Cyber Resilience Act (CRA), czyli rozporządzenie Parlamentu Europejskiego i Rady (UE) 2024/2847, wprowadza jednolite w całej Unii Europejskiej wymagania dotyczące cyberbezpieczeństwa produktów z elementami cyfrowymi. Celem regulacji jest zwiększenie poziomu bezpieczeństwa produktów dostępnych na rynku UE oraz zapewnienie skutecznego reagowania na podatności i incydenty bezpieczeństwa. W praktyce przekłada się to na lepszą ochronę użytkowników – zarówno indywidualnych, jak i organizacji – przed zagrożeniami wynikającymi z podatności w oprogramowaniu i urządzeniach.
Na podstawie przepisów ustawy o krajowym systemie cyberbezpieczeństwa (Dz. U. 2026 poz. 20 z późn. zm.) CERT Polska, wykonując zadania CSIRT NASK, pełni funkcję koordynatora na potrzeby skoordynowanego ujawniania podatności. W związku z tym zespół realizuje zadania związane ze zgłoszeniami wynikającymi z przepisów Cyber Resilience Act.
CRA ma zastosowanie do produktów z elementami cyfrowymi wprowadzanych na rynek Unii Europejskiej. Zgodnie z definicją, „produkt z elementami cyfrowymi” oznacza oprogramowanie komputerowe lub sprzęt komputerowy oraz powiązane z nimi rozwiązania w zakresie zdalnego przetwarzania danych, w tym komponenty oprogramowania lub sprzętu, które są oddzielnie wprowadzane do obrotu. Rozporządzenie nie obejmuje jednak niektórych sektorów i kategorii produktów, takich jak wyroby medyczne, pojazdy, lotnictwo, systemy wojskowe oraz oprogramowanie świadczone wyłącznie jako usługa (SaaS) czy oprogramowanie open source rozwijane niekomercyjnie.
CRA zacznie być stosowany etapami. Od 11 czerwca 2026 r. będzie stosowany rozdział IV rozporządzenia (art. 35–51), dotyczący podmiotów oceniających zgodność. Z kolei od 11 września 2026 r. zacznie obowiązywać art. 14 CRA, który określa obowiązki producentów w zakresie zgłaszania podatności i incydentów. Pozostałe przepisy CRA zaczną być stosowane od 11 grudnia 2027 r.
Obowiązki producentów w zakresie zarządzania podatnościami
Obowiązki producentów zostały określone w rozdziale II CRA, w szczególności w art. 13 oraz w załączniku I do rozporządzenia. Obejmują one m.in. ocenę ryzyka w kontekście cyberbezpieczeństwa, dostosowanie procesu projektowania i rozwoju produktu do wyników tej oceny, prowadzenie dokumentacji technicznej oraz wdrożenie procesu postępowania w przypadku wykrycia podatności. Zarządzanie podatnościami jest jednym z głównych nowych obowiązków wynikających z CRA.
W praktyce oznacza to konieczność systematycznego monitorowania i badania występowania podatności w produkcie nie tylko na etapie jego tworzenia, lecz także przez cały okres jego użytkowania. Producent ma obowiązek reagować na informacje o podatnościach, weryfikować je i usuwać w możliwie najkrótszym czasie. Nie powinien on również udostępniać nowych wersji produktu, jeżeli posiada wiedzę o istniejących podatnościach, które nie zostały jeszcze usunięte. Rozporządzenie dopuszcza udostępnianie nieukończonego oprogramowania, takiego jak wersje testowe, wyłącznie na ograniczony okres i do celów testowych, pod warunkiem wyraźnego oznaczenia, że oprogramowanie to nie spełnia wymagań CRA oraz nie jest przeznaczone do użytku produkcyjnego. Ma to na celu jasne odróżnienie produktów testowych od rozwiązań, które trafiają do docelowego wykorzystania przez użytkowników. Takie podejście zwiększa stabilność i jednoznaczny poziom bezpieczeństwa produktów wykorzystywanych przez użytkowników.
Obowiązkowemu zgłaszaniu podlegają wszystkie podatności, co do których istnieją wiarygodne przesłanki, że są aktywnie wykorzystywane. Obowiązkowi zgłaszania podlegają również poważne incydenty mające wpływ na bezpieczeństwo produktu z elementami cyfrowymi, w szczególności dostępność, autentyczność, integralność lub poufność wrażliwych lub ważnych danych, a także umieszczenie złośliwego kodu. Źródłem informacji o podatności lub incydencie mogą być zarówno własne obserwacje producenta, jak i zgłoszenia użytkowników, klientów czy niezależnych badaczy. Ten mechanizm ma zapewnić, że informacje o zagrożeniach są obsługiwane w sposób transparentny i trafiają do właściwych podmiotów w celu ochrony użytkowników.
Zgłaszanie podatności i aktualizacje
Zgłaszanie aktywnie wykorzystywanych podatności oraz poważnych incydentów w produktach cyfrowych od 11 września 2026 r. będzie odbywało się za pośrednictwem pojedynczej platformy sprawozdawczej (Single Reporting Platform1, dalej SRP) zarządzanej przez ENISA (Agencję Unii Europejskiej ds. Cyberbezpieczeństwa). SRP ma być centralnym punktem zgłaszania incydentów i podatności w całej UE. Polscy producenci będą korzystać z niej bezpośrednio, a zgłoszenia te będą obsługiwane przez CSIRT NASK, jeśli ci producenci wybiorą w trakcie rejestracji Polskę jako państwo, z którym są najbardziej związani (mają siedzibę lub przedstawiciela albo mają najwięcej użytkowników). Aby dokonać zgłoszenia w SRP jako producent, wymagana będzie rejestracja i w niektórych przypadkach pomyślna weryfikacja. Do momentu publicznego udostępnienia platformy nie ma możliwości rejestracji producentów ani produktów na potrzeby zgłaszania podatności i incydentów zgodnie z CRA.
Jednym z kluczowych elementów rozporządzenia są wymagania dotyczące poprawek bezpieczeństwa. Producent ma domyślnie zapewnić możliwość eliminowania podatności poprzez automatyczne aktualizacje. Jednocześnie użytkownik ma zachować możliwość rezygnacji z automatycznych aktualizacji oraz otrzymywać jasne informacje o dostępnych poprawkach i możliwości ich czasowego odroczenia. Takie podejście ma na celu ograniczenie ryzyka wykorzystywania nieaktualnego lub podatnego oprogramowania, przy jednoczesnym zachowaniu kontroli po stronie użytkownika.
Minimalny okres wsparcia produktu wynosi co najmniej pięć lat, chyba że przewidywany okres użytkowania produktu jest krótszy. Dla użytkowników oznacza to gwarancję, że przez znaczną część cyklu życia produktu będą dostępne poprawki bezpieczeństwa i wsparcie producenta. Producent ma obowiązek prowadzić dokumentację techniczną produktu, a właściwy organ nadzoru rynku może zażądać jej udostępnienia w ramach kontroli.
Przygotowaliśmy poradnik dla producentów w kontekście Cyber Resilience Act: Dobre praktyki zarządzania bezpieczeństwem oprogramowania. Zachęcamy do lektury!
Kliknij w interesujący Cię rozdział w poniższym spisie treści, aby wyświetlić go w przeglądarce, albo pobierz plik z poradnikiem.
Zachęcamy również do zapoznania się z materiałami Komisji Europejskiej nt. wdrożenia CRA: Akt w sprawie cyberodporności – wdrożenie
W przypadku dodatkowych pytań dotyczących zgłaszania podatności zachęcamy do kontaktu z zespołem CERT Polska pod adresem [email protected].
