Wszystkie obowiązki wynikające z rozporządzenia (UE) 2024/2847 — powiązane z artykułem, z objaśnieniami w prostym języku.
Produkty z elementami cyfrowymi mogą być udostępniane na rynku UE wyłącznie wtedy, gdy spełniają zasadnicze wymagania cyberbezpieczeństwa określone w Części I Załącznika I, pod warunkiem prawidłowej instalacji, konserwacji i użytkowania zgodnie z przeznaczeniem oraz zainstalowania wymaganych aktualizacji zabezpieczeń.
Produkty z elementami cyfrowymi mogą być udostępniane na rynku UE wyłącznie wtedy, gdy procesy wdrożone przez producenta spełniają zasadnicze wymagania cyberbezpieczeństwa z Części II Załącznika I, dotyczące identyfikacji, zarządzania i ujawniania podatności przez cały okres wsparcia.
Produkty, których podstawowa funkcja mieści się w kategorii Załącznika III, są «ważnymi produktami z elementami cyfrowymi» i podlegają bardziej rygorystycznym procedurom oceny zgodności. Produkty ważne klasy I mogą stosować samoocenę modułu A wyłącznie przy pełnym stosowaniu norm zharmonizowanych lub wspólnych specyfikacji; w przeciwnym razie wymagana jest jednostka notyfikowana. Klasa II zawsze wymaga jednostki notyfikowanej.
Produkty, których podstawowa funkcja mieści się w Załączniku IV (urządzenia sprzętowe z modułami bezpieczeństwa, bramki dla liczników energii i karty inteligentne/bezpieczne elementy), są «krytycznymi produktami z elementami cyfrowymi». Po przyjęciu przez Komisję stosownego aktu delegowanego będą musiały uzyskać europejski certyfikat cyberbezpieczeństwa na poziomie uzasadnionym «znacznym» lub wyższym. Do tego czasu wymagana jest ocena zgodności zgodnie z modułem B+C lub H.
Producenci muszą projektować, opracowywać i wytwarzać produkty z elementami cyfrowymi w sposób zapewniający odpowiedni poziom cyberbezpieczeństwa stosowny do ryzyka. Bezpieczeństwo musi być uwzględniane przez cały cykl życia produktu — od etapu projektowania aż do wycofania z użycia.
Przed wprowadzeniem produktu z elementami cyfrowymi do obrotu producenci muszą przeprowadzić ocenę ryzyka cyberbezpieczeństwa związanego z produktem. Ocena ryzyka musi stanowić podstawę projektowania, opracowywania i wytwarzania produktu oraz być udokumentowana jako część dokumentacji technicznej.
Producenci muszą sporządzić dokumentację techniczną zawierającą wszelkie informacje niezbędne do wykazania, że produkt spełnia zasadnicze wymogi CRA. Dokumentacja musi być aktualizowana i przechowywana przez dziesięć lat od wprowadzenia do obrotu (lub przez przewidywany okres eksploatacji produktu, jeśli jest dłuższy).
Producenci muszą wykazać zgodność, stosując procedurę właściwą dla klasy swojego produktu. Produkty domyślne mogą być certyfikowane własną decyzją (Moduł A). Produkty Klasy I — Ważne mogą być certyfikowane własną decyzją, jeżeli zastosowano zharmonizowane normy; w przeciwnym razie wymagany jest udział jednostki notyfikowanej. Produkty Klasy II — Ważne oraz Produkty Krytyczne zawsze wymagają udziału jednostki notyfikowanej.
Jeżeli komponent oprogramowania włączony do produktu z elementami cyfrowymi nie został opracowany przez producenta, producent musi zachować odpowiednią należytą staranność, aby zapewnić, że komponent ten nie narusza bezpieczeństwa produktu. Zestawienie składników oprogramowania (SBOM) musi być sporządzone i prowadzone jako część dokumentacji technicznej.
Wprowadzając produkt z elementami cyfrowymi do obrotu, producenci muszą zapewnić, że produkt nie zawiera żadnych znanych podatności możliwych do wykorzystania. Obowiązek ten ma zastosowanie w chwili dystrybucji oraz do każdej kolejnej aktualizacji udostępnianej użytkownikom.
