Poznaj rozporządzenie o cyberodporności

Rozporządzenie o cyberodporności (rozporządzenie (UE) 2024/2847) to horyzontalne rozporządzenie UE wprowadzające obowiązkowe wymagania w zakresie cyberbezpieczeństwa dla produktów z elementami cyfrowymi (PEC) wprowadzanych na rynek UE. Weszło w życie 11 grudnia 2024 r.

CRA ma zastosowanie przez cały cykl życia produktu — od projektowania i tworzenia po koniec wsparcia. Ustanawia zasadnicze wymagania bezpieczeństwa (załącznik I), obowiązki dokumentacyjne, reżim zgłaszania podatności oraz procedury oceny zgodności. Celem jest zapewnienie, że produkty sprzętowe i programowe są bezpieczne już od etapu projektowania i pozostają bezpieczne przez cały objęty wsparciem okres eksploatacji.

CRA dotyczy każdego podmiotu gospodarczego, który:

• Produkuje produkty z elementami cyfrowymi i wprowadza je na rynek UE — w tym sprzęt z wbudowanym oprogramowaniem oraz samodzielne produkty programowe
• Importuje produkty od producentów spoza UE i wprowadza je na rynek UE pod własną nazwą lub znakiem towarowym
• Dystrybuuje produkty na rynku UE bez ich modyfikowania
• Zarządcy oprogramowania open source systematycznie udostępniający bezpłatne oprogramowanie open source przeznaczone do użytku komercyjnego

Producenci spoza UE sprzedający produkty na terenie UE są w pełni objęci zakresem stosowania. Muszą wyznaczyć upoważnionego przedstawiciela z siedzibą w UE (art. 17).

Produkt z elementami cyfrowymi (PEC) to każdy produkt programowy lub sprzętowy wraz z rozwiązaniem do zdalnego przetwarzania danych, który ma bezpośrednie lub pośrednie połączenie danych z urządzeniem lub siecią. Ta celowo szeroka definicja obejmuje:

• Konsumenckie urządzenia IoT (inteligentny dom, urządzenia ubieralne, routery)
• Sprzęt przemysłowy z łącznością sieciową
• Samodzielne aplikacje programowe (komputerowe, mobilne, serwerowe)
• Systemy operacyjne i hipernadzorcy
• Komponenty programowe i biblioteki wprowadzane na rynek
• Urządzenia połączone z chmurą, w których producent kontroluje backend

Niektóre sektory są częściowo lub całkowicie wyłączone, w tym wyroby medyczne objęte MDR/IVDR, pojazdy silnikowe objęte rozporządzeniem o homologacji typu, lotnictwo cywilne oraz wyposażenie morskie.

Nie wszystkie produkty z elementami cyfrowymi są traktowane jednakowo. CRA dzieli produkty objęte zakresem stosowania na cztery klasy w oparciu o profil ryzyka cyberbezpieczeństwa, określony w załącznikach III i IV:

• Domyślna — wszystkie produkty objęte zakresem stosowania niewymienione w załączniku III ani IV. Zdecydowana większość produktów z elementami cyfrowymi należy do tej kategorii.
• Ważna — Klasa I (Załącznik III, Klasa I) — produkty stwarzające znaczące ryzyko w zakresie cyberbezpieczeństwa, takie jak oprogramowanie do zarządzania tożsamością, przeglądarki, menedżery haseł i systemy operacyjne ogólnego przeznaczenia.
• Ważna — Klasa II (Załącznik III, Klasa II) — produkty o wyższym ryzyku, w tym hipernadzorcy, TPM, oprogramowanie do automatyki przemysłowej i bramki do inteligentnych liczników.
• Krytyczna (Załącznik IV) — produkty o najwyższym ryzyku, w tym sprzętowe moduły bezpieczeństwa (HSM), karty inteligentne i urządzenia sprzętowe ze skrzynkami bezpieczeństwa.

Klasyfikacja określa, którą trasą oceny zgodności producent musi podążać przed naniesieniem oznakowania CE:

Klasa	Samoocena (Moduł A)	Jednostka notyfikowana (Moduł B+C / H)
Domyślna	Zawsze dostępna	Opcjonalna
Ważna — Klasa I	Jeśli zastosowano normy zharmonizowane	Wymagana bez norm zharmonizowanych
Ważna — Klasa II	Niedostępna	Wymagana
Krytyczna	Niedostępna	Wymagana (lub certyfikacja cyberbezpieczeństwa UE)

→ Skorzystaj z narzędzia do klasyfikacji produktów, aby znaleźć swoją klasę i trasę oceny zgodności

CRA ustanawia na mocy Artykułu 64 stopniowany system kar administracyjnych. Organy nadzoru rynku w poszczególnych państwach członkowskich UE mogą nakładać te kary na producentów, importerów, dystrybutorów i zarządców oprogramowania open source.

Poziom 1 — do 15 000 000 € lub 2,5 % całkowitego światowego rocznego obrotu (w zależności od tego, która kwota jest wyższa):

Niezgodność z zasadniczymi wymaganiami cyberbezpieczeństwa określonymi w załączniku I lub naruszenia dotyczące oznakowania CE, oceny zgodności, dokumentacji technicznej lub obowiązku ustanowienia upoważnionego przedstawiciela (Artykuły 13, 16, 19–22, 24).

Poziom 2 — do 10 000 000 € lub 2 % całkowitego światowego rocznego obrotu (w zależności od tego, która kwota jest wyższa):

Naruszenia obowiązków zgłaszania podatności i powiadamiania o incydentach bezpieczeństwa na podstawie Artykułu 14, niewywiązanie się z obowiązku notyfikacji jednostek oceniających zgodność lub odmowa współpracy z organami nadzoru rynku (Artykuły 15, 17, 18, 23).

Poziom 3 — do 5 000 000 € lub 1 % całkowitego światowego rocznego obrotu (w zależności od tego, która kwota jest wyższa):

Dostarczanie nieprawidłowych, niekompletnych lub wprowadzających w błąd informacji jednostkom notyfikowanym lub organom nadzoru rynku.

W przypadku dużych organizacji o znacznych przychodach globalnych limit oparty na obrotach zazwyczaj przekroczy stały maksymalny poziom. Państwa członkowskie mogą również nakładać dodatkowe sankcje na podstawie prawa krajowego. Termin z Artykułu 14 — 11 września 2026 r. — to pierwszy moment, w którym kary poziomu 2 stają się egzekwowalne.