Cyber Resilience Act – nowe unijne przepisy dla firm IT

Czym jest Cyber Resilience Act i dlaczego powstał?

Cyber Resilience Act (CRA), czyli Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2024/2847, zostało opublikowane w Dzienniku Urzędowym UE 20 listopada 2024 roku. To przełomowe prawo, które po raz pierwszy w historii Unii nakłada konkretne wymagania cyberbezpieczeństwa na każdy produkt zawierający elementy cyfrowe – od routerów i kamer IP, przez aplikacje biznesowe, aż po systemy operacyjne i firmware urządzeń przemysłowych.

Impulsem do stworzenia CRA był lawinowy wzrost liczby ataków na urządzenia IoT i oprogramowanie. Unijni ustawodawcy doszli do wniosku, że rynek sam z siebie nie zapewni odpowiedniego poziomu bezpieczeństwa – producenci zbyt często wypuszczali produkty z niezałatanymi lukami, nie zapewniając aktualizacji przez cały cykl życia urządzenia. Szacuje się, że luki w zabezpieczeniach produktów IoT kosztują europejską gospodarkę dziesiątki miliardów euro rocznie.

CRA uzupełnia wcześniejsze unijne regulacje – dyrektywę NIS2 (dotyczącą operatorów usług kluczowych) oraz AI Act (dotyczący systemów sztucznej inteligencji) – i razem tworzą kompleksowy ekosystem europejskiego prawa cyfrowego. Dla firm MŚP, które nieraz ignorowały kwestie cyberbezpieczeństwa, nowe prawo oznacza koniec dotychczasowej dobrowolności.

Kogo dotyczy nowe rozporządzenie?

CRA obejmuje szersze grono podmiotów, niż mogłoby się wydawać na pierwszy rzut oka. Regulacja dotyczy każdej firmy, która produkuje, importuje lub dystrybuuje produkty z elementami cyfrowymi na rynek UE – niezależnie od tego, gdzie firma ma swoją siedzibę.

Rozporządzenie obejmuje m.in.:

• Producentów oprogramowania – aplikacje biznesowe, systemy ERP i CRM, aplikacje mobilne, oprogramowanie do zarządzania siecią i infrastrukturą
• Twórców urządzeń IoT – kamery IP, drukarki, routery, inteligentne zamki, systemy alarmowe, urządzenia przemysłowe z łącznością sieciową
• Importerów i dystrybutorów – firmy sprowadzające lub odsprzedające produkty z elementami cyfrowymi pod własną marką
• Integratorów systemów – jeśli wprowadzają produkt na rynek pod własną nazwą lub znakiem towarowym

Z zakresu CRA wyłączone są m.in. niekomercyjne projekty open source, produkty przeznaczone wyłącznie do zastosowań wojskowych oraz produkty objęte innymi szczegółowymi regulacjami UE (np. wyroby medyczne, sektor motoryzacyjny). Czyste usługi SaaS podlegają uproszczonym wymaganiom.

Jeśli Twoja firma jest wyłącznie użytkownikiem gotowego oprogramowania i sprzętu, bezpośrednie obowiązki CRA Cię nie dotyczą. Jednak od 2027 roku warto wymagać potwierdzenia zgodności z CRA od swoich dostawców IT – odpowiedzialność pośrednia istnieje.

Jakie wymagania nakłada CRA na producentów?

CRA wprowadza dwie grupy wymagań: dotyczące samego produktu oraz obowiązki ciągłe po jego wprowadzeniu na rynek.

Wymagania dotyczące produktu:

• Zasada security by design – bezpieczeństwo musi być wbudowane od etapu projektowania, nie doklejane na końcu jako łatka
• W momencie wprowadzenia na rynek produkt nie może zawierać znanych aktywnie wykorzystywanych luk w zabezpieczeniach
• Urządzenia muszą być dostarczane z bezpiecznymi konfiguracjami domyślnymi – bez domyślnych haseł, z wyłączonymi zbędnymi portami i usługami
• Dane przechowywane i przesyłane przez produkt muszą być odpowiednio szyfrowane
• Produkt musi minimalizować powierzchnię ataku i ograniczać zbędne zbieranie danych

Obowiązki po wprowadzeniu produktu na rynek:

• Aktualizacje bezpieczeństwa przez minimum 5 lat (lub przez zadeklarowany cykl życia produktu, jeśli jest dłuższy)
• Zgłaszanie aktywnie wykorzystywanych luk do agencji ENISA w ciągu 24 godzin od wykrycia, z pełnym raportem w ciągu 72 godzin
• Wdrożenie polityki odpowiedzialnego ujawniania luk (VDP) – firmy muszą posiadać kanał do przyjmowania zgłoszeń od zewnętrznych badaczy bezpieczeństwa
• Prowadzenie i udostępnianie dokumentacji technicznej oraz listy komponentów oprogramowania (SBOM – Software Bill of Materials)

Klasy ryzyka i harmonogram wdrożenia

CRA dzieli produkty na cztery klasy w zależności od poziomu ryzyka. Klasa determinuje, jak rygorystyczna musi być procedura oceny zgodności – od samooceny producenta po obowiązkowy audyt zewnętrzny (szczegóły w tabeli poniżej).

