakresu CRA wyłączone. Ponadto nowe przepisy nie dotyczą sprzętu i oprogramowania wyłącznie wojskowego lub przeznaczonego do bezpieczeństwa narodowego (oraz przetwarzania informacji niejawnych). Wyłączone są także części zamienne dostarczane jako zamienniki identycznych komponentów – jeśli oryginalny produkt był legalnie wprowadzony na rynek, to identyczna część nie musi osobno spełniać CRA.

Warto odnotować, że tzw. wolne i otwarte oprogramowanie (open source) nie będzie objęte CRA, o ile nie jest udostępniane w ramach działalności komercyjnej. Jeśli więc dane oprogramowanie jest rozwijane i publikowane nieodpłatnie, poza obrotem rynkowym, jego twórcy (np. społeczność open source) nie są traktowani jak „producenci” w rozumieniu rozporządzenia i nie spoczywają na nich opisane niżej obowiązki. Natomiast gdyby firma wykorzystała komponent open source w swoim wyrobie komercyjnym, to odpowiedzialność za spełnienie wymagań bezpieczeństwa spada na producenta produktu finalnego. Podsumowując, CRA celuje głównie w profesjonalnie wytwarzane i sprzedawane produkty cyfrowe, które trafiają do użytkowników końcowych na rynku wewnętrznym UE.

Dlaczego wprowadzono CRA? Nowe zagrożenia, luka regulacyjna i łańcuch dostaw

Unia Europejska dostrzegła pilną potrzebę wzmocnienia cyberodporności produktów cyfrowych wobec rosnących zagrożeń. W ostatnich latach liczba i różnorodność urządzeń podłączonych do internetu wybuchowo wzrosła – od przemysłowych systemów IoT w fabrykach po inteligentne sprzęty domowe. Niestety poziom cyberbezpieczeństwa tych produktów jest często niski, co objawia się powszechnymi podatnościami oraz niewystarczającym i niespójnym dostarczaniem aktualizacji zabezpieczeń. Wielu producentów nie priorytetyzowało dotąd bezpieczeństwa w całym cyklu życia wyrobu, a użytkownicy często nie mają świadomości ani informacji, które urządzenia są bezpieczne, jak długo będą wspierane aktualizacjami i jak bezpiecznie z nich korzystać. Ta kombinacja czynników prowadzi do podwyższonego ryzyka cyberataków.

Akt o cyberodporności ma wypełnić lukę regulacyjną – dotychczas brakowało jednolitych, obowiązkowych wymagań co do bezpieczeństwa cyfrowego produktów na poziomie UE. Wprawdzie istniały inicjatywy jak certyfikacje bezpieczeństwa ICT (na mocy Aktu o cyberbezpieczeństwie 2019/881) czy wymogi dyrektywy NIS2 dla sektorów krytycznych, jednak żadne prawo nie nakładało bezpośrednio obowiązku „cyberbezpieczeństwa by design” dla wszystkich urządzeń i oprogramowania wprowadzanych na rynek. CRA tworzy takie właśnie uniwersalne ramy – wymusza, by sprzęt i software były projektowane, wytwarzane i utrzymywane z uwzględnieniem solidnych środków ochrony przez cały cykl życia. Celem jest, aby na rynek trafiały produkty z mniejszą liczbą podatności, a producenci zapewniali szybkie eliminowanie nowych zagrożeń (np. łatkami bezpieczeństwa), zamiast zostawiać użytkowników z dziurawymi urządzeniami.

Kwestia cyberodporności ma również wymiar łańcucha dostaw i transgraniczny. W dobie powszechnego połączenia wszystkiego ze wszystkim incydent w jednym, pozornie nieistotnym urządzeniu, może stać się wektorem ataku na całą organizację lub partnerów biznesowych. Jeden zainfekowany sensor IoT na hali produkcyjnej może otworzyć furtkę do sieci zakładowej; podatność w popularnej aplikacji może w ciągu minut zostać wykorzystana globalnie. Jak podkreślono w uzasadnieniu rozporządzenia, incydent cyber w jednym produkcie może rozprzestrzeniać się w łańcuchu dostaw poza granice jednego kraju w ciągu kilku minut. Koszty takich ataków ponoszą nie tylko producenci i użytkownicy, ale i całe społeczeństwo – zakłócenia infrastruktury krytycznej, straty finansowe, naruszenia bezpieczeństwa publicznego. Wspólne, obowiązkowe zasady w całej UE mają podnieść ogólny poziom ochrony i zapobiec sytuacji, w której najsłabsze ogniwo (nieodporny produkt) zagraża wszystkim.

Dodatkowym motywem jest wzrost zaufania do produktów cyfrowych i wyrównanie warunków konkurencji. Obecnie producenci inwestujący w bezpieczeństwo by design nieraz przegrywają cenowo z tymi, którzy kwestie te ignorują. CRA ma sprawić, że cyberbezpieczeństwo stanie się standardem jakościowym – wszyscy będą musieli spełniać minimalne wymagania, co wyrówna szanse i zmniejszy koszty społeczne ataków (które dziś przerzucane są na ofiary). W efekcie ma to zwiększyć odporność całego rynku UE oraz zaufanie klientów do nowoczesnych urządzeń z elementami cyfrowymi. Akt wpisuje się też w szerszą strategię UE (wraz z RODO, NIS2, DORA itp.) zmierzającą do wzmocnienia cyberbezpieczeństwa usług i produktów jako fundamentu cyfrowej gospodarki.

