BezpieczeństwoPięć tygodni, dwadzieścia cztery godziny, i nikt ci nie powie, co jest ważne > Robert Kamiński Opublikowane 7 lipca 20260 0 12 Podziel się Facebook Podziel się Twitter Podziel się Google+ Podziel się Reddit Podziel się Pinterest Podziel się Linkedin Podziel się Tumblr Wyobraźmy sobie typowy poniedziałek właściciela firmy, która produkuje albo sprzedaje pod własną marką jakieś urządzenie z wtyczką do sieci — czujnik, kontroler, kamerę, router dla małych biur. Przychodzi mail od dostawcy komponentu: nowa podatność w bibliotece, którą firma używa od lat. Pytanie nie brzmi już „czy to groźne”. Pytanie brzmi: kto ma to ocenić, w jakim czasie, i co się stanie, jeśli się spóźni. Od 11 września 2026 roku odpowiedź na to drugie pytanie jest prawnie zdefiniowana. Cyber Resilience Act wymusza wtedy pierwszy pakiet obowiązków raportowania: 24 godziny na wstępne zgłoszenie aktywnie wykorzystywanej podatności do ENISA, 72 godziny na raport techniczny, 14 dni na raport końcowy po wdrożeniu poprawki. To nie jest odległy horyzont regulacyjny, o którym można poczytać przy kawie i odłożyć na później. To dwa i pół miesiąca.Dlaczego akurat teraz nikt nie odda ci tej roboty za darmoJest jeszcze drugi powód, dla którego ten temat akurat teraz przestaje być teoretyczny — i mało kto go zauważył. 15 kwietnia 2026 roku amerykański NIST oficjalnie przyznał, że nie nadąża. National Vulnerability Database, baza, z której od lat pożyczały dane wszystkie narzędzia bezpieczeństwa na świecie, przestała próbować analizować każdą zgłoszoną podatność. Powód jest prozaiczny: w latach 2020–2025 liczba zgłoszeń CVE wzrosła o 263 procent, a sam 2026 rok ma — według prognoz FIRST.org — zamknąć się rekordową liczbą ponad 50 tysięcy, w skrajnym scenariuszu nawet stu tysięcy. NIST ogłosił, że pełną analizą obejmie tylko 15–20 procent nowych zgłoszeń — te dotyczące oprogramowania krytycznego, administracji federalnej USA i katalogu aktywnie wykorzystywanych luk CISA. Reszta zostaje opisana, ale bez priorytetyzacji.Dla małej firmy oznacza to coś konkretnego: instytucja, która kiedyś robiła za ciebie wstępną selekcję, przestała to robić. Lista podatności rośnie szybciej niż ktokolwiek jest w stanie ją przeczytać, a jednocześnie prawo każe ci wykazać, że potrafisz ją ocenić — i to w ciągu doby.Co realnie trzeba mieć gotowe, zanim zadzwoni telefonZ przepisów CRA (Załącznik I i VII) wynikają konkretne, sprawdzalne rzeczy, a nie ogólne deklaracje czujności:Po pierwsze, lista składników. SBOM — software bill of materials — w formacie nadającym się do maszynowego odczytu, obejmujący przynajmniej komponenty najwyższego poziomu w firmware czy oprogramowaniu produktu. Bez tego nie wiadomo nawet, czy dana podatność w ogóle dotyczy twojego urządzenia.Po drugie, jeden punkt kontaktowy. Publicznie dostępny, monitorowany adres do zgłaszania podatności — bez tego CRA wprost zarzuca brak zgodności.Po trzecie, proces, nie intencja. Udokumentowana procedura postępowania z podatnościami: kto ocenia, w jakim czasie, na jakiej podstawie podejmuje decyzję o łatce. To musi istnieć na papierze, zanim coś się wydarzy — dokumentację trzeba przechowywać dziesięć lat.Po czwarte, ocena ryzyka osadzona w kontekście produktu. Sama liczba CVSS nic nie mówi — liczy się, czy dany komponent jest aktywnie używany, w jakiej konfiguracji, i jakie ma znaczenie dla funkcji urządzenia.Kupić narzędzie czy zbudować procesW tym miejscu na rynku pojawiają się firmy takie jak działający z Düsseldorfu ONEKEY, które od kilku lat budują platformy do automatycznej analizy firmware pod kątem zgodności z CRA. W najnowszym komunikacie prasowym spółka mówi o przejściu „od analizy do podejmowania decyzji” i zapowiada asystenta VerityAI, który ma tłumaczyć złożone zależności na język zrozumiały dla menedżera. CEO Jan Wendenburg ujmuje to tak: „więcej informacji nie oznacza automatycznie więcej bezpieczeństwa” — i akurat z tym trudno polemizować, choć to zdanie nadaje się równie dobrze do folderu reklamowego, co do każdego artykułu o przeciążeniu danymi od dekady.Warto jednak pamiętać, że ONEKEY to jeden z kilkuset graczy w tej niszy — od Cybellum po mniej znane platformy SBOM-owe — a samo hasło „Decision Intelligence” to w gruncie rzeczy nowa nazwa starego problemu: priorytetyzacji alertów, którym branża cyberbezpieczeństwa zajmuje się od czasu, gdy pierwszy SOC utonął w logach. Dla małej firmy pytanie nie brzmi więc „czy kupić platformę”, tylko: czy skala produktów i komponentów, które masz, w ogóle uzasadnia automatyzację, czy wystarczy excel, jeden odpowiedzialny człowiek i dobrze opisana procedura. Przy kilku produktach i niewielkim katalogu komponentów to drugie jest często tańsze i równie zgodne z literą prawa — CRA nie wymaga konkretnego narzędzia, wymaga udokumentowanego procesu.Co warto zapamiętaćRegulacja nie pyta, ile podatności wykryłeś. Pyta, czy potrafisz pokazać, dlaczego podjąłeś taką, a nie inną decyzję — w ciągu doby, nie tygodnia. To przesunięcie odpowiedzialności z „wiedzieć więcej” na „umieć uzasadnić mniej” jest dla małej firmy bardziej praktyczne, niż brzmi: oznacza, że dokument na trzech stronach, opisujący kto i jak ocenia ryzyko, jest dziś ważniejszy niż najdroższe narzędzie do skanowania.Related PostsPrzeczytaj również! Co oznacza „zero trust”? ZTE powraca! Zarabiaj – zostań partnerem operatora VoIP