Kluczowe daty w harmonogramie wdrożenia CRA:

• 20 listopada 2024 – publikacja rozporządzenia w Dzienniku Urzędowym UE
• 10 stycznia 2025 – wejście rozporządzenia w życie
• 11 września 2026 – pierwsze obowiązki wchodzą w życie: wymóg zgłaszania incydentów i luk w zabezpieczeniach (art. 14) oraz ustanowienie krajowych organów nadzoru rynku
• 11 grudnia 2027 – pełne stosowanie wszystkich przepisów CRA, w tym wymagania dotyczące bezpieczeństwa produktów i obowiązkowe oznaczenie CE

Grudzień 2027 wydaje się odległy, jednak firmy tworzące oprogramowanie lub sprzęt muszą pamiętać, że dostosowanie procesów wytwarzania, łańcucha dostaw i dokumentacji technicznej zajmuje wiele miesięcy. Firmy, które zaczną przygotowania dopiero w połowie 2027 roku, prawie na pewno nie zdążą na czas i narażą się na sankcje już od pierwszego dnia pełnego stosowania.

Co powinna zrobić firma MŚP już teraz?

Niezależnie od tego, czy CRA dotyczy Cię bezpośrednio, oto konkretne działania, które warto podjąć jak najszybciej:

1. Ustal, czy CRA Cię dotyczy bezpośrednio – sprawdź, czy Twoja firma tworzy, importuje lub odsprzedaje produkty z elementami cyfrowymi pod własną marką. Jeśli tak, konieczna jest pełna analiza zgodności z pomocą specjalisty.
2. Zinwentaryzuj produkty i dostawców IT – zrób listę oprogramowania i urządzeń działających w firmie wraz z informacją o producencie. Będzie kluczowa przy weryfikacji zgodności dostawców.
3. Wymagaj deklaracji zgodności CRA od dostawców – przy nowych zakupach i przetargach pytaj, kiedy produkt będzie zgodny z CRA i czy producent planuje oznaczenie CE.
4. Zaktualizuj umowy z dostawcami IT – upewnij się, że kontrakty zawierają zobowiązanie do dostarczania aktualizacji bezpieczeństwa przez minimum 5 lat i reagowania na incydenty.
5. Zaplanuj audyt zgodności – jeśli rozwijasz lub dystrybuujesz oprogramowanie, zamów audyt bezpieczeństwa i ocenę gotowości do CRA. Im wcześniej zaczniesz, tym mniejszy koszt dostosowania.

Dobrą wiadomością jest to, że firmy, które już wdrożyły normę ISO 27001 lub stosują się do wymagań NIS2, mają solidną bazę – wiele procesów będzie można ponownie wykorzystać. CRA nie buduje od zera, lecz uzupełnia istniejące podejście do cyberbezpieczeństwa o perspektywę produktową.

Kary za nieprzestrzeganie CRA

CRA przewiduje trzypoziomowy system sankcji finansowych, które mają motywować producentów do traktowania cyberbezpieczeństwa poważnie:

• Do 15 mln EUR lub 2,5% rocznego globalnego obrotu (wyższa z tych kwot) – za naruszenie zasadniczych wymagań cyberbezpieczeństwa dotyczących samego produktu
• Do 10 mln EUR lub 2% rocznego obrotu – za naruszenie innych obowiązków, np. dotyczących zgłaszania incydentów, dokumentacji technicznej lub braku polityki VDP
• Do 5 mln EUR lub 1% rocznego obrotu – za dostarczenie nieprawdziwych lub wprowadzających w błąd informacji organom nadzoru rynku

Dla małej firmy nawet kara na poziomie 1–2% obrotu może być bardzo poważnym obciążeniem finansowym. Warto też pamiętać, że niezgodność z CRA może oznaczać zakaz wprowadzenia produktu na rynek UE lub nakaz wycofania go ze sprzedaży – co dla firmy sprzedającej oprogramowanie lub hardware byłoby potencjalnie katastrofalne.

Organy nadzorcze będą miały prawo do przeprowadzania kontroli, nakazania wycofania produktu z rynku oraz blokowania jego sprzedaży do czasu usunięcia niezgodności. Pierwsze kontrole mogą ruszyć już od września 2026 roku, gdy zacznie obowiązywać wymóg zgłaszania incydentów – to wcześniej, niż myśli większość firm.