Rozporządzenie (UE) 2024/2847: Główne obowiązki dla producentów, importerów i dystrybutorów

Nowe rozporządzenie wprowadza szereg konkretnych obowiązków dla podmiotów gospodarczych zaangażowanych w łańcuch dostaw produktów z elementami cyfrowymi. Zakres odpowiedzialności zależy od roli – najwięcej wymaga się od producentów, ale importerzy i dystrybutorzy także mają istotne zadania. Poniżej podsumowujemy kluczowe obowiązki z perspektywy menedżera dbającego o zgodność produktów firmy z przepisami.

Obowiązki producentów

Producent (a także podmiot wprowadzający produkt pod własną marką lub modyfikujący go – on również traktowany jest jak producent) ponosi główną odpowiedzialność za spełnienie wymagań CRA. Do jego najważniejszych zadań należy:

• Zapewnienie zgodności produktu z wymaganiami zasadniczymi cyberbezpieczeństwa określonymi w załączniku I do rozporządzenia. W praktyce oznacza to, że produkt już na etapie projektu i konstrukcji musi posiadać cechy gwarantujące odpowiedni poziom bezpieczeństwa cyfrowego, adekwatny do ryzyka związanego z danym wyrobem. Rozporządzenie wymienia szereg konkretnych wymogów technicznych – m.in. brak znanych podatności na moment wprowadzenia na rynek, stosowanie bezpiecznych konfiguracji domyślnych (np. unikanie domyślnych haseł), szyfrowanie tam gdzie właściwe, zabezpieczenia przed nieautoryzowanym dostępem, ochrona danych osobowych użytkownika, odporność na ataki zakłócające funkcje (np. ataki DoS) oraz możliwość przeprowadzenia resetu do ustawień fabrycznych. Produkt powinien być projektowany tak, aby maksymalnie ograniczyć swoją „powierzchnię ataku” – np. nie posiadać niepotrzebnych otwartych portów czy usług, które zwiększają ekspozycję na cyberzagrożenia. Te wymagania zasadnicze (część I zał. I CRA) stanowią listę kontrolną cech bezpieczeństwa, które każdy produkt cyfrowy musi spełnić.
• Ustanowienie procesu obsługi podatności i incydentów – producent musi aktywnie dbać o bezpieczeństwo produktu po jego sprzedaży, przez cały zadeklarowany okres wsparcia. W części II załącznika I określono wymogi dotyczące procesu obsługi podatności (vulnerability handling): regularne testowanie i monitorowanie pod kątem nowych luk, przyjmowanie zgłoszeń o podatnościach (np. od badaczy lub użytkowników) oraz szybkie usuwanie/łatanie wykrytych podatności poprzez dostarczanie aktualizacji bezpieczeństwa. Producent musi prowadzić politykę koordynowanego ujawniania podatności (coordinated disclosure) – tj. mieć wyznaczony punkt kontaktowy, do którego można zgłaszać problemy, i procedury jak na te zgłoszenia reagować. Ważne jest, by aktualizacje usuwały podatności niezwłocznie i były dystrybuowane w bezpieczny sposób (np. podpisane cyfrowo). Co istotne, producent zobowiązany jest zapewnić wsparcie i aktualizacje zabezpieczeń przez okres odpowiadający przewidywanemu cyklowi życia produktu, minimum 5 lat (chyba że charakter produktu uzasadnia krótszy okres). Innymi słowy, jeśli nasz sprzęt ma typowo służyć klientom ~5+ lat, nie możemy zaprzestać wydawania łatek po roku czy dwóch – wymagane będzie kilkuletnie wsparcie poprodukcyjne, by użytkownik nie został z dziurawym urządzeniem.
• Przeprowadzanie oceny ryzyka cyberbezpieczeństwa – przed wprowadzeniem produktu z elementami cyfrowymi na rynek producent musi wykonać systematyczną analizę ryzyk związanych z cyberzagrożeniami dla tego produktu. Ocena ryzyka powinna być częścią procesu projektowania (security by design) i uwzględniać m.in. przewidziane zastosowanie wyrobu, potencjalne nieprawidłowego zastosowania, warunki użytkowania (środowisko IT, sieć, rodzaj danych, które urządzenie przetwarza). Na podstawie tej analizy należy zaplanować odpowiednie środki ochronne i uwzględnić je w konstrukcji. Dokumentacja z oceny ryzyka w cyberprzestrzeni staje się elementem dokumentacji technicznej produktu i musi być aktualizowana, jeśli pojawią się nowe zagrożenia. Producent ma obowiązek przechowywać dokumentację co najmniej 10 lat od wprowadzenia produktu do obrotu (a jeżeli zadeklarowany okres wsparcia jest dłuższy niż 10 lat – to odpowiednio dłużej). Ocena ryzyka nie jest jednorazowa – powinna być weryfikowana i uaktualniana w razie potrzeby, szczególnie gdy wykryte zostaną nowe podatności lub zmieni się kontekst użycia produktu.
