Strona główna > Blog > Prawo > Cyberodporność po nowemu – co zmieni rozporządzenie CRA i jak się przygotować? (cz. 2)

Cyberodporność po nowemu – co zmieni rozporządzenie CRA i jak się przygotować? (cz. 2)

10 kwietnia 2026

Jak namiesza CRA

Cyber Resilience Act (CRA), czyli unijny Akt o cyberodporności

Opowiadałem o nim już tutaj i będę opowiadał dalej – regulacja CRA kończy erę „wolnej amerykanki” w zakresie bezpieczeństwa cyfrowego.

Czemu? Można posłużyć się analogią do branży spożywczej

Dotychczas oprogramowanie przypominało produkt spożywczy bez etykiety – klient kupował go „na wiarę”, nie znając składu ani ryzyka zatrucia. CRA wprowadza standardy: producent musi teraz ujawnić „skład” produktu (SBOM), zapewnić „datę przydatności” (minimum 5-letnie wsparcie) oraz posiadać procedurę na wypadek „zatrucia” użytkownika (VDP) – oczywiście zaraz omówię to w szczegółach.
A wszystko to pod rygorem kontroli. I dobrze wiem, że to z powodu potencjalnych kar większość czytających tutaj jest – je też omówimy. 😉

Trochę podstaw i rozplączmy mit

Podkreślam: CRA jest rozporządzeniem i w przeciwieństwie do dyrektywy jest stosowane bezpośrednio we wszystkich krajach UE jednocześnie. Nie musimy czekać na polską ustawę wdrażającą i liczyć na obsuwy jak przy wielu innych polskich wdrożeniach. Przepisy od razu będą identyczne w Warszawie, Berlinie czy Paryżu. Mechanizm ten jest analogiczny do RODO: zasady są odgórne, sztywne i nie podlegają lokalnej interpretacji.

Harmonogram

To teraz spacer po kalendarzu:

11 grudnia 2024: Wejście w życie CRA
Tak, już dawno weszło i przecież od dawna pożytecznie korzystasz z czasu na wdrażanie. Bez zostawiania na ostatnią chwilę, prawda?
12 czerwca 2026: Początek działalności jednostek oceniających
Produkty o wyższym stopniu ryzyka zaczynają podlegać obowiązkowym badaniom certyfikacyjnym.
Wrzesień 2026 r: Data graniczna dla Twojej gotowości reagowania na incydenty
Od tego momentu ENISA oraz krajowe zespoły CSIRT (Computer Security Incident Response Teams) stają się organami odbiorczymi dla zgłoszeń o błędach. Realnie – w tym miejscu musisz mieć procedury i umieć reagować, nie zostało dużo czasu.
12 października 2027: Uruchomienie pełnej, rozszerzonej fazy obowiązkowego raportowania incydentów i podatności
12 grudnia 2027: Pełna egzekwowalność
Produkty niespełniające wymogów otrzymują zakaz wprowadzania na rynek UE. Czyli najpóźniej w listopadzie 2027 – panika.

CRA – kogo i czego dotyczy

Kluczowa jest definicja z Art. 3: regulacja dotyczy oprogramowania jako „części elektronicznego systemu informatycznego”.

Co jest pod lupą?

Oprogramowanie – systemy operacyjne, aplikacje mobilne oraz komercyjne wtyczki i motywy do CMS.
Hardware (IoT) – inteligentne lodówki czy odkurzacze itp. Ale też – co warto podkreślić – profesjonalne systemy hotelowe (np. aplikacje do sterowania temperaturą w pokoju czy zamki elektroniczne).
Urządzenia sieciowe typu routery, serwery, firewalle.
Last but (zdecydowanie) not least – strony internetowe. Choć sama witryna nie zawsze podpadnie pod powyższą definicję – twórca ponosi pełną odpowiedzialność prawną, jeśli „zaszyje” w niej komercyjne komponenty niespełniające CRA.

Czyli kogo dotyczy CRA?

Twórców – zwykle zwanych „producentami” – ale też importerów, dystrybutorów itp. Trochę jak przepisy o odpowiedzialności za namacalne bezpieczeństwo produktów. Na przykład GPSR czy regulacje Kodeksu Cywilnego o produkcie niebezpiecznym – notabene temat mojej magisterki z czasów, jak jeszcze miałem włosy i to nawet dużo. 😉
Jeśli na rynek wszedł produkt niebezpieczny, powiedzmy zabawka – trzeba go usunąć, ktoś za to odpowiada itd. Jest to nie tylko producent, ale właśnie też importer czy dystrybutor.

