Art. 3(13)Producent to każda osoba fizyczna lub prawna, która opracowuje lub wytwarza produkty z elementami cyfrowymi albo zleca ich zaprojektowanie lub wytworzenie i wprowadza je do obrotu pod własną nazwą lub własnym znakiem towarowym.
11 grudnia 2024 r. — CRA wchodzi w życie
Rozporządzenie obowiązuje prawnie. Produkty wprowadzane na rynek od tej daty muszą być zgodne z CRA po osiągnięciu dat stosowania.
11 września 2026 r. — Obowiązki zgłaszania podatności mają zastosowanie
Zgłaszanie podatności i incydentów do ENISA zgodnie z art. 14 staje się obowiązkowe. To pierwszy nieprzekraczalny termin. Producenci muszą mieć wdrożone procesy zgłaszania przed tą datą.
11 czerwca 2027 r. — Powiadomienie jednostek oceny zgodności
Państwa członkowskie muszą notyfikować Komisji jednostki oceny zgodności.
11 grudnia 2027 r. — Pełne rozporządzenie ma zastosowanie
Wszystkie wymagania CRA mają zastosowanie do wszystkich objętych produktów. Na rynek UE nie mogą być wprowadzane nowe produkty niezgodne z przepisami.
Producenci muszą projektować, opracowywać i wytwarzać produkty z elementami cyfrowymi w sposób zapewniający odpowiedni poziom cyberbezpieczeństwa stosowny do ryzyka. Bezpieczeństwo musi być uwzględniane przez cały cykl życia produktu — od etapu projektowania aż do wycofania z użycia.
Przed wprowadzeniem produktu z elementami cyfrowymi do obrotu producenci muszą przeprowadzić ocenę ryzyka cyberbezpieczeństwa związanego z produktem. Ocena ryzyka musi stanowić podstawę projektowania, opracowywania i wytwarzania produktu oraz być udokumentowana jako część dokumentacji technicznej.
Producenci muszą sporządzić dokumentację techniczną zawierającą wszelkie informacje niezbędne do wykazania, że produkt spełnia zasadnicze wymogi CRA. Dokumentacja musi być aktualizowana i przechowywana przez dziesięć lat od wprowadzenia do obrotu (lub przez przewidywany okres eksploatacji produktu, jeśli jest dłuższy).
Producenci muszą wykazać zgodność, stosując procedurę właściwą dla klasy swojego produktu. Produkty domyślne mogą być certyfikowane własną decyzją (Moduł A). Produkty Klasy I — Ważne mogą być certyfikowane własną decyzją, jeżeli zastosowano zharmonizowane normy; w przeciwnym razie wymagany jest udział jednostki notyfikowanej. Produkty Klasy II — Ważne oraz Produkty Krytyczne zawsze wymagają udziału jednostki notyfikowanej.
Jeżeli komponent oprogramowania włączony do produktu z elementami cyfrowymi nie został opracowany przez producenta, producent musi zachować odpowiednią należytą staranność, aby zapewnić, że komponent ten nie narusza bezpieczeństwa produktu. Zestawienie składników oprogramowania (SBOM) musi być sporządzone i prowadzone jako część dokumentacji technicznej.
Wprowadzając produkt z elementami cyfrowymi do obrotu, producenci muszą zapewnić, że produkt nie zawiera żadnych znanych podatności możliwych do wykorzystania. Obowiązek ten ma zastosowanie w chwili dystrybucji oraz do każdej kolejnej aktualizacji udostępnianej użytkownikom.
Producenci muszą wdrożyć politykę skoordynowanego ujawniania podatności (CVD) i udostępnić ją publicznie. Polityka musi zawierać punkt kontaktowy do zgłaszania podatności oraz opisywać sposób obsługi zgłoszeń przez producenta, w tym terminy potwierdzenia odbioru i proces koordynowania ujawniania z badaczami.
Producenci muszą zadeklarować okres wsparcia dla swojego produktu i udostępnić tę informację użytkownikom przed zakupem. Okres wsparcia musi wynosić co najmniej pięć lat, chyba że przewidywany okres użytkowania produktu jest krótszy. Data zakończenia okresu wsparcia musi być podana w dokumentacji produktu i w punkcie sprzedaży.
Producenci muszą bezpłatnie dostarczać aktualizacje bezpieczeństwa przez co najmniej pięć lat (lub przez przewidywany okres użytkowania, jeśli jest krótszy). Aktualizacje muszą być dostarczane niezwłocznie, oddzielnie od aktualizacji funkcjonalnych, a data zakończenia okresu wsparcia musi być ujawniona.
