Rozdziały 09 Obowiązuje od: 11 grudnia 2027 (pełne)

Ustawa o cyberodporności

Ustawa o cyberodporności

Przegląd

Ustawa o cyberodporności (CRA) wprowadza obowiązkowe wymagania dotyczące cyberbezpieczeństwa dla produktów sprzętowych i programowych z elementami cyfrowymi. Obejmuje cały cykl życia produktu od projektowania aż do zakończenia wsparcia i ma na celu przeciwdziałanie rozprzestrzenianiu się niebezpiecznych produktów IoT i oprogramowania.[1]

CRA ma zastosowanie do produktów wprowadzanych na rynek UE, niezależnie od miejsca ich produkcji.

Harmonogram stosowania

DataKamień milowy
10 grudnia 2024Wejście w życie CRA
11 września 2026Rozpoczęcie obowiązków raportowania
11 grudnia 2027Pełne stosowanie wszystkich wymagań

Produkty objęte zakresem

Objęte produkty

Produkty z elementami cyfrowymi, które:

  • Posiadają bezpośrednie lub pośrednie logiczne lub fizyczne połączenie danych z urządzeniem lub siecią
  • Obejmują komponenty sprzętowe i programowe

Kategorie

KategoriaWymaganiaPrzykłady
DomyślnaSamodzielna ocenaWiększość oprogramowania, podstawowe IoT
Ważna klasa IOcena oparta na normachPrzeglądarki, menedżery haseł, VPN, zarządzanie siecią
Ważna klasa IIOcena przez stronę trzeciąSystemy operacyjne, zapory sieciowe, routery, hipernadzorcy
KrytycznaOcena przez stronę trzecią + certyfikacjaModuły bezpieczeństwa sprzętowego, inteligentne liczniki, karty inteligentne

Zwolnienia

  • Oprogramowanie open source (rozwój niekomercyjny)
  • SaaS (objęte innymi przepisami)
  • Produkty już regulowane (urządzenia medyczne, pojazdy, lotnictwo)
  • Produkty obronne i związane z bezpieczeństwem narodowym

Podstawowe wymagania dotyczące cyberbezpieczeństwa[2]

Bezpieczeństwo przez projekt

Produkty muszą być zaprojektowane i opracowane tak, aby zapewnić:

  1. Odpowiedni poziom bezpieczeństwa: Opierający się na przewidywanych ryzykach
  2. Brak znanych podatności do wykorzystania: W momencie wprowadzenia na rynek
  3. Bezpieczna konfiguracja domyślna: W tym możliwość przywrócenia ustawień fabrycznych
  4. Ochrona poufności: Dla danych przechowywanych, przesyłanych i przetwarzanych
  5. Ochrona integralności: Przed nieautoryzowanymi modyfikacjami
  6. Dostępność: Odporność na odmowę usługi
  7. Minimalna powierzchnia ataku: Ograniczenie potencjalnych wektorów ataku
  8. Ograniczenie skutków incydentów: Minimalizacja konsekwencji naruszeń

Uwierzytelnianie i kontrola dostępu

  • Silne, unikalne domyślne dane uwierzytelniające lub ustawiane przez użytkownika przy pierwszym użyciu
  • Ochrona przed atakami brute force
  • Bezpieczne mechanizmy uwierzytelniania

Ochrona danych

  • Szyfrowane przechowywanie danych wrażliwych
  • Bezpieczne przesyłanie danych
  • Usuwanie lub anonimizacja danych, gdy nie są już potrzebne

Wymagania dotyczące obsługi podatności[3]

Producenci muszą:

  1. Identyfikować podatności: Poprzez testy i monitorowanie
  2. Dokumentować komponenty: Utrzymywać wykaz składników oprogramowania (SBOM)
  3. Usuwać podatności: Zapewniać aktualizacje bezpieczeństwa bez zbędnej zwłoki
  4. Ujawniać podatności: Koordynować działania z zainteresowanymi stronami
  5. Aktualizacje bezpieczeństwa: Bezpłatne aktualizacje przez określony okres wsparcia (minimum 5 lat)

Raportowanie podatności

Od września 2026 producenci muszą raportować:

Rodzaj raportuTermin
Aktywnie wykorzystywana podatność24 godziny do ENISA
Incydent mający wpływ na bezpieczeństwo24 godziny do ENISA/CSIRT
Zgłoszenie podatności72 godziny do ENISA

Ocena zgodności

KategoriaProcedura
DomyślnaSamozgłoszenie lub badanie typu UE
Ważna klasa IZharmonizowane normy LUB ocena przez stronę trzecią
Ważna klasa IIOcena zgodności przez stronę trzecią
KrytycznaBadanie typu UE + zapewnienie jakości produkcji

Produkty muszą posiadać znak CE potwierdzający zgodność.

Kary

  • Nieprzestrzeganie: Do 15 milionów euro lub 2,5% światowego obrotu
  • Naruszenie wymagań podstawowych: Do 10 milionów euro lub 2% obrotu
  • Inne naruszenia: Do 5 milionów euro lub 1% obrotu[4]

Zadania dla deweloperów

Dla producentów oprogramowania i sprzętu:

  1. Inwentaryzacja produktów: Określić, które podlegają regulacjom i ich kategorię
  2. Bezpieczeństwo przez projekt: Włączyć bezpieczeństwo do procesów rozwojowych
  3. Zarządzanie podatnościami: Ustanowić procedury wykrywania i obsługi
  4. Tworzenie SBOM: Dokumentować składniki i zależności oprogramowania
  5. Planowanie wsparcia: Definiować i komunikować okresy wsparcia
  6. Mechanizmy aktualizacji: Budować bezpieczne systemy dostarczania aktualizacji
  7. Przygotowanie do oceny zgodności: Przygotować dokumentację techniczną

Źródła i odniesienia

[1]
Rozporządzenie (UE) 2024/2847 dotyczące wymagań cyberbezpieczeństwa dla produktów. EUR-Lex: Oficjalny tekst CRA
[2]
Załącznik I CRA: Podstawowe wymagania dotyczące cyberbezpieczeństwa. Portal CRA: Załącznik I
[3]
Załącznik I część II CRA: Wymagania dotyczące obsługi podatności. Portal CRA: Obsługa podatności
[4]
Artykuł 64 CRA: Kary. Portal CRA: Kary