Jakie obowiązki wynikają z CRA?

No właśnie – usunąć, odpowiadać. Trochę to wyliczmy:
Na początek – coś znanego bywalcom mojego cyklu o RODO , czyli „coś” by design. Tam było to privacy. Czas na security by design. Bezpieczeństwo musi być fundamentem architektury, a nie „nakładką” dodawaną na końcu.
I kończą się wymówki typu „to tylko beta” lub „to MVP”. Każdy produkt komercyjny musi być bezpieczny od pierwszej sekundy na rynku.

Poza tym? Zobowiązanie do:

Usuwania luk przed premierą
Zapewnienia wsparcia i łat bezpieczeństwa przez minimum 5 lat
Wdrożenia rygorystycznych procedur on-call: wykryty incydent musi trafić do ENISA i CSIRT w ciągu 24 godzin.

Dokumentacja i procedury

Będzie trochę papierów – jak przy RODO. I na tym nie koniec podobieństw – należałoby uszyć je na miarę dla Twojego kontekstu. Choć po ponad dekadzie w branży wiem, że i wymiany wzorków nie unikniemy.
Dla porządku – podziel dokumentację na dwa obiegi: poniżej w tabeli są trochę rozpisane.

Kluczowym elementem są procedury rollbacku – producent musi posiadać technologiczną i prawną możliwość sprawnego wycofania produktu z rynku lub cofnięcia wadliwej aktualizacji, jeśli zagraża ona bezpieczeństwu.

Testy bezpieczeństwa i „udowadnialność”

Najważniejszym słowem w CRA jest właśnie udowadnialność. Samo „zachowanie rozsądku” to za mało. W pewnym sensie brak dowodu na przeprowadzenie testu jest równoznaczny z jego zaniechaniem.
Czyli musisz być w stanie dowieść przed kontrolą – też przykładowo po roku od zdarzenia – że testy penetracyjne i skanowania faktycznie miały miejsce, a ich wyniki zostały poddane analizie. Jeśli coś jest nieudowadnialne, w świetle CRA po prostu nie zostało zrobione.
Wiem – wiele osób testuje, pilnuje. Po prostu teraz „tylko” będzie trzeba to wykazać. To przestała być kwestia dobrej woli.

CRA i jeszcze więcej skrótów – VDP i SBOM

Okej, no to je sobie krótko wyjaśnijmy:

VDP (Vulnerability Disclosure Policy): oficjalny kanał komunikacji, przez który użytkownicy zgłaszają luki. To „linia alarmowa” producenta.
SBOM (Software Bill of Materials): szczegółowy wykaz wszystkich bibliotek i zależności użytych np. w kodzie. SBOM jest niezbędny do monitorowania bezpieczeństwa łańcucha dostaw – pozwala błyskawicznie sprawdzić, czy błąd w zewnętrznej bibliotece nie czyni Twojego produktu podatnym na atak.

Przyznaj, że w obu przypadkach te dokumenty mają sens. Warto wiedzieć, jakie są „składniki” i którędy alarmować, że coś jest nie tak.

Zanim o karach – jak nie podlegać CRA

Opowiadam o tym CRA już nie od dziś i widzę klasyczny polski scenariusz – tak jak przy EAA czy już wspomnianym RODO. Czyli najwięcej pytań o to, jak nowej regulacji uniknąć.
Istnieją dwa scenariusze pozwalające uniknąć rygorów rozporządzenia, jednak wymagają one ostrożności.

Brak charakteru komercyjnego: projekty czysto hobbystyczne, niegenerujące żadnych przychodów. Ale uwaga – nawet z płatnego wsparcia typu Patronite!
Brak istotnych aktualizacji: jeśli produkt jest „zamrożony” i nie otrzymuje nowych funkcji, może uniknąć części obowiązków. Należy jednak pamiętać o długu technologicznym – jeśli produkt jest nadal dostępny na rynku, producent wciąż może odpowiadać za krytyczne luki bezpieczeństwa na podstawie ogólnych przepisów o odpowiedzialności za produkt.