Producenci muszą posiadać procesy identyfikowania, analizowania i eliminowania podatności w swoich produktach przez cały okres wsparcia. Załącznik I Część II określa szczegółowe wymagania obejmujące przypisywanie CVE, ocenę CVSS, skoordynowane ujawnianie oraz terminowe usuwanie podatności.
Producenci muszą sporządzić unijną deklarację zgodności zgodnie z Artykułem 28 i Załącznikiem V, stwierdzającą, że produkt spełnia wszystkie stosowne wymogi CRA. Unijna deklaracja zgodności musi być aktualizowana i udostępniana organom nadzoru rynku oraz, w stosownych przypadkach, użytkownikom.
Producenci muszą umieścić oznakowanie CE na swoich produktach przed wprowadzeniem ich do obrotu na rynku UE, jako dowód zgodności produktu ze wszystkimi stosownymi wymogami CRA. Oznakowanie CE musi być widoczne, czytelne i trwałe oraz nie może być umieszczane przed sporządzeniem unijnej deklaracji zgodności.
Producenci muszą zapewnić, aby każdy produkt z elementami cyfrowymi nosił typ, numer partii, numer seryjny lub inny element umożliwiający jego identyfikację. W przypadku produktów wyłącznie programowych numer wersji służy temu celowi.
Producenci muszą podać swoją nazwę, zarejestrowaną nazwę handlową lub znak towarowy oraz adres pocztowy na produkcie lub jego opakowaniu. Należy również podać elektroniczny adres kontaktowy (strona internetowa lub e-mail), jeżeli jest dostępny. Umożliwia to organom nadzoru rynku, importerom, dystrybutorom i użytkownikom kontakt z producentem.
Producenci muszą dołączyć do produktu informacje i instrukcje wymienione w Załączniku II, w języku zrozumiałym dla użytkowników. Obejmuje to tożsamość produktu, możliwości bezpieczeństwa, kontakt do zgłaszania podatności, datę zakończenia okresu wsparcia oraz wskazówki dotyczące bezpiecznego użytkowania.
W przypadku gdy producent ma podstawy, aby sądzić, że wprowadzony do obrotu produkt nie spełnia wymogów CRA, musi niezwłocznie podjąć działania naprawcze — w tym wycofanie z obrotu lub odwołanie, jeżeli jest to konieczne. Producenci muszą również współpracować z organami nadzoru rynku i dostarczać wszelkie żądane informacje i dokumentację.
Producenci muszą zgłaszać wszelkie aktywnie wykorzystywane podatności w swoim produkcie do ENISA za pośrednictwem pojedynczej platformy zgłoszeniowej w ciągu 24 godzin (wczesne ostrzeżenie) i 72 godzin (powiadomienie). Końcowy raport należy złożyć w ciągu 14 dni. Obowiązek ten ma zastosowanie od 11 września 2026 r.
W ciągu 72 godzin od powzięcia wiedzy o aktywnie wykorzystywanej podatności w produkcie producenci muszą złożyć szczegółowe powiadomienie o podatności do ENISA za pośrednictwem pojedynczej platformy zgłoszeniowej. Następuje to po 24-godzinnym wczesnym ostrzeżeniu (OBL-ART14-01) i musi zawierać szczegóły techniczne dotyczące podatności i dotkniętego produktu.
W ciągu 14 dni od powzięcia wiedzy o aktywnie wykorzystywanej podatności producenci muszą złożyć do ENISA końcowy raport zawierający pełny opis podatności, podjęte działania naprawcze oraz informację o tym, czy podatność została publicznie ujawniona lub czy przypisano jej CVE.
W przypadku aktywnego wykorzystywania podatności producenci muszą powiadomić dotkniętych użytkowników bez zbędnej zwłoki. Powiadomienie musi zawierać informacje wystarczające do podjęcia przez użytkowników działań ochronnych, w tym środki łagodzące dostępne przed wydaniem poprawki.
Producent może na mocy pisemnego pełnomocnictwa wyznaczyć upoważnionego przedstawiciela (AR). Pełnomocnictwo musi umożliwiać AR wykonywanie co najmniej trzech minimalnych zadań ustawowych: przechowywanie deklaracji zgodności UE i dokumentacji technicznej do dyspozycji organów nadzoru rynku przez co najmniej 10 lat; dostarczanie informacji o zgodności na żądanie; współpraca przy środkach naprawczych. Podstawowych obowiązków dotyczących projektowania i produkcji nie można delegować.
