Prawo
Prawo pracy i HR
Prawo pracy
Transparentność wynagrodzeń
ZFŚS
Programy motywacyjne
Zatrudnianie cudzoziemców
Ochrona sygnalistów (Whistleblowing)
Szkolenia z zakresu prawa pracy

Fundacja Rodzinna
Założenie fundacji rodzinnej
Bieżąca obsługa fundacji rodzinnej
Zarządzanie majątkiem fundacji rodzinnej
Księgowość fundacji rodzinnej
Family Counsel
Audyt fundacji rodzinnej
Prawo spółek i transakcje
Zakładanie spółek
Restrukturyzacja
Obsługa korporacyjna
Transakcje M&A
Venture Capital i Private Equity
Umowy inwestycyjne
Spory i postępowania
Spory gospodarcze
Spory korporacyjne
Odpowiedzialność członków zarządu
Arbitraż i mediacje
Postępowania administracyjne, sądowe
Spory z pracownikami
Windykacja
Umowy i prawo kontraktowe
Umowy handlowe
Umowy inwestycyjne
Umowy IT
Reprezentacja w toku negocjacji
Prawo budowlane i inwestycje
Ochrona danych, compliance i nowe technologie
Cyber Resilience Act (CRA)
AI Compliance
Compliance prawny
Cyberbezpieczeństwo
Ochrona danych osobowych
Obsługa prawna startupów
Prawo własności intelektualnej i technologii
Rejestracja IP: znaki towarowe, wzory, domeny.
Ochrona know-how
Spory IP
Umowy licencyjne
Projekty R&D
Ochrona środowiska, ESG
Ochrona środowiska, prawo ochrony środowiska
Gospodarowanie odpadami (BDO)
ESG
Mówimy językiem Twojej branży
Produkcja i przemysł Transport i logistyka Automotive IT i nowe technologie Budowlana i developerska FMCG, e-commerce i retail Media i marketing Usługi

Cyber Resilience Act (CRA): Przewodnik dla producentów i importerów

Czytaj więcej
Masz pytania?
Porozmawiajmy
Podatki
Podatek dochodowy CIT/PIT
Doradztwo CIT
CIT Estoński
JPK CIT
Podatek u źródła (WHT)
Zarządzanie majątkiem prywatnym
VAT i podatki pośrednie
VAT
Krajowy System e-Faktur (KSeF)
Akcyza, podatek celny, klasyfikacja CN i PKWiU
Ceny transferowe i wyceny
Ceny transferowe
Wycena przedsiębiorstw
Ulgi i dotacje podatkowe
Ulga B+R
IP Box
Ulga na prototyp
Ulga na ekspansję
Ulga na CSR
Ulga na innowacyjnych pracowników
Ulga na IPO
Audyt i optymalizacja podatkowa
Audyt podatkowy ( m.in. CIT, WHT, PSI, MDR, VAT)
Due diligence podatkowe
Optymalizacje podatkowe
Planowanie podatkowe
Kontrole i spory podatkowe
Kontrole i postępowania podatkowe
Postępowania karne skarbowe
Compliance i raportowanie
Schematy podatkowe (MDR)
Pillar 2
Procedury podatkowe
Podatek od nieruchomości (PON)
Rozliczenie strefowe SSE/PSI
Jakie cele chcesz zrealizować?
Szukam ulg podatkowych Wsparcie w kontrolach podatkowych dla sektora produkcyjnego Rozliczenie dochodów zagranicznych Wsparcie w kontrolach i postępowaniach podatkowych Planowanie strategii podatkowej dla startupów technologicznych

Kalkulator Ulgi B+R

Sprawdź kalkulator
Masz pytania?
Porozmawiajmy
Audyt
Audyt i badanie sprawozdań finansowych
Jakie cele chcesz zrealizować?
Przegląd sprawozdania finansowego Audyt grup kapitałowych i konsolidacja
  • Zbadanie sprawozdania finansowego spółki
  • Audyt grupy kapitałowej i konsolidacja
  • Weryfikacja finansowa przed transakcją M&A
  • Przegląd sprawozdania dla inwestora lub banku
  • Audyt według standardów MSSF/MSR
  • Ocena systemu kontroli wewnętrznej
wyślij zapytanie
Rachunkowość
Sprawozdawczość zarządcza
Prowadzenie ksiąg rachunkowych, księgowanie
Sporządzanie sprawozdań finansowych
Przegląd ksiąg rachunkowych
Plan kont
Doradztwo rachunkowe
Polityka rachunkowości
Mówimy językiem Twojej branży
Produkcja i przemysł Transport i logistyka Automotive IT i nowe technologie Budowlana i developerska Usługi Energetyka, surowce i przemysł chemiczny Branża medyczna i farmaceutyczna

