
Cyber Resilience Act: nowe obowiązki producentów IT i IoT już od 11 września 2026 r.
Cyber Resilience Act (CRA) zacznie w pełni obowiązywać dopiero 11 grudnia 2027 r., jednak pierwsze obowiązki dla producentów oprogramowania, produktów IoT i innych produktów z elementami cyfrowymi wejdą w życie znacznie wcześniej – już 11 września 2026 r.
Jeszcze nie zdąży minąć termin na rejestrację w rejestrze podmiotów kluczowych i podmiotów ważnych w związku z wdrożeniem w Polsce Dyrektywy NIS 2 (przypominamy – 03.10), a już wejdą w życie kolejne obowiązki dla producentów oprogramowania i innych produktów z elementami cyfrowymi, w tym przede wszystkim sprzętów IoT.
Źródłem nowych obowiązków jest Cyber Resilience Act (CRA), czyli rozporządzenie Parlamentu Europejskiego i Rady (UE) 2024/2847 ustanawiające horyzontalne wymagania cyberbezpieczeństwa dla produktów z elementami cyfrowymi. I choć Rozporządzenie CRA w całości wchodzi w życie dopiero 11 grudnia 2027 r., to ważne obowiązki dotyczące zgłaszania podatności i incydentów oraz informowania odbiorców aktywują się już 11 września tego roku, czyli już za dwa miesiące.
Kogo dotyczą nowe obowiązki?
Rozporządzenie CRA dotyczy producentów produktów z elementami cyfrowymi, czyli m.in. producentów:
oprogramowania, z wyjątkiem niekomercyjnego oprogramowania open-source,
sprzętu komputerowego,
produktów IoT, w tym produktów SMART,
urządzeń automatyki przemysłowej.
Poza zakresem obowiązywania CRA pozostają wyroby medyczne, pojazdy, lotnictwo oraz wyposażenie morskie.
Najważniejsze obowiązki od 11 września 2026 r.
11 września 2026 r. wchodzą w życie obowiązki wynikające z art. 14 Rozporządzenia CRA, dotyczące zgłaszania aktywnie wykorzystywanych podatności oraz poważnych incydentów oraz informowania o tym użytkowników produktów z elementami cyfrowymi.
Zakres obowiązków zgłoszeniowych
Obowiązki zgłoszeniowe obejmują:
obowiązek zgłaszania każdej aktywnie wykorzystywanej podatności zawartej w produkcie z elementami cyfrowymi,
obowiązek zgłoszenia każdego poważnego incydentu mającego wpływ na bezpieczeństwo produktu z elementami cyfrowymi,
o których producent się dowiedział.
Zgłoszenia powinny być kierowane do właściwego CSIRT oraz do Agencji Unii Europejskiej ds. Cyberbezpieczeństwa (ENISA).
Terminy na dokonanie zgłoszenia
Rozporządzenie CRA przewiduje w tym zakresie krótkie i rygorystyczne terminy liczone od uzyskania informacji o aktywnie wykorzystywanej podatności lub poważnym incydencie mającym wpływ na bezpieczeństwo produktu z elementami cyfrowymi.
Producent będzie zobowiązany do przekazania:
24 godziny – na wczesne ostrzeżenie,
72 godziny – na „pełne” zgłoszenie.
Następnie:
14 dni na złożenie sprawozdania końcowego dotyczącego zgłoszenia aktywnie wykorzystywanej podatności, liczone od udostępnienia przez producenta środka naprawczego lub łagodzącego,
miesiąc na złożenie sprawozdania końcowego dotyczącego zgłoszenia incydentu, liczone od zgłoszenia incydentu.
O czym trzeba informować użytkowników produktów z elementami cyfrowymi?
Producent zobowiązany jest do:
poinformowania o wystąpieniu poważnego incydentu mającego wpływ na bezpieczeństwo produktu z elementami cyfrowymi wszystkich użytkowników produktu, na których incydent ma wpływ,
poinformowania o wystąpieniu takiego incydentu lub o wystąpieniu aktywnie wykorzystywanej podatności produktu – w stosownych przypadkach – wszystkich użytkowników produktu z elementami cyfrowymi.