Każda osoba fizyczna lub prawna — inna niż pierwotny producent, importer lub dystrybutor — która wprowadza istotną modyfikację do produktu i udostępnia go na rynku, jest uznawana za producenta. Osoba ta podlega następnie art. 13 i 14, albo w odniesieniu do części produktu objętej modyfikacją, albo całego produktu, jeśli modyfikacja wpływa na cyberbezpieczeństwo całego produktu.
Wszyscy podmioty gospodarcze muszą być w stanie, na żądanie organów nadzoru rynku, wskazać (a) każdy podmiot gospodarczy, który dostarczył im produkt, oraz (b) każdy podmiot gospodarczy, któremu dostarczyły produkt. Rejestry muszą być przechowywane przez 10 lat od każdej transakcji.
Producenci muszą sporządzić deklarację zgodności UE (DoC UE) zgodną ze strukturą wzoru z Załącznika V i zawierającą wszystkie określone elementy. DoC UE deklaruje, że produkt spełnia stosowane zasadnicze wymagania cyberbezpieczeństwa. Uproszczona wersja (Załącznik VI) może towarzyszyć produktowi, pod warunkiem że pełna DoC jest dostępna online. DoC musi być aktualizowana w przypadku wystąpienia stosownych zmian.
Producenci muszą sporządzić dokumentację techniczną przed wprowadzeniem produktu na rynek i stale ją aktualizować (co najmniej przez okres wsparcia). Dokumentacja musi zawierać wszystkie elementy wymienione w Załączniku VII, wykazując, w jaki sposób produkt i procesy producenta spełniają zasadnicze wymagania cyberbezpieczeństwa z Załącznika I. Musi pozostawać dostępna dla organów nadzoru rynku przez co najmniej 10 lat lub przez okres wsparcia.
Producenci muszą przeprowadzić ocenę zgodności wykazującą, że zarówno produkt, jak i procesy producenta spełniają zasadnicze wymagania z Załącznika I, przed wprowadzeniem produktu na rynek. Wymagana procedura zależy od klasyfikacji produktu: moduł A (samoocena) dla produktów standardowych, ocena przez stronę trzecią dla ważnych produktów w określonych okolicznościach i obowiązkowe zaangażowanie jednostki notyfikowanej dla produktów ważnych klasy II i krytycznych.
Produkty z elementami cyfrowymi mogą być udostępniane na rynku UE wyłącznie wtedy, gdy spełniają zasadnicze wymagania cyberbezpieczeństwa określone w Części I Załącznika I, pod warunkiem prawidłowej instalacji, konserwacji i użytkowania zgodnie z przeznaczeniem oraz zainstalowania wymaganych aktualizacji zabezpieczeń.
Produkty z elementami cyfrowymi mogą być udostępniane na rynku UE wyłącznie wtedy, gdy procesy wdrożone przez producenta spełniają zasadnicze wymagania cyberbezpieczeństwa z Części II Załącznika I, dotyczące identyfikacji, zarządzania i ujawniania podatności przez cały okres wsparcia.
Produkty, których podstawowa funkcja mieści się w kategorii Załącznika III, są «ważnymi produktami z elementami cyfrowymi» i podlegają bardziej rygorystycznym procedurom oceny zgodności. Produkty ważne klasy I mogą stosować samoocenę modułu A wyłącznie przy pełnym stosowaniu norm zharmonizowanych lub wspólnych specyfikacji; w przeciwnym razie wymagana jest jednostka notyfikowana. Klasa II zawsze wymaga jednostki notyfikowanej.
Produkty, których podstawowa funkcja mieści się w Załączniku IV (urządzenia sprzętowe z modułami bezpieczeństwa, bramki dla liczników energii i karty inteligentne/bezpieczne elementy), są «krytycznymi produktami z elementami cyfrowymi». Po przyjęciu przez Komisję stosownego aktu delegowanego będą musiały uzyskać europejski certyfikat cyberbezpieczeństwa na poziomie uzasadnionym «znacznym» lub wyższym. Do tego czasu wymagana jest ocena zgodności zgodnie z modułem B+C lub H.
Przeglądaj pełną bibliotekę obowiązków, poznaj swoją rolę lub sprawdź harmonogram.