Rozjaśniamy skomplikowane

Szkolenia
Najbliższe szkolenia
Zobacz
Aktualnie istotne tematy
Cyber Resilience Act (CRA)- Kompletny przewodnik dla producentów
Prawo

Cyber Resilience Act (CRA): Przewodnik dla producentów i importerów

13.02.2026-Maciej Rydlichowski
Skontaktuj się z autorem
Maciej Rydlichowski
Maciej Rydlichowski
Senior Associate
Adwokat
maciej.rydlichowski@staniekandpartners.com
O autorze
Specjalizacje:
Cyber Resilience Act (CRA) Postępowania karne skarbowe Spory gospodarcze

Jeśli Twoja firma produkuje, importuje lub dystrybuuje produkty z elementami cyfrowymi na rynku Unii Europejskiej – ten artykuł jest dla Ciebie. 10 grudnia 2024 roku weszło w życie rozporządzenie Cyber Resilience Act (CRA), które wprowadza obowiązkowe wymogi cyberbezpieczeństwa dla szerokiej kategorii produktów: od oprogramowania i aplikacji mobilnych, przez urządzenia IoT i smart home, po sprzęt sieciowy i systemy przemysłowe.

Nowe przepisy oznaczają konkretne obowiązki – i konkretne terminy. Pierwszy kluczowy deadline to 11 września 2026 roku, kiedy wchodzi w życie obowiązek raportowania podatności.

Artykułem tym rozpoczynamy cykl publikacji, w których krok po kroku przeprowadzimy przez wymogi CRA i pomożemy przygotować się do nowej rzeczywistości regulacyjnej.

Czym jest Cyber Resilience Act?

Cyber Resilience Act, czyli Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2024/2847 z dnia 23 października 2024 r., to pierwsza w historii Unii Europejskiej horyzontalna regulacja wprowadzająca obowiązkowe wymogi cyberbezpieczeństwa dla produktów z elementami cyfrowymi.

Do tej pory cyberbezpieczeństwo produktów cyfrowych w UE było regulowane fragmentarycznie – różne dyrektywy obejmowały różne sektory, a wiele produktów nie podlegało żadnym wymogom. CRA zmienia tę sytuację, wprowadzając jednolite standardy dla wszystkich produktów z elementami cyfrowymi, niezależnie od branży.

Co istotne, CRA jest rozporządzeniem, nie dyrektywą. Oznacza to, że obowiązuje bezpośrednio we wszystkich państwach członkowskich – nie wymaga implementacji do prawa krajowego. Producent z Polski podlega tym samym wymogom co producent z Niemiec czy Francji.

Główne cele rozporządzenia to:

  1. zapewnienie, że produkty wprowadzane na rynek UE są projektowane i produkowane zgodnie z rygorystycznymi standardami cyberbezpieczeństwa;
  2. zobowiązanie producentów do zarządzania podatnościami przez cały cykl życia produktu;
  3. zwiększenie przejrzystości w zakresie cyberbezpieczeństwa dla konsumentów i użytkowników biznesowych.

Akt w sprawie cyberodporności (CRA) – kogo dotyczy?

Zakres podmiotowy CRA jest szeroki. Rozporządzenie dotyczy „produktów z elementami cyfrowymi” – czyli produktów sprzętowych lub programowych, których zamierzone lub przewidywalne zastosowanie obejmuje bezpośrednie lub pośrednie połączenie z urządzeniem lub siecią.

W praktyce oznacza to objęcie regulacją:

  • urządzeń IoT i smart home – inteligentnych zamków, termostatów, kamer, czujników, asystentów głosowych;
  • oprogramowania – aplikacji mobilnych, desktopowych, systemów operacyjnych, firmware;
  • sprzętu komputerowego – routerów, firewalli, laptopów, serwerów, mikroprocesorów;
  • urządzeń przemysłowych – sterowników PLC, systemów SCADA, czujników przemysłowych;
  • urządzeń medycznych z elementami cyfrowymi (z wyjątkiem wyrobów objętych rozporządzeniem MDR/IVDR).
Cyber Resilience Act (CRA) – Przewodnik dla producentów i importerów

Cyber Resilience Act (CRA) – Przewodnik dla producentów i importerów

Dowiedz się, jak dostosować swoją firmę do pierwszej w historii Unii Europejskiej horyzontalnej regulacji cyberbezpieczeństwa.

Co znajdziesz w środku?