Patrzę na to realnie i wiem, że nie są to ultraostro określone kryteria. Z tego też powodu nie stawiałbym na nie swojego biznesu. Na Teutatesa, po prostu nie trać energii na obejścia i zużyj ją na wdrożenie tych trzech literek!

Kary z CRA

Może przekonam Cię karami? Sankcje za naruszenie CRA są dotkliwe i nie ograniczają się do sfery finansowej.

Kary pieniężne – do 15 milionów euro lub 2,5% całkowitego rocznego obrotu światowego. Bagatela. Ale to nie wszystko.
Sankcje administracyjne – np. nakaz natychmiastowego wycofania produktu z obrotu. Oraz – co najbardziej bolesne wizerunkowo – obowiązek publicznego poinformowania wszystkich użytkowników o zagrożeniu. I znów – ja tu widzę podobieństwa do regulacji o bezpieczeństwie produktów.

Podsumujmy te przepisy

Weź do garnka trochę RODO, trochę bezpieczeństwa produktów i dla smaku dopraw regulacjami o cyberbezpieczeństwie – ten pyszny koktajl nazywa się CRA. Pewnie gdy to czytasz, to dla Ciebie oznacza nowe obowiązki. Ale nie zapominajmy o „odbiorcach końcowych”!
Dla użytkownika końcowego CRA oznacza realny spokój i wiedzę, na czym stoi. Certyfikaty, możliwość porównania „składów”, możliwość zgłaszania wątpliwości i wiedzy, co z tym zgłoszeniem dzieje się dalej.

💡 Wyobraź sobie firmę produkującą inteligentne żarówki sterowane aplikacją. Po wejściu CRA, firma ta będzie musiała udowodnić, że nikt nie włamie się do Twojej domowej sieci przez ich produkt. Jeśli za dwa lata ktoś odkryje błąd w ich oprogramowaniu, producent będzie miał obowiązek go naprawić i szybko Cię o tym powiadomić.

Dla biznesu to czas na audyt i profesjonalizację procesów. Pierwsze kroki, które należy podjąć już teraz:

Audyt portfolio: sprawdzenie, które produkty podpadają pod definicję z Art. 3.
Inwentaryzacja techniczna: stworzenie list SBOM dla kluczowych rozwiązań.
Wdrożenie VDP: uruchomienie kanału zgłaszania podatności.

Zignorowanie CRA to nie tylko ryzyko finansowe, to przede wszystkim ryzyko wykluczenia z europejskiego rynku cyfrowego. Bezpieczeństwo przestaje być opcją – staje się prawem.

Wolisz posłuchać?

Zobacz nasze wystąpienie z drugim Tomkiem podczas WordUp-u w Gdyni:

Wy-CRAkane, czyli zapowiedzmy co dla branży oznacza unijny CRA

Sprawdź więcej wpisów związanych z CRA

Startup w gąszczu umów

Nie pozwól aby zawiłości prawa przeszkodziły Ci w efektywnym prowadzeniu firmy!

Poziom:

Podstawowy
Kurs Prawo dla freelancera

Poznaj najważniejsze prawne aspekty działalności freelancera, omówione prostym i zrozumiałym językiem

Poziom:

Podstawowy
Prawo w e-commerce

Dowiedz się jak prowadzić biznes w internecie i spać spokojnie nie martwiąc się o aspekty prawne.

Poziom:

Podstawowy

Dziękuję Ci za przeczytanie artykułu!
Chcesz dowiedzieć się więcej na temat mojej pracy?
Więcej o mnie

Odezwij się

Jestem do Twojej dyspozycji.

Skontaktuj się

Ta strona wykorzystuje pliki cookies w celu zapewnienia prawidłowego działania poszczególnych jej funkcji (pliki cookies własne) oraz pliki cookies pochodzące od podmiotów trzecich w celu korzystania z narzędzi zewnętrznych (Google Analytics, HotJar, YouTube, Spreaker, MailerLite). Do informacji, które są gromadzone w plikach cookies od podmiotów trzecich, mają dostęp dostawcy wymienionych narzędzi zewnętrznych. Dowiedz się więcej: polityka prywatności.

Czy wyrażasz zgodę na przechowywanie informacji oraz uzyskiwanie dostępu do informacji przechowywanych w plikach cookies?