Producenci muszą wdrożyć politykę skoordynowanego ujawniania podatności (CVD) i udostępnić ją publicznie. Polityka musi zawierać punkt kontaktowy do zgłaszania podatności oraz opisywać sposób obsługi zgłoszeń przez producenta, w tym terminy potwierdzenia odbioru i proces koordynowania ujawniania z badaczami.
Producenci muszą zadeklarować okres wsparcia dla swojego produktu i udostępnić tę informację użytkownikom przed zakupem. Okres wsparcia musi wynosić co najmniej pięć lat, chyba że przewidywany okres użytkowania produktu jest krótszy. Data zakończenia okresu wsparcia musi być podana w dokumentacji produktu i w punkcie sprzedaży.
Producenci muszą bezpłatnie dostarczać aktualizacje bezpieczeństwa przez co najmniej pięć lat (lub przez przewidywany okres użytkowania, jeśli jest krótszy). Aktualizacje muszą być dostarczane niezwłocznie, oddzielnie od aktualizacji funkcjonalnych, a data zakończenia okresu wsparcia musi być ujawniona.
Producenci muszą posiadać procesy identyfikowania, analizowania i eliminowania podatności w swoich produktach przez cały okres wsparcia. Załącznik I Część II określa szczegółowe wymagania obejmujące przypisywanie CVE, ocenę CVSS, skoordynowane ujawnianie oraz terminowe usuwanie podatności.
Producenci muszą sporządzić unijną deklarację zgodności zgodnie z Artykułem 28 i Załącznikiem V, stwierdzającą, że produkt spełnia wszystkie stosowne wymogi CRA. Unijna deklaracja zgodności musi być aktualizowana i udostępniana organom nadzoru rynku oraz, w stosownych przypadkach, użytkownikom.
Producenci muszą umieścić oznakowanie CE na swoich produktach przed wprowadzeniem ich do obrotu na rynku UE, jako dowód zgodności produktu ze wszystkimi stosownymi wymogami CRA. Oznakowanie CE musi być widoczne, czytelne i trwałe oraz nie może być umieszczane przed sporządzeniem unijnej deklaracji zgodności.
Producenci muszą zapewnić, aby każdy produkt z elementami cyfrowymi nosił typ, numer partii, numer seryjny lub inny element umożliwiający jego identyfikację. W przypadku produktów wyłącznie programowych numer wersji służy temu celowi.
Producenci muszą podać swoją nazwę, zarejestrowaną nazwę handlową lub znak towarowy oraz adres pocztowy na produkcie lub jego opakowaniu. Należy również podać elektroniczny adres kontaktowy (strona internetowa lub e-mail), jeżeli jest dostępny. Umożliwia to organom nadzoru rynku, importerom, dystrybutorom i użytkownikom kontakt z producentem.
Producenci muszą dołączyć do produktu informacje i instrukcje wymienione w Załączniku II, w języku zrozumiałym dla użytkowników. Obejmuje to tożsamość produktu, możliwości bezpieczeństwa, kontakt do zgłaszania podatności, datę zakończenia okresu wsparcia oraz wskazówki dotyczące bezpiecznego użytkowania.
W przypadku gdy producent ma podstawy, aby sądzić, że wprowadzony do obrotu produkt nie spełnia wymogów CRA, musi niezwłocznie podjąć działania naprawcze — w tym wycofanie z obrotu lub odwołanie, jeżeli jest to konieczne. Producenci muszą również współpracować z organami nadzoru rynku i dostarczać wszelkie żądane informacje i dokumentację.
Producenci muszą zgłaszać wszelkie aktywnie wykorzystywane podatności w swoim produkcie do ENISA za pośrednictwem pojedynczej platformy zgłoszeniowej w ciągu 24 godzin (wczesne ostrzeżenie) i 72 godzin (powiadomienie). Końcowy raport należy złożyć w ciągu 14 dni. Obowiązek ten ma zastosowanie od 11 września 2026 r.
W ciągu 72 godzin od powzięcia wiedzy o aktywnie wykorzystywanej podatności w produkcie producenci muszą złożyć szczegółowe powiadomienie o podatności do ENISA za pośrednictwem pojedynczej platformy zgłoszeniowej. Następuje to po 24-godzinnym wczesnym ostrzeżeniu (OBL-ART14-01) i musi zawierać szczegóły techniczne dotyczące podatności i dotkniętego produktu.