  • Kogo dotyczy CRA? Sprawdź, czy jako producent, importer lub dystrybutor podlegasz nowym obowiązkom.
  • Kategorie produktów: Dowiedz się, czy Twój produkt należy do kategorii standardowej (90% rynku), ważnej czy krytycznej.
  • Kluczowe daty: Od obowiązku raportowania (wrzesień 2026) do pełnego stosowania przepisów (grudzień 2027).
  • Zasadnicze wymogi: Co oznaczają w praktyce pojęcia takie jak SBOM, polityka CVD czy Security by Design.
  • Kary za brak zgodności: Jak uniknąć sankcji sięgających nawet 15 milionów euro lub 2,5% światowego obrotu.
POBIERZ PRZEWODNIK

Obowiązki wynikające z CRA spoczywają na:

  • producentach – ponoszą główną odpowiedzialność za zgodność produktu z wymogami;
  • importerach – wprowadzający produkty spoza UE na rynek unijny są traktowani niemal jak producenci;
  • dystrybutorach – muszą weryfikować zgodność produktów przed ich udostępnieniem na rynku.

CRA wprowadza także nową kategorię podmiotów – „opiekunów oprogramowania otwartego” (open-source software stewards). To organizacje systematycznie wspierające rozwój konkretnych produktów open source przeznaczonych do działalności komercyjnej. Podlegają one łagodniejszym wymogom niż komercyjni producenci.

Kto nie podlega rozporządzeniu CRA?

Rozporządzenie przewiduje szereg wyłączeń:

  • niekomercyjne oprogramowanie open source (bez monetyzacji);
  • produkty objęte odrębnymi regulacjami sektorowymi (wyroby medyczne MDR/IVDR, pojazdy, lotnictwo);
  • usługi SaaS/PaaS/IaaS jako takie (podlegają dyrektywie NIS2);
  • oprogramowanie wewnętrzne firmy (niewprowadzane na rynek).

Trzy kategorie produktów:

CRA wprowadza podział produktów na trzy kategorie, które determinują procedurę oceny zgodności i zakres obowiązków producenta:

Produkty standardowe (domyślne)

Produkty standardowe stanowią około 90% rynku. To większość typowych produktów cyfrowych – aplikacje mobilne, podstawowe urządzenia IoT, oprogramowanie konsumenckie. Dla tych produktów wystarczy samoocena zgodności (tzw. Moduł A) – producent sam weryfikuje spełnienie wymogów i wystawia deklarację zgodności UE.

Produkty ważne (Załącznik III rozporządzenia)

Produkty ważne to produkty o podwyższonym ryzyku cyberbezpieczeństwa. Należą do nich m.in.: systemy zarządzania tożsamością i dostępem, przeglądarki internetowe, menedżery haseł, firewalle, routery przeznaczone do użytku przemysłowego, systemy wykrywania włamań. Dla produktów ważnych klasy I możliwa jest samoocena pod warunkiem zastosowania norm zharmonizowanych. Dla klasy II wymagana jest ocena przez jednostkę notyfikowaną.

Produkty krytyczne (Załącznik IV rozporządzenia)

Są to produkty o najwyższym poziomie ryzyka – sprzętowe moduły bezpieczeństwa (HSM), karty inteligentne, systemy operacyjne, infrastruktura klucza publicznego. Dla tych produktów obowiązkowa jest certyfikacja przez zewnętrzną jednostkę notyfikowaną.

Komisja Europejska przyjęła Rozporządzenie wykonawcze (UE) 2025/2392 z dnia 28 listopada 2025 roku, które precyzyjnie określa techniczne opisy kategorii produktów ważnych i krytycznych.

Kluczowe daty – harmonogram wdrożenia:

Rozporządzenie CRA wprowadza etapowy harmonogram wejścia w życie poszczególnych wymogów:

  • 10 grudnia 2024 roku – wejście w życie rozporządzenia. Od tego momentu CRA jest obowiązującym prawem UE;
  • 11 czerwca 2026 roku – rozpoczęcie działalności jednostek notyfikowanych. Od tej daty możliwa będzie certyfikacja produktów ważnych i krytycznych;
  • 11 września 2026 roku – wejście w życie obowiązków raportowania (art. 14 CRA). Od tego momentu producenci muszą zgłaszać do ENISA aktywnie wykorzystywane podatności (w ciągu 24 godzin) oraz poważne incydenty mające wpływ na bezpieczeństwo produktu;
  • 11 grudnia 2027 roku – pełne stosowanie rozporządzenia. Wszystkie nowe produkty wprowadzane na rynek UE muszą spełniać wszystkie wymogi CRA.

Uwaga: obowiązki raportowania z art. 14 CRA dotyczą wszystkich produktów udostępnionych na rynku UE – także tych wprowadzonych przed 11 grudnia 2027 roku.