• Nadzór nad komponentami zewnętrznymi – producent musi dochować należytej staranności przy korzystaniu z komponentów firm trzecich, w tym bibliotek open source. Należy zapewnić, że zewnętrzne komponenty (softwarowe i sprzętowe) nie kompromitują cyberbezpieczeństwa całości produktu. W praktyce oznacza to konieczność kontrolowania wersji i aktualizacji użytych bibliotek, monitorowania znanych podatności (np. publikowanych w CVE) w tych komponentach oraz ich aktualizowania/podmieniania gdy pojawią się luki. Jeżeli w produkcie wykorzystano otwarte oprogramowanie i wykryto w nim podatność, producent ma obowiązek poinformować podmiot odpowiedzialny za utrzymanie tego open source (np. projekt open source) o zaistniałym problemie, a gdy samodzielnie usunie podatność we własnym zakresie – przekazać społeczności informacje o naniesionej poprawce. Ma to na celu włączenie producentów w ekosystem koordynowanego łatana luk również w komponentach open source.
• Formalna ocena zgodności i dokumenty – zanim produkt trafi na rynek, producent musi przeprowadzić procedurę oceny zgodności z wymaganiami CRA i sporządzić dokumentację potwierdzającą spełnienie wymagań. W przypadku większości „zwykłych” produktów (niezaliczonych do kategorii podwyższonego ryzyka) wystarczające będzie wewnętrzne sprawdzenie (ocena wewnętrzna) i przygotowanie dokumentacji technicznej zawierającej m.in. opis produktu, wyniki analizy ryzyka, listę zastosowanych środków bezpieczeństwa, procedury testowania i aktualizacji itp. Następnie producent wystawia deklarację zgodności UE, w której oświadcza, że wyrób spełnia wszystkie mające zastosowanie wymagania CRA, i umieszcza na produkcie oznakowanie CE. Uwaga: jeżeli dany produkt został zaklasyfikowany jako „ważny” lub „krytyczny” pod względem cyberbezpieczeństwa (Annex III i IV CRA), mogą go dotyczyć ostrzejsze procedury oceny zgodności. Dla wyrobów istotnych (ważnych) klasy II oraz krytycznych wymagana będzie certyfikacja przez trzecią stronę, tzn. badanie i certyfikat wydany przez jednostkę notyfikowaną (np. akredytowane laboratorium). Dla produktów ważnych klasy I dopuszczono samocertyfikację tylko jeśli istnieją odpowiednie zharmonizowane normy, z których producent skorzysta – w przeciwnym razie również potrzebny jest udział strony trzeciej. Menedżer powinien więc ustalić, do której kategorii należy produkt firmy i czy konieczne będzie zaplanowanie zewnętrznej certyfikacji (co może wpłynąć na harmonogram wprowadzenia produktu na rynek).
• Monitorowanie bezpieczeństwa po wprowadzeniu na rynek i raportowanie – nowością wprowadzoną przez CRA jest obowiązek zgłaszania poważnych problemów bezpieczeństwa do odpowiednich organów. Producent musi notyfikować każde aktywnie wykorzystywane podatności swojego produktu oraz każdy poważny incydent mający wpływ na bezpieczeństwo produktu do krajowego CSIRT (zespołu reagowania) wyznaczonego jako koordynator oraz do agencji ENISA. Czas na zgłoszenie jest bardzo krótki – wynosi 24 godziny od wykrycia podatności/zdarzenia (analogicznie do rygorów RODO czy NIS2). Zgłoszenia będą odbywać się przez jednolitą europejską platformę prowadzoną przez ENISA. Obowiązek raportowania wejdzie w życie wcześniej niż reszta wymagań (wrzesień 2026 – patrz terminy poniżej) i będzie dotyczył wszystkich produktów na rynku od tego momentu. Dlatego producent musi mieć wewnętrzne procedury zdolne wykryć incydent/podatność i w ciągu doby przekazać informacje wymagane przez rozporządzenie. Celem jest dostarczenie organom nadzoru przeglądu pojawiających się zagrożeń i skoordynowanie reakcji (np. ostrzeżenie innych użytkowników, gdy dany produkt ma krytyczną lukę).

Powyższe obowiązki wymuszają często spore zmiany organizacyjne – od wdrożenia Secure SDLC w dziale R&D, przez nowe polityki utrzymania i wsparcia produktów, po dodatkową dokumentację i szkolenia personelu. W zamian za to firma zyskuje większą pewność, że jej wyrób nie stanie się źródłem groźnego cyberincydentu, a także zgodność z nadchodzącym prawem, co umożliwi dalszą sprzedaż na rynku UE.

Rozporządzenie (UE) 2024/2847: Obowiązki importerów i dystrybutorów

Podmioty, które sprowadzają produkty z elementami cyfrowymi spoza UE (importerzy) lub dalej je odsprzedają na rynku unijnym (dystrybutorzy), również muszą dbać o zgodność tych wyrobów z CRA. Ich rola polega głównie na weryfikacji oraz reagowaniu na ewentualne niezgodności.

