TPA Poland 71

Cyber Resilience Act: nowe obowiązki producentów IT i IoT już od 11 września 2026 r.

Grzegorz Antonowicz 13 lip 2026

Cyber Resilience Act (CRA) zacznie w pełni obowiązywać dopiero 11 grudnia 2027 r., jednak pierwsze obowiązki dla producentów oprogramowania, produktów IoT i innych produktów z elementami cyfrowymi wejdą w życie znacznie wcześniej – już 11 września 2026 r.

Jeszcze nie zdąży minąć termin na rejestrację w rejestrze podmiotów kluczowych i podmiotów ważnych w związku z wdrożeniem w Polsce Dyrektywy NIS 2 (przypominamy – 03.10), a już wejdą w życie kolejne obowiązki dla producentów oprogramowania i innych produktów z elementami cyfrowymi, w tym przede wszystkim sprzętów IoT.

Źródłem nowych obowiązków jest Cyber Resilience Act (CRA), czyli rozporządzenie Parlamentu Europejskiego i Rady (UE) 2024/2847 ustanawiające horyzontalne wymagania cyberbezpieczeństwa dla produktów z elementami cyfrowymi. I choć Rozporządzenie CRA w całości wchodzi w życie dopiero 11 grudnia 2027 r., to ważne obowiązki dotyczące zgłaszania podatności i incydentów oraz informowania odbiorców aktywują się już 11 września tego roku, czyli już za dwa miesiące.

Kogo dotyczą nowe obowiązki?

Rozporządzenie CRA dotyczy producentów produktów z elementami cyfrowymi, czyli m.in. producentów:

  • oprogramowania, z wyjątkiem niekomercyjnego oprogramowania open-source,

  • sprzętu komputerowego,

  • produktów IoT, w tym produktów SMART,

  • urządzeń automatyki przemysłowej.

Poza zakresem obowiązywania CRA pozostają wyroby medyczne, pojazdy, lotnictwo oraz wyposażenie morskie.

Najważniejsze obowiązki od 11 września 2026 r.

11 września 2026 r. wchodzą w życie obowiązki wynikające z art. 14 Rozporządzenia CRA, dotyczące zgłaszania aktywnie wykorzystywanych podatności oraz poważnych incydentów oraz informowania o tym użytkowników produktów z elementami cyfrowymi.

Zakres obowiązków zgłoszeniowych

Obowiązki zgłoszeniowe obejmują:

  • obowiązek zgłaszania każdej aktywnie wykorzystywanej podatności zawartej w produkcie z elementami cyfrowymi,

  • obowiązek zgłoszenia każdego poważnego incydentu mającego wpływ na bezpieczeństwo produktu z elementami cyfrowymi,

o których producent się dowiedział.

Zgłoszenia powinny być kierowane do właściwego CSIRT oraz do Agencji Unii Europejskiej ds. Cyberbezpieczeństwa (ENISA).

Terminy na dokonanie zgłoszenia

Rozporządzenie CRA przewiduje w tym zakresie krótkie i rygorystyczne terminy liczone od uzyskania informacji o aktywnie wykorzystywanej podatności lub poważnym incydencie mającym wpływ na bezpieczeństwo produktu z elementami cyfrowymi.

Producent będzie zobowiązany do przekazania:

  • 24 godziny – na wczesne ostrzeżenie,

  • 72 godziny – na „pełne” zgłoszenie.

Następnie:

  • 14 dni na złożenie sprawozdania końcowego dotyczącego zgłoszenia aktywnie wykorzystywanej podatności, liczone od udostępnienia przez producenta środka naprawczego lub łagodzącego,

  • miesiąc na złożenie sprawozdania końcowego dotyczącego zgłoszenia incydentu, liczone od zgłoszenia incydentu.

O czym trzeba informować użytkowników produktów z elementami cyfrowymi?

Producent zobowiązany jest do:

  • poinformowania o wystąpieniu poważnego incydentu mającego wpływ na bezpieczeństwo produktu z elementami cyfrowymi wszystkich użytkowników produktu, na których incydent ma wpływ,

  • poinformowania o wystąpieniu takiego incydentu lub o wystąpieniu aktywnie wykorzystywanej podatności produktu – w stosownych przypadkach – wszystkich użytkowników produktu z elementami cyfrowymi.