Główne wymogi CRA:

Załącznik I do rozporządzenia określa zasadnicze wymogi cyberbezpieczeństwa, podzielone na dwie części:

Część I – wymogi dotyczące właściwości produktu

Obejmuje 13 wymogów, w tym:

  • projektowanie z uwzględnieniem ryzyka cyberbezpieczeństwa;
  • dostarczanie produktu bez znanych, exploitowalnych podatności;
  • bezpieczna konfiguracja domyślna;
  • kontrola dostępu i uwierzytelnianie;
  • ochrona poufności i integralności danych (szyfrowanie);
  • minimalizacja danych zgodnie z zasadą privacy by design;
  • odporność na ataki, w tym ataki typu DoS;
  • bezpieczny mechanizm aktualizacji oprogramowania.

Część II – wymogi dotyczące zarządzania podatnościami

Obejmuje 8 wymogów, w tym:

  • identyfikacja i dokumentacja komponentów, w tym tworzenie SBOM (Software Bill of Materials);
  • wdrożenie polityki CVD (Coordinated Vulnerability Disclosure);
  • raportowanie do ENISA aktywnie wykorzystywanych podatności i poważnych incydentów;
  • dostarczanie aktualizacji bezpieczeństwa przez cały okres wsparcia produktu;
  • prowadzenie dokumentacji technicznej (przechowywanie przez 10 lat).

Konsekwencje braku zgodności:

CRA wprowadza surowe sankcje za naruszenie wymogów. Zgodnie z art. 64 rozporządzenia:

  • naruszenie zasadniczych wymogów cyberbezpieczeństwa (Załącznik I) – kara pieniężna do 15 milionów euro lub 2,5% całkowitego rocznego światowego obrotu;
  • naruszenie innych obowiązków wynikających z CRA – kara pieniężna do 10 milionów euro lub 2% obrotu;
  • podanie nieprawdziwych informacji organom nadzoru bądź jednostką notyfikowanym – kara pieniężna do 5 milionów euro lub 1% obrotu.

Oprócz kar finansowych organy nadzoru rynku mogą nakazać wycofanie produktu z obrotu, zakazać wprowadzania produktu na rynek UE, a informacja o naruszeniu może być publicznie ogłoszona.

Warto zauważyć, że mikroprzedsiębiorstwa i małe przedsiębiorstwa nie podlegają karom za niedotrzymanie 24-godzinnego terminu zgłoszenia podatności. Nie zwalnia to jednak z samego obowiązku raportowania.

Jak prawidłowo wdrożyć nowe wymagania dotyczące cyberbezpieczeństwa (CRA)?

Dostosowanie do wymogów CRA wymaga systematycznego podejścia. Rekomendujemy następującą ścieżkę:

Inwentaryzacja produktów.

Sporządź listę wszystkich produktów z elementami cyfrowymi wprowadzanych na rynek UE. Dla każdego produktu ustal:

  • czy ma połączenie z siecią lub innym urządzeniem,
  • czy jest wprowadzany w ramach działalności handlowej,
  • do której kategorii należy (standardowy/ważny/krytyczny).

Analiza luk (gap analysis). Porównaj obecne praktyki z wymogami CRA. Kluczowe pytania:

  • czy masz politykę CVD?
  • Czy generujesz SBOM?
  • Czy masz procedury raportowania incydentów?

Czy dokumentacja techniczna spełnia wymogi Załącznika VII?

Plan działania z priorytetami:

  • Najpilniejsze działania (do 11 września 2026 roku): wdrożenie polityki CVD, procedur raportowania do ENISA, systemu monitorowania podatności.
  • Działania średnioterminowe (do 11 grudnia 2027 roku): dostosowanie procesów projektowania i produkcji, przygotowanie dokumentacji technicznej, przeprowadzenie oceny zgodności.

Budowanie kompetencji.

CRA wymaga wiedzy z zakresu cyberbezpieczeństwa, która nie zawsze jest dostępna wewnętrznie. Warto rozważyć szkolenia dla zespołu lub współpracę z zewnętrznymi ekspertami.

Cyber Resilience Act to fundamentalna zmiana w podejściu Unii Europejskiej do cyberbezpieczeństwa produktów cyfrowych. Dla producentów, importerów i dystrybutorów oznacza nowe obowiązki – ale także szansę na budowanie przewagi konkurencyjnej w oparciu o bezpieczeństwo produktów.

Kluczowe daty to 11 września 2026 roku (obowiązek raportowania) i 11 grudnia 2027 roku (pełna zgodność). Czasu na przygotowanie jest coraz mniej, a zakres wymaganych zmian jest znaczący.