Importer przed wprowadzeniem produktu na rynek UE musi sprawdzić, czy producent wywiązał się ze swoich obowiązków – innymi słowy, czy produkt posiada wymagane CE i deklarację zgodności UE, czy dołączono instrukcje i informacje bezpieczeństwa, oraz czy producent opracował wymaganą dokumentację techniczną. Importer nie musi sam testować cyberbezpieczeństwa produktu, ale jeśli ma uzasadnione wątpliwości co do zgodności wyrobu z wymaganiami (np. brak oznakowania CE, brak informacji o okresie wsparcia itp.), nie powinien udostępniać takiego produktu na rynku dopóki nie upewni się, że niezgodność została usunięta. W razie stwierdzenia, że produkt nie spełnia wymagań CRA, importer jest zobowiązany poinformować organy nadzoru oraz podjąć działania naprawcze – zapewnić doprowadzenie produktu do zgodności, a jeśli to niemożliwe, wycofać go z obrotu lub z rynku. Importerzy, podobnie jak producenci, muszą przechowywać kopię deklaracji zgodności i dbać o to, by dokumentacja techniczna była dostępna dla organów na żądanie. Powinni także umieścić na produkcie (lub opakowaniu) swoje dane kontaktowe i zapewnić, że produkt jest właściwie oznakowany. W praktyce rola importera sprowadza się do bramki bezpieczeństwa – ma nie dopuścić do dystrybucji w UE produktów, które nie mają „papierów” świadczących o spełnieniu CRA.

Dystrybutorzy (krajowi hurtownicy, sprzedawcy detaliczni itp.) znajdują się w podobnej sytuacji co importerzy, z tą różnicą, że weryfikują spełnienie wymagań zarówno przez producenta, jak i ewentualnego importera jeśli produkt pochodzi spoza UE. Dystrybutor przed dalszą odsprzedażą powinien zatem sprawdzić, czy towar ma naniesiony znak CE, dołączoną deklarację lub instrukcje wymagane przez prawo, oraz czy nie wydano publicznie komunikatów o tym, że dany model jest niezgodny z wymogami bezpieczeństwa. W razie wątpliwości również ma obowiązek wstrzymać sprzedaż do czasu wyjaśnienia sprawy. Jeżeli uzna (lub zostanie poinformowany), że produkt stwarza poważne zagrożenie lub nie spełnia wymagań CRA, powinien powiadomić o tym producenta lub importera oraz organy nadzoru i współpracować przy działaniach naprawczych (np. przy akcjach wycofania z rynku).

Z perspektywy menedżera ds. zakupów te regulacje oznaczają konieczność większej czujności przy wyborze dostawców sprzętu/oprogramowania. Trzeba upewniać się, że kontrahenci spoza UE dostarczają produkty już zgodne z CRA, bo inaczej nasze przedsiębiorstwo (jako importer) poniesie odpowiedzialność za braki. Dla dystrybutora (np. firmy handlującej automatyką) dochodzi obowiązek monitorowania, czy produkty różnych marek, które ma w ofercie, posiadają aktualne deklaracje zgodności i spełniają wymagania – w praktyce będzie to wymagało bliskiej współpracy z producentami i szybkiej reakcji na wszelkie alerty bezpieczeństwa dotyczące sprzedawanych urządzeń.

Warto zauważyć: jeśli importer lub dystrybutor wprowadza produkt pod własnym logo/marką albo modyfikuje produkt (np. zmienia jego funkcjonalność, oprogramowanie lub konfigurację w sposób istotny dla cyberbezpieczeństwa), to zgodnie z rozporządzeniem sam staje się producentem tego wyrobu. Wówczas musi przejąć wszystkie obowiązki producenta (przeprowadzić ocenę zgodności, wystawić własną deklarację itd.). Ta sytuacja dotyczy np. firm integrujących systemy, które sprzedają urządzenia OEM pod swoim brandem – muszą one bardzo uważać, bo formalnie odpowiadają za zgodność tak samo jak oryginalny wytwórca.

Terminy wejścia w życie i okresy przejściowe

Rozporządzenie (UE) 2024/2847 opublikowano w Dzienniku Urzędowym 20 listopada 2024 r. Wejście w życie nastąpiło 10 grudnia 2024 (20 dni od publikacji), jednak główne obowiązki zaczną obowiązywać dopiero po 36 miesiącach od tej daty. Ustawodawca przewidział bowiem długi okres przejściowy, aby dać branży czas na dostosowanie. Oto kluczowe daty:

• 11 września 2026 r. – od tego dnia zaczną obowiązywać obowiązki raportowania podatności i incydentów. Producent każdego produktu z elementami cyfrowymi obecnego na rynku UE będzie musiał zgłaszać do właściwych organów wszelkie aktywnie exploitatowane luki oraz poważne incydenty bezpieczeństwa dotyczące jego wyrobu, Ta data następuje 21 miesięcy od wejścia w życie CRA i oznacza, że już w 2026 r. firmy muszą posiadać procedury monitorowania bezpieczeństwa i zgłaszania problemów. Nie jest to zależne od tego, kiedy produkt był wprowadzony na rynek – dotyczy także produktów sprzedanych przed 2026 r., które nadal są używane. Innymi słowy, nawet jeśli urządzenie trafiło do obrotu np. w 2025 r. (przed obowiązywaniem rozporządzenia), a we wrześniu 2026 ujawni się w nim krytyczna podatność, producent ma obowiązek ją zgłosić i usunąć.
• 11 czerwca 2026 r. – od tego dnia mają obowiązywać przepisy dotyczące jednostek notyfikowanych i organów oceny zgodność. Państwa członkowskie do połowy 2026 r. przygotują system wyznaczania i notyfikowania jednostek, które będą uprawnione do certyfikacji produktów (ważnych i krytycznych) pod kątem spełnienia wymagań CRA. Dla producentów istotne jest, by w drugiej połowie 2026 dostępna była już infrastruktura do przeprowadzania wymaganych badań i certyfikacji.
• 11 grudnia 2027 r. – pełne zastosowanie rozporządzenia CRA. Od tego dnia żaden produkt z elementami cyfrowymi, który nie spełnia wymagań CRA, nie może zostać legalnie wprowadzony do obrotu na terenie UE. Termin ten (3 lata od wejścia w życie) to graniczna data, by dostosować produkty i procesy. Po 11.12.2027 wszystkie nowe urządzenia i oprogramowanie sprzedawane w UE muszą być zaprojektowane, wyprodukowane i utrzymywane zgodnie z CRA – inaczej firma naraża się na poważne sankcje. Warto podkreślić, że przepisy przewidują pewną ulgę dla wyrobów już znajdujących się na rynku: jeśli dany produkt (konkretny egzemplarz) został już udostępniony na rynku przed 11 grudnia 2027, to będzie mógł nadal być w obrocie bez spełniania CRA. Jednak dotyczy to tylko jednostkowych egzemplarzy – typ produktu zaprojektowany przed CRA nie zyskuje automatycznie wyłączenia. Każda nowa partia, nowy egzemplarz wprowadzany do sprzedaży po tej dacie musi być zgodny z CRA, chyba że fizycznie znajdował się już w obrocie wcześniej (co w praktyce oznacza np. magazyn u dystrybutora, który już kupił towar przed terminem). Nie można więc obejść przepisów, produkując „na zapas” i sprzedając po 2027 – każdy produkt w momencie wprowadzenia na rynek podlega aktualnym wymaganiom. Wyjątkiem są jeszcze ważne certyfikaty UE badania typu wydane przed tą datą na podstawie innych regulacji – pozostaną ważne do czerwca 2028, chyba że określono krótszy termin.

Dla firm praktyczny wniosek jest taki, że realny deadline to koniec 2027 roku. Od 2028 nie sprzedamy w UE urządzeń niespełniających wymagań CRA. Natomiast już w 2026 trzeba być gotowym na nowe obowiązki raportowania incydentów. Pozostały czas należy wykorzystać na analizę i dostosowanie produktów. Choć 3 lata to pozornie dużo, zmiany mogą okazać się głębokie – lepiej rozpocząć prace z wyprzedzeniem. Poniżej przedstawiamy listę kontrolną działań, które menedżer powinien rozważyć, przygotowując swoją organizację do spełnienia wymogów aktu o cyberodporności.

Rozporządzenie (UE) 2024/2847: Jak się przygotować do 2026/2027 – checklista dla managera