Ponadto, w razie potrzeby, producent zobowiązany jest poinformować o środkach łagodzących oraz wszelkich środkach naprawczych, które użytkownicy mogą wdrożyć w celu złagodzenia skutków podatności lub skutków incydentu.
Co to są „aktywnie wykorzystywana podatność” i „incydent poważny”?
Aktywnie wykorzystywana podatność to słabość, wrażliwość lub wada produktu z elementami cyfrowymi, którą można wykorzystać podczas cyberzagrożenia i co do której istnieją wiarygodne dowody, że podmiot działający w złych zamiarach wykorzystał ją w systemie bez zgody właściciela systemu.
Incydent poważny to incydent, który negatywnie wpływa lub może mieć negatywny wpływ na zdolność produktu z elementami cyfrowymi do ochrony dostępności, autentyczności, integralności lub poufności wrażliwych lub ważnych danych lub funkcji lub prowadzi, lub może prowadzić, do wprowadzenia lub uruchomienia kodu złośliwego w produkcie z elementami cyfrowymi lub w sieci i systemach informatycznych użytkownika produktu z elementami cyfrowymi.
Czy to wszystkie obowiązki?
Nie wszystkie. Skoro bowiem CRA wymaga, aby producent niezwłocznie dokonywał zgłoszeń o tym, o czym się dowiedział, to de facto wymaga wdrożenia i obsługi całego procesu zgłaszania i raportowania podatności i incydentów.
W konsekwencji każdy producent oprogramowania, sprzętu komputerowego, produktów IoT, urządzeń automatyki itd. powinien:
czytelnie komunikować na swoich stronach lub w swoich kanałach, w jaki sposób należy dokonywać zgłoszeń i jakie informacje w takim zgłoszeniu należy podać (bo są potrzebne do analizy zgłoszenia),
zapewnić proces weryfikacji i oceny zgłoszeń pod kątem wpływu na bezpieczeństwo produktu i użytkowników, zwłaszcza pod kątem możliwości wykorzystania podatności w praktyce,
opracować poprawkę lub rozwiązanie tymczasowe mitygujące zagrożenie.
A co z sankcjami?
Zgodnie z Rozporządzeniem CRA, niezgodność z obowiązkami określonymi w art. 14 CRA, czyli przepisie obowiązującym już od 11 września, podlega administracyjnej karze pieniężnej w wysokości do 15 000 000 EUR lub do 2,5% łącznego rocznego światowego obrotu.
„Na szczęście” przepisy dotyczące kar administracyjnych wchodzą w życie dopiero 11 grudnia 2027 r., wraz z pozostałą częścią Rozporządzenia.
Nie powinno to jednak stanowić zachęty do pomijania obowiązków, które będą wiązały już od 11 września br. Zwłaszcza że brak kary administracyjnej w żaden sposób nie wpływa na fakt, że niewdrożenie odpowiednich procedur będzie, po pierwsze, niezgodne z obowiązującymi wymogami regulacyjnymi (co z audytem i governance?), a po drugie, może stanowić m.in. naruszenie zbiorowych interesów konsumentów oraz przepisów o ochronie danych osobowych.
Co to oznacza dla producentów IT?
W praktyce oznacza to, że producenci IT i IoT nie powinni czekać do 2027 r. z wdrożeniem procesów zgodności z CRA.
Już teraz warto sprawdzić, czy organizacja dysponuje procedurami przyjmowania zgłoszeń, oceny podatności, raportowania do CSIRT i ENISA oraz komunikacji z użytkownikami produktów.
Docelowo CRA to nie tylko kolejny akt prawny. To wymóg zbudowania faktycznego procesu zarządzania cyberbezpieczeństwem produktu.
Jak możemy pomóc?
Wspieramy producentów oprogramowania, urządzeń IoT oraz innych produktów z elementami cyfrowymi w przygotowaniu do nowych obowiązków wynikających z Cyber Resilience Act. Pomagamy ocenić zakres obowiązków regulacyjnych, opracować procedury zgłaszania podatności i incydentów, przygotować procesy komunikacji z użytkownikami oraz dostosować organizację do wymogów CRA.
Zapraszamy do kontaktu!