W ciągu 14 dni od powzięcia wiedzy o aktywnie wykorzystywanej podatności producenci muszą złożyć do ENISA końcowy raport zawierający pełny opis podatności, podjęte działania naprawcze oraz informację o tym, czy podatność została publicznie ujawniona lub czy przypisano jej CVE.
W przypadku aktywnego wykorzystywania podatności producenci muszą powiadomić dotkniętych użytkowników bez zbędnej zwłoki. Powiadomienie musi zawierać informacje wystarczające do podjęcia przez użytkowników działań ochronnych, w tym środki łagodzące dostępne przed wydaniem poprawki.
Producent może na mocy pisemnego pełnomocnictwa wyznaczyć upoważnionego przedstawiciela (AR). Pełnomocnictwo musi umożliwiać AR wykonywanie co najmniej trzech minimalnych zadań ustawowych: przechowywanie deklaracji zgodności UE i dokumentacji technicznej do dyspozycji organów nadzoru rynku przez co najmniej 10 lat; dostarczanie informacji o zgodności na żądanie; współpraca przy środkach naprawczych. Podstawowych obowiązków dotyczących projektowania i produkcji nie można delegować.
Przed wprowadzeniem produktu z elementami cyfrowymi na rynek UE importerzy muszą zweryfikować, czy producent przeprowadził właściwą ocenę zgodności, sporządził dokumentację techniczną, umieścił oznakowanie CE oraz udostępnił unijną deklarację zgodności lub deklarację właściwości użytkowych.
W przypadku gdy importer uważa lub ma podstawy, aby sądzić, że produkt z elementami cyfrowymi nie spełnia zasadniczych wymogów cyberbezpieczeństwa, importer nie może wprowadzić produktu do obrotu, dopóki nie zostanie osiągnięta zgodność.
Importerzy muszą podać swoją nazwę, zarejestrowaną nazwę handlową lub znak towarowy, adres pocztowy oraz, jeżeli dostępny, adres strony internetowej lub e-mail, na samym produkcie, na jego opakowaniu lub w dokumencie dołączonym do produktu.
Gdy produkt z elementami cyfrowymi pozostaje pod odpowiedzialnością importera, importer musi zapewnić, że warunki przechowywania i transportu nie zagrażają jego zgodności z zasadniczymi wymogami cyberbezpieczeństwa.
Jeżeli importer dowie się, że wprowadzony przez niego do obrotu produkt nie spełnia wymogów, musi niezwłocznie podjąć działania naprawcze — w tym wycofanie z obrotu lub odwołanie, jeżeli jest to konieczne. W przypadku gdy produkt stwarza znaczne ryzyko cyberbezpieczeństwa, importer musi niezwłocznie powiadomić właściwy krajowy organ.
Importerzy muszą przechowywać kopię unijnej deklaracji zgodności lub deklaracji właściwości użytkowych przez 10 lat od daty wprowadzenia produktu do obrotu oraz zapewnić możliwość udostępnienia dokumentacji technicznej organom nadzoru rynku na żądanie.
Na uzasadnione żądanie właściwego organu importerzy muszą dostarczyć wszelkie informacje i dokumentację — w formie papierowej lub elektronicznej — niezbędne do wykazania zgodności produktu z elementami cyfrowymi. Muszą również współpracować przy wszelkich wymaganych działaniach naprawczych.
Udostępniając produkt z elementami cyfrowymi na rynku, dystrybutorzy muszą działać z należytą starannością i zweryfikować, że produkt nosi oznakowanie CE, jest dostarczany z wymaganą dokumentacją i informacjami oraz że producent i importer (w stosownych przypadkach) spełnili swoje obowiązki w zakresie etykietowania i identyfikacji.
W przypadku gdy dystrybutor uważa lub ma podstawy, aby sądzić, że produkt nie spełnia zasadniczych wymogów CRA, dystrybutor nie może udostępniać produktu na rynku do czasu osiągnięcia zgodności, a także musi powiadomić producenta i, w stosownych przypadkach, organ nadzoru rynku.
Dystrybutorzy muszą zapewnić, że gdy produkt z elementami cyfrowymi pozostaje pod ich odpowiedzialnością, warunki przechowywania i transportu nie zagrażają jego zgodności z zasadniczymi wymogami cyberbezpieczeństwa.