W kolejnych artykułach z tego cyklu szczegółowo omówimy poszczególne aspekty CRA – od praktycznych wskazówek dotyczących raportowania podatności, przez tworzenie SBOM, po relację między CRA a innymi regulacjami, takimi jak NIS2.

Jeśli masz pytania dotyczące stosowania CRA w Twojej firmie lub potrzebujesz wsparcia w procesie dostosowania – skontaktuj się z nami.

    Wyślij wiadomość

    Cyber Resilience Act to fundamentalna zmiana w podejściu Unii Europejskiej do cyberbezpieczeństwa produktów cyfrowych. Dla producentów, importerów i dystrybutorów oznacza nowe obowiązki – ale także szansę na budowanie przewagi konkurencyjnej w oparciu o bezpieczeństwo produktów.

    Kluczowe daty to 11 września 2026 roku (obowiązek raportowania) i 11 grudnia 2027 roku (pełna zgodność). Czasu na przygotowanie jest coraz mniej, a zakres wymaganych zmian jest znaczący.

    W kolejnych artykułach z tego cyklu szczegółowo omówimy poszczególne aspekty CRA – od praktycznych wskazówek dotyczących raportowania podatności, przez tworzenie SBOM, po relację między CRA a innymi regulacjami, takimi jak NIS2.

    Jeśli masz pytania dotyczące stosowania CRA w Twojej firmie lub potrzebujesz wsparcia w procesie dostosowania – skontaktuj się z nami.

    FAQ

    Czym jest Cyber Resilience Act (CRA)?

    CRA to rozporządzenie UE wprowadzające obowiązkowe wymagania cyberbezpieczeństwa dla produktów z elementami cyfrowymi (sprzętu i oprogramowania) produkowanych i wprowadzanych na rynek Unii Europejskiej.

    Kogo dotyczy CRA?

    Głównie producentów, ale także importerów i dystrybutorów produktów z elementami cyfrowymi udostępnianych na rynku UE. W praktyce obejmuje to większość firm tworzących lub sprzedających urządzenia i software połączone z siecią.

    Jakie produkty obejmuje CRA?

    Produkty sprzętowe lub programowe, których użycie zakłada bezpośrednie lub pośrednie połączenie z urządzeniem lub siecią – np. aplikacje, firmware, IoT/smart home, routery, firewalle, systemy przemysłowe (PLC/SCADA) i wiele innych.

    Jakie są wyłączenia spod CRA?

    M.in. niekomercyjne open source (bez monetyzacji), produkty objęte regulacjami sektorowymi (np. MDR/IVDR), usługi SaaS/PaaS/IaaS jako takie (częściej NIS2), a także oprogramowanie tworzone wyłącznie do użytku wewnętrznego i niewprowadzane na rynek.

    Jakie są najważniejsze terminy CRA?

    Kluczowe kamienie milowe to:

    • 11 czerwca 2026 – rozpoczęcie działania jednostek notyfikowanych (możliwa certyfikacja).
    • 11 września 2026 – start obowiązków raportowania podatności/incydentów,
    • 11 grudnia 2027 – pełne stosowanie CRA dla nowych produktów,

    Jakie kary grożą za brak zgodności z CRA?

    CRA przewiduje wysokie sankcje finansowe (do kilkunastu milionów euro lub procent globalnego obrotu – w zależności od naruszenia), a dodatkowo możliwe są działania nadzoru rynku: wycofanie produktu, zakaz sprzedaży w UE oraz publikacja informacji o naruszeniu.

    Zobacz także

    Prawo
    Marka przedsiębiorstwa a ochrona prawna logo, nazwa firmy, domena i znak towarowy
    Marka przedsiębiorstwa a ochrona prawna: logo, nazwa firmy, domena i...
    28.01.2026-Zuzanna Świątek
    Prawo
    Domena publiczna w biznesie legalne wykorzystanie dzieł, patentów i wzorów bez licencji
    Domena publiczna w biznesie: legalne wykorzystanie dzieł, patentów i wzorów...
    01.01.2026-Zuzanna Świątek
    Prawo
    Dokumentacja RODO w firmie - jak zbudować działający system ochrony danych
    Dokumentacja RODO w firmie – jak zbudować działający system ochrony...
    26.01.2026-Marek Generowicz
    Ceny Transferowe
    CbC-P za 2025: 5 błędów, które mogą kosztować Twoją firmę milion złotych
    CbC-P za 2025: 5 błędów, które mogą kosztować Twoją firmę...
    22.01.2026-Dominik Śpiewak