Cyber Resilience Act (CRA)
Zapewniamy strukturalne podejście do nowych wymogów bezpieczeństwa cyfrowego UE. Naszym celem jest przeprowadzenie Twojej organizacji przez proces dostosowania – od audytu techniczno-prawnego, po pełną gotowość operacyjną do raportowania podatności.
Czym jest Cyber Resilience Act (CRA)?
Cyber Resilience Act to pierwsza w historii UE horyzontalna regulacja wprowadzająca obowiązkowe wymogi cyberbezpieczeństwa dla produktów z elementami cyfrowymi. Dotyczy produktów sprzętowych i programowych, które łączą się z siecią lub innymi urządzeniami. CRA jest rozporządzeniem – obowiązuje bezpośrednio we wszystkich państwach członkowskich bez konieczności implementacji do prawa krajowego.
Kogo dotyczy CRA?
- Producentów – główna odpowiedzialność za zgodność produktu z wymogami
- Importerów – wprowadzający produkty spoza UE, traktowani niemal jak producenci
- Dystrybutorów – obowiązek weryfikacji zgodności przed udostępnieniem na rynku
- Opiekunów open source – organizacje wspierające komercyjne projekty open source
Jak możemy pomóc?
Audyt zgodności z CRA
Klasyfikacja produktów
Wdrożenie polityki CVD
Przygotowanie dokumentacji technicznej
Szkolenia dla zespołów
Zarządzanie projektem
Co warto zrobić już teraz
- Inwentaryzacja produktów;
- Analiza luk (gap analysis);
- zaplanować działania (priorytet: raportowanie podatności do września 2026);
- Podnoszenie świadomości i edukacja
Kluczowe daty – harmonogram wdrożenia CRA
Rozporządzenie CRA weszło w życie 10 grudnia 2024 r. i wprowadza etapowy harmonogram poszczególnych wymogów:
- 11 czerwca 2026 roku – rozpoczęcie działalności jednostek notyfikowanych. Od tej daty możliwa będzie certyfikacja produktów ważnych i krytycznych;
- 11 września 2026 roku – wejście w życie obowiązków raportowania (art. 14 CRA). Od tego momentu producenci muszą zgłaszać do ENISA aktywnie wykorzystywane podatności (w ciągu 24 godzin) oraz poważne incydenty mające wpływ na bezpieczeństwo produktu;
- 11 grudnia 2027 roku – pełne stosowanie rozporządzenia. Wszystkie nowe produkty wprowadzane na rynek UE muszą spełniać wszystkie wymogi CRA.
Uwaga: obowiązki raportowania z art. 14 CRA dotyczą wszystkich produktów udostępnionych na rynku UE – także tych wprowadzonych przed 11 grudnia 2027 roku.
Czy CRA Ciebie dotyczy?
Członkowie zarządu (CEO/COO)
Dyrektorzy Techniczni i Produktowi (CTO/CPO)
Wspólnicy i Inwestorzy
Importerzy i Dystrybutorzy sprzętu z elementami cyfrowymi
Te firmy nam zaufały
Cyber Resilience Act (CRA) – Przewodnik dla producentów i importerów
Dlaczego warto pobrać ten przewodnik już teraz?
Cyber Resilience Act to fundamentalna zmiana. Choć pełne stosowanie rozporządzenia nastąpi 11 grudnia 2027 roku, to już we wrześniu 2026 roku wejdą w życie rygorystyczne obowiązki raportowania podatności do ENISA w ciągu zaledwie 24 godzin.
Główne wymogi CRA
Część I – wymogi dotyczące właściwości produktu obejmuje 13 wymogów, w tym:
Część II – wymogi dotyczące zarządzania podatnościami obejmuje 8 wymogów, w tym:
Konsekwencje braku zgodności
- naruszenie zasadniczych wymogów cyberbezpieczeństwa – kara pieniężna do 15 milionów euro lub 2,5% całkowitego rocznego światowego obrotu;
- naruszenie innych obowiązków wynikających z CRA – kara pieniężna do 10 milionów euro lub 2% obrotu;
- podanie nieprawdziwych informacji organom nadzoru bądź jednostką notyfikowanym – kara pieniężna do 5 milionów euro lub 1% obrotu.
Jak rozwiązujemy Twój problem?
- Weryfikacja i klasyfikacja: Precyzyjnie określamy status Twoich produktów i identyfikujemy luki w obecnych procesach projektowych (Gap Analysis).
- Strukturyzacja dokumentacji: Przygotowujemy kompletną dokumentację techniczną, w tym ramy dla SBOM (Software Bill of Materials), niezbędną do deklaracji zgodności UE.
- Gotowość raportowa: Wdrażamy procedury CVD (Coordinated Vulnerability Disclosure), gwarantujące spełnienie wymogów raportowania do ENISA w ustawowych terminach.
Nagrody
Champion Biznesu
Za wkład w rozwój gospodarczy, zaangażowanie w ideę społecznej odpowiedzialności biznesu oraz stworzenie silnej i rozpoznawalnej marki.
Ambasador Polskiej Gospodarki
Wyróżnienie dla firm kierujących się wysokimi standardami w działalności biznesowej, gwarantujących najwyższą jakość obsługi w roku 2024.
Top 3 Kancelaria na Dolnym Śląsku
w Rankingu firm doradztwa podatkowego Rzeczypospolitej
Firma Dobrze Widziana
Nagroda za działania oparte na zasadach Społecznej Odpowiedzialności Biznesu, efektywną politykę wobec pracowników oraz klientów, a także liczne projekty społeczne.
Masz pytania? Porozmawiajmy!
