Niezależny przewodnik po rozporządzeniu (UE) 2024/2847 · Status: obowiązuje
Niniejsza strona stanowi tłumaczenie automatyczne (AI) i nie została sprawdzona przez człowieka.
Wytyczne · Źródła oficjalne

Wytyczne Komisji Europejskiej dotyczące CRA

Przystępny przegląd wytycznych wydanych przez Komisję Europejską w celu ułatwienia interpretacji rozporządzenia (UE) 2024/2847; czego dotyczą i w jakich miejscach doprecyzowują obowiązki zawarte w tekście prawnym.

01Czym to jest

Rozporządzenie ustanawia obowiązki; wytyczne Komisji wyjaśniają, jak stosować je w praktyce. Wytyczne nie są wiążące i nie zmieniają prawa, lecz organy nadzoru rynku i jednostki notyfikowane odwołują się do nich w celu zapewnienia spójnej interpretacji, dlatego stanowią naturalne uzupełnienie Art. 1 tekst.

Jak z tego korzystać

Wytyczne należy czytać łącznie z artykułem, który interpretują. W przypadku rozbieżności między wytycznymi a własną interpretacją wiążącym punktem odniesienia jest zawsze tekst rozporządzenia, a ostatecznie orzecznictwo sądów.

02Najczęściej zadawane pytania Komisji

Komisja prowadzi dokument z najczęściej zadawanymi pytaniami, który konsoliduje najczęstsze pytania interpretacyjne: przypadki graniczne zakresu stosowania, traktowanie części zamiennych i składników oraz sposób, w jaki harmonogram ma zastosowanie do produktów już wprowadzonych do obrotu. Opublikowany po raz pierwszy w grudniu 2025 r., jest „dokumentem aktualizowanym na bieżąco”, który jest uzupełniany w miarę pojawiania się nowych pytań.

Źródło oficjalne

Zapoznaj się z najczęściej zadawanymi pytaniami Komisji dotyczącymi wdrażania CRA: Wdrażanie aktu o cyberodporności: najczęściej zadawane pytania ↗

03Wyjaśnienia dotyczące zakresu stosowania

Znaczna część wytycznych dotyczy zakres stosowania, obszar budzący najwięcej pytań. Wyjaśnia, co kwalifikuje się jako „produkt z elementami cyfrowymi”, jak traktowane są rozwiązania zdalnego przetwarzania danych oraz gdzie przebiega granica z przepisami sektorowymi. Art. 2

  • Połączenie danych; bezpośrednie lub pośrednie logiczne lub fizyczne połączenie wystarcza, aby objąć produkt zakresem stosowania.
  • Wyłączone sektory; wyroby medyczne, pojazdy silnikowe i lotnictwo cywilne pozostają objęte własnymi ramami regulacyjnymi.
  • SaaS; samodzielne usługi są zasadniczo poza zakresem CRA, jednak przetwarzanie niezbędne do funkcjonowania produktu jest traktowane jako część produktu. Art. 3

04Otwarte oprogramowanie

Wytyczne wyjaśniają dostosowany, łagodniejszy reżim dla otwartego oprogramowania. Niekomercyjne otwarte oprogramowanie tworzone poza działalnością komercyjną jest w znacznej mierze poza zakresem stosowania; „opiekunowie otwartego oprogramowania” mają określony, proporcjonalny zestaw obowiązków.

Kluczowe rozróżnienie

Czynnikiem decydującym jest działalność handlowa. Składnik dostarczany bezpłatnie, lecz w ramach działalności handlowej, może nadal być objęty zakresem stosowania.

05Okres wsparcia i aktualizacje

Wytyczne wskazują, jak ustalić możliwy do uzasadnienia okres wsparcia: musi on odzwierciedlać, jak długo można rozsądnie oczekiwać, że produkt będzie używany, i co do zasady powinien wynosić co najmniej pięć lat, chyba że spodziewany okres użytkowania jest krótszy. Aktualizacje zabezpieczeń muszą być bezpłatne i dostarczane oddzielnie od aktualizacji funkcjonalnych. Art. 13

06Zgłaszanie i ENISA

Zgłaszanie odbywa się za pośrednictwem jednej platformy zgłoszeniowej, którą ENISA tworzy na podstawie Art. 16. Po powzięciu wiedzy o aktywnie wykorzystywanej podatności lub poważnym incydencie wpływającym na bezpieczeństwo produktu producent powiadamia ENISA oraz krajowy CSIRT za pośrednictwem tej platformy w terminach 24 godzin / 72 godzin / 14 dni. Wytyczne określają, co powinny zawierać wczesne ostrzeżenie, powiadomienie oraz sprawozdanie końcowe. Art. 14

Obowiązuje od 11 września 2026 r.

Obowiązki sprawozdawcze stają się egzekwowalne od 11 września 2026 r., a do tego dnia ma zacząć funkcjonować jednolita platforma zgłoszeniowa ENISA.

07Normy zharmonizowane

Zasadnicze wymagania zawarte w Załącznik I są wyrażone w kategoriach rezultatów. Normy zharmonizowane, po przywołaniu ich w Dzienniku Urzędowym, dają domniemanie zgodności dla produktów, które są z nimi zgodne.

Wniosek normalizacyjny Komisji M/606 zostało przyjęte przez CEN, CENELEC i ETSI w 2025 r. i obejmuje około 41 norm: mniej więcej 15 horyzontalnych (niezależnych od produktu) i pozostałe wertykalne (właściwe dla danego produktu). Dwie podstawowe normy horyzontalne, dotyczące bezpiecznego rozwoju oraz postępowania w przypadku podatności, oczekiwane są do 30 sierpnia 2026 r.; normy wertykalne do 30 października 2026 r.; a pozostałe normy horyzontalne do 30 października 2027 r., około rok przed pełnym stosowaniem.

Dlaczego to istotne

Dopóki normy nie zostaną przywołane, zgodność należy wykazywać bezpośrednio względem wymagań załącznika I. Po przywołaniu odpowiedniej normy jej stosowanie jest najprostszą drogą do domniemania zgodności.