Jeżeli dystrybutor dowie się, że udostępniany przez niego na rynku produkt nie spełnia wymogów, musi niezwłocznie podjąć działania naprawcze — w tym wycofanie z obrotu lub odwołanie, jeżeli jest to konieczne. W przypadku gdy produkt stwarza znaczne ryzyko cyberbezpieczeństwa, musi niezwłocznie powiadomić właściwy krajowy organ nadzoru rynku.
Na uzasadnione żądanie właściwego organu dystrybutorzy muszą dostarczyć wszelkie informacje i dokumentację niezbędne do wykazania zgodności produktu oraz współpracować przy wszelkich wymaganych działaniach naprawczych.
Importer lub dystrybutor jest traktowany jako producent — i w związku z tym podlega w pełni art. 13 i 14 — jeżeli wprowadza do obrotu produkt z elementami cyfrowymi pod własną nazwą lub znakiem towarowym, bądź jeżeli wprowadza istotną modyfikację produktu już wprowadzonego do obrotu.
Każda osoba fizyczna lub prawna — inna niż pierwotny producent, importer lub dystrybutor — która wprowadza istotną modyfikację do produktu i udostępnia go na rynku, jest uznawana za producenta. Osoba ta podlega następnie art. 13 i 14, albo w odniesieniu do części produktu objętej modyfikacją, albo całego produktu, jeśli modyfikacja wpływa na cyberbezpieczeństwo całego produktu.
Wszyscy podmioty gospodarcze muszą być w stanie, na żądanie organów nadzoru rynku, wskazać (a) każdy podmiot gospodarczy, który dostarczył im produkt, oraz (b) każdy podmiot gospodarczy, któremu dostarczyły produkt. Rejestry muszą być przechowywane przez 10 lat od każdej transakcji.
Opiekunowie oprogramowania open source muszą ustanowić i udokumentować politykę cyberbezpieczeństwa sprzyjającą opracowywaniu bezpiecznego produktu i umożliwiającą skuteczną obsługę podatności w komponentach oprogramowania open source, którymi zarządzają.
Opiekunowie oprogramowania open source muszą powiadamiać właściwy CSIRT (zespół reagowania na incydenty komputerowe) wyznaczony jako koordynator bez zbędnej zwłoki o wszelkich aktywnie wykorzystywanych podatnościach zawartych w zarządzanych przez nich komponentach OSS, a także o wszelkich poważnych incydentach wpływających na bezpieczeństwo tych komponentów.
Opiekunowie oprogramowania open source muszą współpracować z organami nadzoru rynku na ich żądanie i dostarczać wszelkich informacji wymaganych do wykonywania ich zadań regulacyjnych.
Na żądanie organów nadzoru rynku opiekunowie oprogramowania open source muszą sporządzić i aktualizować dokumentację techniczną zarządzanych przez siebie komponentów oprogramowania open source, wystarczającą do oceny zgodności w zakresie cyberbezpieczeństwa.
Producenci muszą sporządzić deklarację zgodności UE (DoC UE) zgodną ze strukturą wzoru z Załącznika V i zawierającą wszystkie określone elementy. DoC UE deklaruje, że produkt spełnia stosowane zasadnicze wymagania cyberbezpieczeństwa. Uproszczona wersja (Załącznik VI) może towarzyszyć produktowi, pod warunkiem że pełna DoC jest dostępna online. DoC musi być aktualizowana w przypadku wystąpienia stosownych zmian.
Producenci muszą sporządzić dokumentację techniczną przed wprowadzeniem produktu na rynek i stale ją aktualizować (co najmniej przez okres wsparcia). Dokumentacja musi zawierać wszystkie elementy wymienione w Załączniku VII, wykazując, w jaki sposób produkt i procesy producenta spełniają zasadnicze wymagania cyberbezpieczeństwa z Załącznika I. Musi pozostawać dostępna dla organów nadzoru rynku przez co najmniej 10 lat lub przez okres wsparcia.
Producenci muszą przeprowadzić ocenę zgodności wykazującą, że zarówno produkt, jak i procesy producenta spełniają zasadnicze wymagania z Załącznika I, przed wprowadzeniem produktu na rynek. Wymagana procedura zależy od klasyfikacji produktu: moduł A (samoocena) dla produktów standardowych, ocena przez stronę trzecią dla ważnych produktów w określonych okolicznościach i obowiązkowe zaangażowanie jednostki notyfikowanej dla produktów ważnych klasy II i krytycznych.