Ponadto, w razie potrzeby, producent zobowiązany jest poinformować o środkach łagodzących oraz wszelkich środkach naprawczych, które użytkownicy mogą wdrożyć w celu złagodzenia skutków podatności lub skutków incydentu.

Co to są „aktywnie wykorzystywana podatność” i „incydent poważny”?

Aktywnie wykorzystywana podatność to słabość, wrażliwość lub wada produktu z elementami cyfrowymi, którą można wykorzystać podczas cyberzagrożenia i co do której istnieją wiarygodne dowody, że podmiot działający w złych zamiarach wykorzystał ją w systemie bez zgody właściciela systemu.

Incydent poważny to incydent, który negatywnie wpływa lub może mieć negatywny wpływ na zdolność produktu z elementami cyfrowymi do ochrony dostępności, autentyczności, integralności lub poufności wrażliwych lub ważnych danych lub funkcji lub prowadzi, lub może prowadzić, do wprowadzenia lub uruchomienia kodu złośliwego w produkcie z elementami cyfrowymi lub w sieci i systemach informatycznych użytkownika produktu z elementami cyfrowymi.

Czy to wszystkie obowiązki?

Nie wszystkie. Skoro bowiem CRA wymaga, aby producent niezwłocznie dokonywał zgłoszeń o tym, o czym się dowiedział, to de facto wymaga wdrożenia i obsługi całego procesu zgłaszania i raportowania podatności i incydentów.

W konsekwencji każdy producent oprogramowania, sprzętu komputerowego, produktów IoT, urządzeń automatyki itd. powinien:

  • czytelnie komunikować na swoich stronach lub w swoich kanałach, w jaki sposób należy dokonywać zgłoszeń i jakie informacje w takim zgłoszeniu należy podać (bo są potrzebne do analizy zgłoszenia),

  • zapewnić proces weryfikacji i oceny zgłoszeń pod kątem wpływu na bezpieczeństwo produktu i użytkowników, zwłaszcza pod kątem możliwości wykorzystania podatności w praktyce,

  • opracować poprawkę lub rozwiązanie tymczasowe mitygujące zagrożenie.

A co z sankcjami?

Zgodnie z Rozporządzeniem CRA, niezgodność z obowiązkami określonymi w art. 14 CRA, czyli przepisie obowiązującym już od 11 września, podlega administracyjnej karze pieniężnej w wysokości do 15 000 000 EUR lub do 2,5% łącznego rocznego światowego obrotu.

„Na szczęście” przepisy dotyczące kar administracyjnych wchodzą w życie dopiero 11 grudnia 2027 r., wraz z pozostałą częścią Rozporządzenia.

Nie powinno to jednak stanowić zachęty do pomijania obowiązków, które będą wiązały już od 11 września br. Zwłaszcza że brak kary administracyjnej w żaden sposób nie wpływa na fakt, że niewdrożenie odpowiednich procedur będzie, po pierwsze, niezgodne z obowiązującymi wymogami regulacyjnymi (co z audytem i governance?), a po drugie, może stanowić m.in. naruszenie zbiorowych interesów konsumentów oraz przepisów o ochronie danych osobowych.

Co to oznacza dla producentów IT?

W praktyce oznacza to, że producenci  IT i IoT nie powinni czekać do 2027 r. z wdrożeniem procesów zgodności z CRA.

Już teraz warto sprawdzić, czy organizacja dysponuje procedurami przyjmowania zgłoszeń, oceny podatności, raportowania do CSIRT i ENISA oraz komunikacji z użytkownikami produktów.

Docelowo CRA to nie tylko kolejny akt prawny. To wymóg zbudowania faktycznego procesu zarządzania cyberbezpieczeństwem produktu.

Jak możemy pomóc?

Wspieramy producentów oprogramowania, urządzeń IoT oraz innych produktów z elementami cyfrowymi w przygotowaniu do nowych obowiązków wynikających z Cyber Resilience Act. Pomagamy ocenić zakres obowiązków regulacyjnych, opracować procedury zgłaszania podatności i incydentów, przygotować procesy komunikacji z użytkownikami oraz dostosować organizację do wymogów CRA.

Zapraszamy do kontaktu!

Kontakt
Photo of Grzegorz Antonowicz
Grzegorz Antonowicz
Associate Partner | Radca prawny
Chcesz skorzystać z naszych usług? Wypełnij formularz zapytań ofertowych – to najszybsza droga do kontaktu z właściwym ekspertem.
Zapytanie ofertowe