Najczęściej zadawane pytania

CRA (Rozporządzenie UE 2024/2847) dotyczy producentów, importerów i dystrybutorów produktów z elementami cyfrowymi wprowadzanych na rynek Unii Europejskiej.

To oprogramowanie lub produkt sprzętowy oraz jego rozwiązania zdalnego przetwarzania danych, w tym komponenty wprowadzane do obrotu oddzielnie (art. 3 CRA). W praktyce: sprzęt, urządzenia i oprogramowanie łączące się z urządzeniem lub siecią.

Art. 14 nakłada na producenta obowiązek zgłaszania aktywnie wykorzystywanej podatności: wczesne ostrzeżenie w ciągu 24 godzin, zgłoszenie w ciągu 72 godzin i raport końcowy do 14 dni po udostępnieniu poprawki, do CSIRT pełniącego rolę koordynatora i do ENISA. Stosuje się od 11 września 2026.

Pełne stosowanie i oznakowanie CE obowiązują od 11 grudnia 2027. CRA odnosi się do produktów wprowadzanych do obrotu, a zasady przejściowe dla produktów już dostępnych warto ocenić indywidualnie dla konkretnej rodziny produktów.

SBOM (software bill of materials) to maszynowo czytelny wykaz komponentów oprogramowania. CRA wymaga go w ramach obsługi podatności (Załącznik I część II).

PSIRT to zespół i proces obsługi zgłoszeń podatności produktu: przyjmowanie zgłoszeń, triage, wydawanie poprawek i komunikatów dla klientów (advisory).

Nie. CRA Snapshot przygotowuje do oceny i porządkuje dowody, ale nie zastępuje oceny zgodności i nie gwarantuje zgodności. Za deklarację zgodności UE i oznakowanie CE odpowiada producent.

CRA Snapshot to ocena techniczna i organizacyjna gotowości produktu. Interpretacje prawne rozdzielamy od części technicznej; w kwestiach prawnych współpracujemy z doradcami i kancelariami.

Zwykle nie jest narzuconą prawnie normą obowiązkową dla każdej firmy z OT. Jest natomiast rozpoznawalnym językiem dowodów bezpieczeństwa dla systemów przemysłowych i produktów.

Bo coraz częściej pytają o nie klienci przemysłowi, audytorzy i ubezpieczyciele. Daje wspólny język do pokazania, że środowisko OT jest zabezpieczone.

IT chroni dane i systemy biurowe. OT chroni procesy przemysłowe i sterowanie, gdzie priorytetem jest ciągłość i bezpieczeństwo procesu. Inne są cykle życia urządzeń, możliwości aktualizacji i tolerancja na przestoje.

Krótką ocenę: zdalny dostęp, segmentacja, konta, logging, aktualizacje, podatności i backup, wymagania klientów przemysłowych, mapowanie na praktyki IEC 62443 oraz rekomendacje na 60-90 dni.

Nie pośredniczymy w sprzedaży ubezpieczeń. Pomagamy technicznie przygotować odpowiedzi i dowody przed rozmową z brokerem lub ubezpieczycielem.

Tak, w części technicznej: tłumaczymy pytania, oznaczamy ryzykowne odpowiedzi i kompletujemy dowody kontroli.

Najczęściej: MFA, kopie zapasowe z testem odtworzenia, EDR i logi, zarządzanie dostępem zdalnym i kontami uprzywilejowanymi oraz procedura reagowania na incydenty.

Nie. Decyzję podejmuje ubezpieczyciel. Pomagamy zwiększyć gotowość i jakość odpowiedzi, ale nie gwarantujemy uzyskania polisy.

KSC to ustawa o krajowym systemie cyberbezpieczeństwa, która wdraża unijną dyrektywę NIS 2. Obowiązki polskich podmiotów wynikają z ustawy.

Nie. O objęciu decyduje sektor (załączniki ustawy) i wielkość przedsiębiorstwa (art. 5). Status warto sprawdzić indywidualnie, na przykład naszym kwalifikatorem.

Nie. ISO 27001 jest dobrowolne. Ułatwia spełnienie wymogów KSC dzięki podobnym zasadom zarządzania ryzykiem, ale nie jest wymagane i nie oznacza automatycznie zgodności z KSC.

Nie. IEC 62443 nie jest ogólnym obowiązkiem ustawowym. Bywa pomocna dla środowisk OT jako język dowodów.