• Zidentyfikuj produkty podlegające CRA – Sporządź listę wyrobów firmy, które są „produktami z elementami cyfrowymi” (sprzęt lub oprogramowanie łączące się z siecią/innymi urządzeniami). Dla każdego określ, czy może zostać uznany za ważny lub krytyczny w rozumieniu rozporządzenia (Annex III/IV) – np. czy pełni istotne funkcje bezpieczeństwa, czy jego kompromitacja może spowodować szeroką szkodę. Od tej klasyfikacji zależy m.in. wymagana procedura oceny zgodności (czy potrzebny będzie udział strony trzeciej).
• Zapoznaj się z wymaganiami i normami – Przeanalizuj zasadnicze wymagania cyberbezpieczeństwa z załącznika I CRA i odnieś je do swoich produktów. Sprawdź, czy istnieją już odpowiednie normy zharmonizowane lub standardy branżowe mogące ułatwić spełnienie wymagań (np. normy z rodziny IEC 62443 dla zabezpieczeń systemów automatyki przemysłowej mogą być pomocne przy projektowaniu zabezpieczeń maszyn). Bądź na bieżąco z pracami normalizacyjnymi – być może pojawią się wytyczne ułatwiające implementację wymogów CRA w twojej dziedzinie.
• Wykonaj analizę luk (gap analysis) – Porównaj aktualny stan swoich produktów i procesów z nowymi wymaganiami. Oceń, na ile obecny poziom zabezpieczeń spełnia wymogi (np. czy urządzenia mają mechanizmy uwierzytelniania, szyfrowania, bezpieczne aktualizacje, itp.). Przeanalizuj proces tworzenia oprogramowania w firmie – czy zasady secure coding są stosowane, czy testy penetracyjne są przeprowadzane, jak szybko reagujecie na zgłoszone podatności. Zidentyfikuj braki i obszary do poprawy w zakresie organizacji (procedury) oraz technologii (funkcje bezpieczeństwa).
• Dostosuj projektowanie i rozwój produktów – Jeśli analiza luk wykaże niedociągnięcia, zaplanuj wdrożenie brakujących mechanizmów i praktyk. Może to obejmować zmiany w architekturze produktu (np. dodanie modułu szyfrowania, zabezpieczenie interfejsów komunikacyjnych), ulepszenie procesu SDLC (Software Development Life Cycle) o elementy threat modeling, code review pod kątem bezpieczeństwa, testy fuzzingu itp., a także ustanowienie nowych polityk bezpieczeństwa produktu. Upewnij się, że zespół R&D traktuje cyberbezpieczeństwo jako wymóg projektowy na równi z funkcjonalnością – rozporządzenie wymusza podejście „security by design/default”.
• Zaplanuj system aktualizacji i wsparcia – Przeanalizuj, czy Twoja firma jest gotowa wspierać produkty odpowiednio długo. Być może trzeba stworzyć harmonogram i zasoby na wydawanie regularnych aktualizacji oprogramowania firmware przez kilka lat od sprzedaży. Sprawdź, czy produkty mają techniczne możliwości aktualizacji (zdalnej lub lokalnej) – jeśli nie, to poważny problem, bo CRA wymaga możliwości eliminowania podatności po sprzedaży. Ustal realistyczny okres wsparcia (minimum 5 lat) i zakomunikuj go użytkownikom. Przygotuj także plan obsługi technicznej zgłoszeń bezpieczeństwa od klientów.
• Przygotuj wymaganą dokumentację – Upewnij się, że dla każdego produktu powstanie kompletna dokumentacja techniczna pod kątem cyberbezpieczeństwa. Powinna ona zawierać m.in. raport z oceny ryzyka, opis architektury zabezpieczeń, listę zastosowanych środków (np. szyfrowania, autoryzacji), wyniki testów bezpieczeństwa, procedury update’ów, politykę ujawniania podatności itp. Ta dokumentacja będzie podstawą do wykazania zgodności w razie kontroli (oraz ewentualnie do przedłożenia jednostce certyfikującej). Zorganizuj też proces jej archiwizacji przez wymagany okres (10 lat lub więcej). Dodatkowo, przygotuj wzorce deklaracji zgodności UE dla swoich produktów – pamiętając, że musi się w nich znaleźć nowe sformułowanie potwierdzające spełnienie wszystkich wymagań rozporządzenia.
• Zadbaj o łańcuch dostaw – Skontaktuj się z dostawcami komponentów (zwłaszcza oprogramowania, modułów IoT itp.), aby omówić kwestie zgodności z CRA. Zaktualizuj umowy z dostawcami, wprowadzając klauzule o wymaganym poziomie cyberbezpieczeństwa podzespołów i obowiązku informowania o wykrytych podatnościach. Upewnij się, że masz dostęp do informacji o pochodzeniu i wersjach komponentów (utrzymuj SBOM – Software Bill of Materials dla produktów, co ułatwi śledzenie podatności w zależnych bibliotekach). Jeśli korzystasz z zewnętrznych usług chmurowych powiązanych z produktem, sprawdź ich zabezpieczenia i zgodność z NIS2 (bo SaaS może podlegać NIS2 zamiast CRA). Cyberbezpieczeństwo produktu to także bezpieczeństwo wszystkich klocków, z których się składa – dostawcy muszą grać do jednej bramki.
• Przeszkól personel i uświadom klientów – Nowe obowiązki sprawiają, że różne działy firmy muszą mieć podstawową wiedzę o CRA. Przeprowadź szkolenia dla działu projektowego, jakości, IT i serwisu na temat wymagań rozporządzenia i wewnętrznych procedur (np. jak reagować na zgłoszenie podatności, jak dokumentować zmiany pod kątem zgodności). Warto również poinformować dział zakupów i sprzedaży, aby byli świadomi nowych oznaczeń i deklaracji (np. konieczności sprawdzania, czy dostawca spoza UE dostarczył deklarację zgodności). Rozważ przygotowanie dla klientów informacji o polityce bezpieczeństwa Waszych produktów – transparentność w tym zakresie może stać się atutem handlowym (użytkownicy zaczną zwracać uwagę, czy dany wyrób spełnia wymogi cyber i ma zagwarantowane aktualizacje).
• Monitoruj wytyczne i terminy – Śledź komunikaty Komisji Europejskiej i organów krajowych dotyczące CRA. Mogą pojawiać się akty delegowane lub wykonawcze doprecyzowujące pewne kwestie (np. wyłączenia sektorowe – Komisja może zdecydować o wyłączeniu spod CRA produktów, które są objęte równoważnymi wymaganiami sektorowymi). Obserwuj też proces publikacji norm zharmonizowanych – stosowanie normy będzie najprostszą drogą domniemania zgodności. Dopilnuj dotrzymania wspomnianych terminów: wrzesień 2026 (gotowość do raportowania incydentów) i grudzień 2027 (pełna zgodność wszystkich nowych produktów). Najlepiej wyznacz wewnętrzne kamienie milowe dużo wcześniej – np. zakończenie wstępnej analizy ryzyka do połowy 2025, dostosowanie procesu rozwoju do końca 2025, testy zgodności i pre-certyfikacje w 2026, itp., tak aby wejść w 2027 rok z niemal gotowym spełnieniem wymogów. Zaskoczenie na ostatnią chwilę może kosztować wstrzymanie sprzedaży, więc proaktywne podejście jest kluczowe.

