CRA Snapshot dla producentów produktów z elementami cyfrowymi
Stałocenowa ocena 1–2 rodzin produktów pod kątem Cyber Resilience Act: klasyfikacja, wyłączenia, luki wobec Załącznika I, gotowość do art. 14, SBOM-lite i plan działań na 60–90 dni.
Dla kogo
Dla producentów sprzętu, urządzeń IoT, systemów wbudowanych i oprogramowania, czyli firm wprowadzających do obrotu produkty z elementami cyfrowymi. CRA dotyczy producentów, importerów i dystrybutorów takich produktów.
Co obejmuje
- Ustalenie, czy produkt jest produktem z elementami cyfrowymi i jaka jest Twoja rola (producent, importer, dystrybutor, upoważniony przedstawiciel).
- Sprawdzenie możliwych wyłączeń.
- Klasyfikacja produktu: produkt domyślny, produkt ważny klasy I lub II, produkt krytyczny.
- Analiza luk wobec wymagań Załącznika I część I (właściwości produktu) i część II (obsługa podatności).
- Gotowość do art. 14, czyli zgłaszania aktywnie wykorzystywanych podatności i poważnych incydentów.
- SBOM-lite, czyli wykaz komponentów oprogramowania (software bill of materials).
- Okres wsparcia (support period) i proces aktualizacji.
- Mapa dokumentacji technicznej w kierunku oznakowania CE (Załącznik VII).
- Rekomendowany następny krok i plan działań na 60–90 dni.
Najważniejsze terminy CRA
Cyber Resilience Act to Rozporządzenie (UE) 2024/2847. Daty stosowania są etapowe:
- Rozporządzenie weszło w życie 10 grudnia 2024.
- Obowiązki raportowania podatności i incydentów (art. 14) stosuje się od 11 września 2026.
- Przepisy o jednostkach notyfikowanych obowiązują od 11 czerwca 2026.
- Pełne stosowanie i oznakowanie CE od 11 grudnia 2027.
Mikro i małe przedsiębiorstwa mają ułatwienia: mogą przedstawić dokumentację techniczną w uproszczonej formie, a grzywny administracyjne nie mają zastosowania do niedotrzymania terminu wczesnego ostrzeżenia (art. 64 ust. 10). Maksymalne grzywny w CRA sięgają 15 mln EUR lub 2,5% światowego rocznego obrotu (art. 64).
Czym CRA Snapshot nie jest
CRA Snapshot przygotowuje do oceny zgodności, ale jej nie zastępuje. Nie gwarantujemy zgodności i nie wystawiamy deklaracji zgodności UE za producenta. Za deklarację zgodności i oznakowanie CE odpowiada producent. Dla części klas produktów ocenę zgodności prowadzi jednostka notyfikowana, którą nie jesteśmy.
Normy takie jak IEC 62443, ISO/IEC 27001, ISO/IEC 29147 czy ISO/IEC 30111 traktujemy jako praktykę i mapowanie do wymagań, a nie jako automatyczną gwarancję zgodności z CRA. Dopóki norma zharmonizowana nie jest opublikowana w Dzienniku Urzędowym UE, nie powołujemy się na domniemanie zgodności.
Powiązane usługi
- PSIRT / SBOM Starter jako kolejny krok po CRA Snapshot.
- OT / IEC 62443 Mini-Gap dla produktów używanych w przemyśle.
- Cyber Insurance Evidence Check dla dowodów do ankiety ubezpieczeniowej.