BiznesZamawiasz router, kamerę, sterownik PLC — od kiedy musisz pytać o zgodność z CRA? > Robert Kamiński Opublikowane 3 czerwca 20260 0 148 Podziel się Facebook Podziel się Twitter Podziel się Google+ Podziel się Reddit Podziel się Pinterest Podziel się Linkedin Podziel się Tumblr Od 11 września 2026 roku producenci urządzeń podłączonych do sieci będą musieli zgłaszać aktywnie wykorzystywane luki bezpieczeństwa i poważne incydenty w ściśle określonych terminach. To nie jest przepis dla branży IT. To przepis dla każdego, kto produkuje i sprzedaje w Unii Europejskiej urządzenia z funkcją sieciową — od przemysłowych sterowników, przez kamery IP, po routery i inteligentne czujniki. A skoro dotyczy producentów sprzedających na rynek UE, dotyczy też wszystkiego, co trafia na polskie biurko, halę produkcyjną i serwerownię.Rozporządzenie nazywa się Cyber Resilience Act — w skrócie CRA. To pierwsza unijna regulacja, która nakłada na producentów obowiązek zarządzania bezpieczeństwem przez cały cykl życia produktu: od projektu, przez produkcję, aż do momentu gdy urządzenie przestaje być wspierane. Nie wystarczy że produkt „działa”. Musi być bezpieczny, a producent musi to udowodnić dokumentacją i reagować gdy pojawi się problem. Dlaczego to dotyczy nabywcy, nie tylko producentaInstynkt podpowiada: to problem dostawcy, nie mój. Producent ma się dostosować, ja kupuję gotowy produkt.To prawda — ale tylko do pewnego momentu.Po pierwsze, od 2027 roku urządzenia niespełniające wymogów CRA nie będą mogły być legalnie wprowadzane na rynek UE. Co oznacza, że jeśli kupujesz sprzęt w przetargu lub na podstawie umowy ramowej, a dostawca nie jest w stanie przedstawić dokumentacji zgodności — bierzesz na siebie ryzyko zakupu towaru, który za rok nie powinien być w obrocie.Po drugie, w organizacjach podlegających pod NIS2 lub KSC (krajowe przepisy wdrażające unijną dyrektywę o cyberbezpieczeństwie) zgodność zakupywanego sprzętu staje się elementem zarządzania ryzykiem. Audytor zapyta nie tylko „czy macie firewall”, ale też „skąd wiecie że ten firewall jest bezpieczny i aktualizowany”.Po trzecie — i to jest kwestia czysto praktyczna — CRA nakłada na producentów obowiązek dostarczania aktualizacji bezpieczeństwa przez zdefiniowany okres wsparcia. Kupując urządzenie bez tej informacji, nie wiesz kiedy zostaniesz z dziurą i bez łatki.Co konkretnie zmienia się przy zakupieNowe kryterium w specyfikacji przetargowej lub zapytaniu ofertowym brzmi: czy produkt jest zgodny z wymogami Cyber Resilience Act lub jest w trakcie procesu certyfikacji?To pytanie ma sens już teraz, nie dopiero od września. Raport ONEKEY z 2025 roku — firmy specjalizującej się w cyberbezpieczeństwie urządzeń IoT i OT — pokazuje, że około dwie trzecie producentów nie jest jeszcze wystarczająco przygotowanych na CRA. Innymi słowy: znaczna część sprzętu, który dziś trafia na rynek, pochodzi od firm które nadal gonią za deadline’em. Warto wiedzieć od kogo się kupuje.Konkretnie, jako nabywca powinieneś pytać o:deklarację zgodności z CRA (lub harmonogram jej uzyskania)zdefiniowany okres wsparcia bezpieczeństwa dla danego modeluprocedurę zgłaszania i obsługi wykrytych podatności (PSIRT lub równoważna)dostępność SBOM — czyli listy komponentów oprogramowania wbudowanego w urządzenieTen ostatni punkt brzmi technicznie, ale ma praktyczny sens: SBOM to coś w rodzaju składu produktu na etykiecie żywności. Wiesz z czego zrobione jest oprogramowanie sterujące urządzeniem i czy któryś ze składników ma znane luki.Polska to pełnoprawny rynek UEPytanie „czy CRA dotyczy Polski” pojawia się często — i odpowiedź jest prosta. CRA to rozporządzenie unijne, które obowiązuje bezpośrednio we wszystkich krajach członkowskich bez potrzeby osobnego wdrożenia w prawie krajowym. Nie ma polskiej wersji CRA — jest CRA, które działa tak samo w Warszawie jak w Hamburgu czy Mediolanie.Producent sprzedający urządzenie w Polsce musi spełniać te same wymogi co producent sprzedający w Niemczech. A nabywca w Polsce ma te same podstawy do zadawania pytań o zgodność.Pierwsze obowiązki wchodzą w życie 11 września tego roku. Pełne wymagania — dokumentacyjne, procesowe, dotyczące całego cyklu życia produktu — od 2027. To nie jest odległy horyzont.Jedno pytanie przy następnym zakupie sprzętu sieciowego zmienia niewiele. Ale zadane systematycznie — w każdym zapytaniu ofertowym, każdej specyfikacji — zaczyna kształtować rynek. Dostawcy dostosowują się do tego, czego kupujący wymagają. Jeśli nikt nie pyta o CRA, nikt się nie śpieszy z odpowiedzią.Related PostsPrzeczytaj również! Blackview MP20 – domowa serwerownia w pudełku po kanapkach. ZUS pod ochroną Zintegrowany serwer dla MSP