Odrobienie tej „pracy domowej” z wyprzedzeniem pozwoli uniknąć nerwowego pośpiechu w 2027 r. i związanych z tym ryzyk. Zamiast traktować CRA tylko jako obowiązek, warto postrzegać je jako okazję do podniesienia ogólnego poziomu bezpieczeństwa produktów – co chroni zarówno firmę, jak i klientów przed kosztownymi incydentami.

CRA a Rozporządzenie Maszynowe (UE) 2023/1230 – co podlega któremu?

Wielu menedżerów z branży przemysłowej zastanawia się, jak nowe przepisy o cyberodporności mają się do znanego już Rozporządzenia Maszynowego (UE) 2023/1230 (które zastąpi Dyrektywę Maszynową). Czy pojawia się dublowanie wymagań, czy może rozporządzenia te uzupełniają się wzajemnie? Kluczowe jest zrozumienie, które aspekty produktu regulują poszczególne akty prawne.

Rozporządzenie Maszynowe 2023/1230 obejmuje bezpieczeństwo maszyn w tradycyjnym sensie – skupia się na ochronie zdrowia i bezpieczeństwa użytkowników maszyn. Określa tzw. zasadnicze wymagania bezpieczeństwa i ochrony zdrowia (EHSR), które dotyczą m.in. aspektów mechanicznych, elektrycznych, ergonomii, hałasu, EMC itp. Nowe rozporządzenie maszynowe wprowadziło co prawda także wymaganie uwzględniania zagrożeń związanych z dostępem do internetu i cyberatakami jako potencjalnego zagrożenia dla bezpieczeństwa. Oznacza to, że producent maszyny musi podczas oceny ryzyka rozważyć scenariusze, w których np. zdalna ingerencja w system sterowania maszyny mogłaby spowodować wypadek. Musi zatem zaprojektować środki zapobiegające takim sytuacjom (np. zabezpieczenia sieciowe uniemożliwiające przejęcie kontroli nad maszyną przez osobę niepowołaną). Jednak rozporządzenie maszynowe reguluje cyberbezpieczeństwo tylko o tyle, o ile wpływa ono na bezpieczeństwo fizyczne ludzi obsługujących maszyny. Jest to jeden z wielu elementów składowych oceny zgodności maszyny, nie zagłębia się natomiast w szczegółowe wymagania typu IT – nie znajdziemy tam listy mechanizmów kryptograficznych ani obowiązku aktualizacji oprogramowania maszyny po sprzedaży. Można to ująć tak, że Rozporządzenie Maszynowe dba o to, by maszyna nie stwarzała zagrożenia życia/zdrowia (także w wyniku cyberincydentu), natomiast CRA dba o ogólne cyberbezpieczeństwo produktu (w tym poufność danych, odporność usług, cały cykl życia).

Akt o cyberodporności obejmuje znacznie szerszy zakres kwestii IT niż rozporządzenie maszynowe. Nawet dla maszyn przemysłowych, CRA narzuca np. wymogi raportowania podatności, zapewnienia aktualizacji przez X lat, ochrony przed utratą danych – czyli sprawy niezwiązane bezpośrednio z bezpieczeństwem użytkownika maszyny, ale z cyberbezpieczeństwem jako takim. W praktyce oznacza to, że maszyna będąca produktem z elementami cyfrowymi będzie podlegać równocześnie przepisom obu rozporządzeń. Producent takiej maszyny musi spełnić wymagania jednego i drugiego aktu – zarówno te dotyczące konstrukcji bezpiecznej pod względem np. mechaniki (Rozporządzenie Maszynowe), jak i te dotyczące zabezpieczenia oprogramowania, sieci i danych (CRA). Spełnienie wymagań jednego rozporządzenia nie oznacza automatycznie zgodności z drugim, ponieważ kryteria oceny są odmienne.

Z punktu widzenia procedury oceny zgodności, produkt podlegający pod więcej niż jedno rozporządzenie UE musi spełniać wszystkie mające zastosowanie przepisy przed oznakowaniem CE. Dla przykładu: producent wypuszczający na rynek kollaboracyjnego robota przemysłowego z funkcją zdalnego monitoringu będzie musiał upewnić się, że robot spełnia zasadnicze wymagania bezpieczeństwa maszyn (rozporz. 2023/1230) oraz zasadnicze wymagania cyberbezpieczeństwa (Rozporządzenie (UE) 2024/2847). Deklaracja zgodności UE takiej maszyny powinna wymieniać oba akty prawne. Z kolei dyrektor utrzymania ruchu kupujący takie urządzenie musi sprawdzić zarówno zgodność z „CE maszynowym”, jak i „CE cyber”. W praktyce oznaczenie CE jest jedno – ale dokumentacja musi dowodzić zgodności ze wszystkimi przepisami nowego podejścia, które dotyczą danego wyrobu.