Ustawienia szczegółowe Nie zgadzam się Zgadzam się

Widzę, że cenisz swoją prywatność. Aby ułatwić Ci kontrolę prywatności, wdrożyłem mechanizm, który pozwala Ci dostosować wykorzystywanie w ramach mojej strony plików cookies oraz innych technologii śledzących.

Ta strona wykorzystuje pliki cookies własne w celu zapewnienia prawidłowego działania jej poszczególnych funkcji. Dodatkowo wykorzystywane są pliki cookies podmiotów trzecich w celu korzystania z narzędzi zewnętrznych. Więcej dowiesz się w polityce prywatności.

Jeżeli chcesz zaakceptować wszystkie zastosowane na stronie pliki cookies, po prostu kliknij w przycisk poniżej.

Akceptuję wszystkie pliki cookies

Aby dokonać bardziej zaawansowanych ustawień, skorzystaj z poniższych opcji.

Pliki cookies niezbędne do świadczenia usług drogą elektroniczną
Te pliki cookies pozostaną aktywne zawsze i nie masz możliwości wyboru w tym zakresie, ponieważ są to pliki cookies, dzięki którym w sposób prawidłowy funkcjonują m.in. formularze na stronie oraz mechanizm autoryzacji do konta użytkownika. Dodatkowo w tych plikach cookies zapisana zostanie informacja o Twoich ustawieniach plików cookies.
Odtwarzacze audio i wideo
Na stronie wykorzystuję multimedia z serwisów YouTube, Spreaker i Mixcloud. Odtwarzacze tych multimediów wykorzystują do swojego działania pliki cookies pochodzące od ich dostawców. Dostawcy mogą uzyskiwać dostęp do informacji gromadzonych w plikach cookies oraz Twojego adresu IP. Informacje te wykorzystywane są w celu zapewnienia prawidłowego działania odtwarzaczy oraz w celach analitycznych. Możesz nie pozwolić na wykorzystanie plików cookies związanych z odtwarzaczami, ale nie będziesz w stanie zobaczyć treści osadzonych jako odtwarzacze multimediów.
Newsletter
Na stronie znajdziesz formularze pozwalające Ci zapisać się do mojego newslettera. Formularz wykorzystuje do swojego prawidłowego działania pliki cookies pochodzące od dostawcy systemu newsletterowego MailerLite. Dostawca może uzyskiwać dostęp do informacji gromadzonych w plikach cookies oraz Twojego adresu IP. Informacje te wykorzystywane są w celu zapewnienia prawidłowego działania formularza oraz w celach analitycznych. Możesz wyłączyć pliki cookies związane z newsletterem. W takiej sytuacji nie będziesz w stanie zapisać się do newslettera.
Narzędzia Google
Na stronie korzystam z Google Analytics - narzędzia pozwalającego na gromadzenie, przeglądanie oraz analizę statystyk związanych z aktywnością użytkowników. Google Analytics gromadzi informacje na temat Twojej aktywności na stronie oraz Twój adres IP. Informacje te mogą być przez firmę Google wykorzystywane przy budowaniu Twojego profilu użytkownika. Informacje pochodzące z Google Analytics mogą być wykorzystywane w ustawieniach kampanii reklamowych z wykorzystaniem Google Ads. Jeżeli sobie tego nie życzysz, możesz wyłączyć narzędzia Google.
Narzędzia marketingowe Facebooka
Na stronie korzystam z narzędzi marketingowych Facebooka. Dla ich lepszego wykorzystania osadziłem na swojej stronie Pixel Facebooka, który gromadzi informacje na temat Twojej aktywności na stronie oraz pozwala na podstawie zgromadzonych informacji ustawiać reklamy z zaawansowanymi opcjami targetowania. Jeżeli sobie tego nie życzysz, możesz wyłączyć narzędzia marketingowe Facebooka.
Narzędzie analityczne HotJar
Korzystam z narzędzia analitycznego HotJar. Dlatego osadziłem na stronie skrypty analityczne od HotJar, które służą do gromadzenia informacji o Twojej aktywności na mojej stronie oraz Twojego adresu IP. Na podstawie tak zgromadzonych informacji mogę analizować zachowania użytkowników na stronie by poprawiać wygodę jej użytkowania. Jeżeli sobie tego nie życzysz, możesz wyłączyć skrypty analityczne HotJar.