Nowe regulacje Unii Europejskiej w zakresie cyberbezpieczeństwa wyznaczają początek ery, w której bezpieczeństwo produktów cyfrowych staje się obowiązkiem prawnym, a nie tylko dobrowolnym standardem. Cyber Resilience Act to jedno z najważniejszych rozporządzeń ostatnich lat – zmienia sposób, w jaki producenci, importerzy i dystrybutorzy muszą projektować, testować i utrzymywać swoje rozwiązania technologiczne.

Cyber Resilience Act – nowe fundamenty bezpieczeństwa cyfrowego w UE

Cyber Resilience Act (CRA), czyli Rozporządzenie (UE) 2024/2847, to kluczowy akt prawny Unii Europejskiej, który ustanawia jednolite wymogi cyberbezpieczeństwa dla wszystkich produktów zawierających elementy cyfrowe – zarówno sprzętu, jak i oprogramowania. Jego celem jest podniesienie poziomu bezpieczeństwa w całym cyklu życia produktu. Regulacja dotyczy nie tylko producentów, ale także importerów i dystrybutorów, którzy odpowiadają za to, by na rynek UE trafiały wyłącznie produkty spełniające wymagania bezpieczeństwa oraz oznakowane znakiem CE.

Wrzesień 2026 – obowiązek raportowania podatności

Od 11 września 2026 r. wszyscy producenci wprowadzający produkty cyfrowe na rynek UE będą zobowiązani do zgłaszania wykrytych i aktywnie wykorzystywanych podatności oraz poważnych incydentów bezpieczeństwa. Informacje muszą trafić w ciągu 24 godzin do krajowego zespołu CSIRT i ENISA. W ciągu 72 godzin wymagane jest rozszerzone zawiadomienie, a w ciągu 14 dni – pełny raport. Obowiązek dotyczy również importerów, którzy muszą upewnić się, że producent posiada procedury reagowania i zarządzania podatnościami, a w razie potrzeby – współdziałać przy raportowaniu incydentu.

Grudzień 2027 – pełna zgodność z rozporządzeniem

Drugi kluczowy termin to 11 grudnia 2027 r. – od tej daty każde urządzenie lub oprogramowanie z elementami cyfrowymi wprowadzane na rynek UE musi być w pełni zgodne z wymogami CRA. Produkty muszą być zaprojektowane zgodnie z zasadą „secure by design”, posiadać dokumentację techniczną, analizę ryzyka oraz proces zapewniający ciągłe aktualizacje bezpieczeństwa. Importerzy i dystrybutorzy będą odpowiadać za to, by na rynku znajdowały się wyłącznie produkty spełniające te kryteria.

Odpowiedzialność, kary i konieczne działania

Brak zgodności z CRA może skutkować karami finansowymi do 15 mln euro lub 2,5 % rocznego obrotu globalnego, a także zakazem wprowadzania produktu na rynek. Dlatego firmy muszą już teraz rozpocząć działania przygotowawcze: opracować systemy zarządzania podatnościami, listy SBOM, dokumentację technicz­ną oraz procedury zgłaszania incydentów. Zegar tyka – do pełnego wejścia w życie regulacji pozostały niecałe dwa lata, a od gotowości organizacyjnej będzie zależeć możliwość legalnego działania na rynku unijnym.

Artykuł Cyber Resilience Act: obowiązki od 09/2026, zgodność 12/2027 pochodzi z serwisu Niemcy Biznes Expert.