Warto wskazać kilka przykładów, co podlega pod które rozporządzenie:

• Czysto elektroniczne urządzenia IT (bez funkcji maszynowych) – np. routery, smartfony, kamery IP – nie podlegają pod Rozporządzenie Maszynowe (bo nie są maszynami), ale podlegają pod CRA, jeśli mają elementy cyfrowe i komunikują się sieciowo. W ich przypadku liczy się głównie cyberbezpieczeństwo, a kwestie bezpieczeństwa fizycznego użytkownika nie mają znaczenia (poza ogólnymi przepisami BHP/EMC).
• Maszyny tradycyjne bez połączenia cyfrowego – np. prasa hydrauliczna z czysto analogowym sterowaniem – podlega pod Rozporządzenie Maszynowe (trzeba spełnić wymagania dot. budowy, osłon, obwodów bezpieczeństwa itd.), ale nie podlega bezpośrednio pod CRA, ponieważ nie zawiera elementów cyfrowych komunikujących się na zewnątrz. Oczywiście, jeśli w maszynie jest elektronika sterująca, to sama w sobie może być uznana za sprzęt cyfrowy – jednak dopóki nie ma łączności (np. brak portów sieciowych, brak zdalnego dostępu), to nie spełnia definicji „produkt z elementami cyfrowymi” w rozumieniu CRA.
• Nowoczesne maszyny z funkcjami cyfrowymi – np. roboty, linie produkcyjne z IoT, wózki AGV komunikujące się z systemem zarządzania – podlegają pod oba akty. Tutaj Rozporządzenie Maszynowe wymusi m.in. ocenę ryzyka tradycyjnego (aby maszyna nie stwarzała zagrożeń mechanicznych/elektrycznych) oraz wymóg, by np. zdalny dostęp do robota nie mógł spowodować sytuacji niebezpiecznej (czyli uwzględnienie cyberzagrożeń dla bezpieczeństwa). Z kolei CRA nałoży dodatkowo obowiązek, by ten robot miał ogólnie zabezpieczone oprogramowanie (np. szyfrowane transmisje danych, unikalne hasła), był aktualizowany przez producenta, a w razie wykrycia podatności – by została załatana i zgłoszona do organów. Producent takiego sprzętu musi więc zapewnić odporność na cyberatak zarówno w kontekście bezpieczeństwa ludzi, jak i ciągłości działania, poufności danych itp.

Podsumowując, Rozporządzenie Maszynowe i CRA nie konkurują ze sobą, lecz się dopełniają. Pierwsze dba o bezpieczeństwo funkcjonalne maszyn (w tym minimalne wymagania dot. cyber, aby maszyna była bezpieczna), drugie dba o szersze cyberbezpieczeństwo produktu w całym cyklu życia. Dla managerów oznacza to potrzebę zgodności wieloaspektowej: produkt inteligentny musi być zarówno bezpieczny konstrukcyjnie, jak i cyberbezpieczny. Trzeba więc śledzić wymagania obu regulacji. Na szczęście terminy ich obowiązywania są zbliżone – Rozporządzenie Maszynowe również zacznie być stosowane w praktyce od stycznia 2027 (zastępując dyrektywę), a CRA od końca 2027. Można więc przygotowania do obu połączyć w spójny program compliance. Przykładowo, przy projektowaniu nowej maszyny uwzględnić od razu zarówno wymogi bezpieczeństwa maszyn, jak i zabezpieczenia IT; podczas testów prototypu sprawdzać nie tylko zgodność z normami typu ISO 13849 (safety), ale też np. testy penetracyjne systemu sterowania. Dzięki takiemu podejściu firma zapewni sobie kompleksową zgodność i uniknie sytuacji, w której spełnia jedno prawo kosztem ignorowania drugiego.

Rozporządzenie (UE) 2024/2847 jest z pewnością wyzwaniem dla producentów i dostawców, ale zarazem konieczną odpowiedzią na współczesne realia. Maszyny i urządzenia stają się coraz bardziej inteligentne i połączone – przepisy muszą za tym nadążyć. Menedżerowie, którzy już teraz podejmą działania przygotowawcze, zyskają przewagę: ich firmy nie tylko bezboleśnie wejdą w nowe ramy prawne, ale też zwiększą konkurencyjność i wiarygodność swoich produktów w oczach klientów, dla których bezpieczeństwo cyfrowe staje się równie ważne jak cena czy funkcjonalność. Przy odpowiednim wsparciu ekspertów ds. bezpieczeństwa maszyn i IT, wdrożenie wymogów CRA można potraktować jako element ciągłego doskonalenia, a nie tylko regulacyjny obowiązek. W efekcie skorzysta i przedsiębiorstwo, i użytkownicy końcowi, i cały ekosystem cyfrowy. Bezpieczniejsze produkty to mniejsze ryzyko przestojów, ataków i strat – a to cel, który przyświeca zarówno prawodawcy, jak i odpowiedzialnym uczestnikom rynku.

FAQ: Rozporządzenie (UE) 2024/2847

analiza ryzyka automatyka przemysłowa automatyzacja procesów produkcyjnych automatyzacja produkcji bezpieczeństwo maszyn dokumentacja techniczna dyrektywa ATEX dyrektywa EMC dyrektywa maszynowa 2006/42/WE Instrukcja obsługi integrator automatyki przemysłowej KPI maszyna nieukończona normy zharmonizowane OEE oznakowanie CE Performence level projektowanie maszyn rozporządzenie w sprawie maszyn 2023/1230 Znak CE