Home Biznes Zamawiasz router, kamerę, sterownik PLC — od kiedy musisz pytać o zgodność z CRA?

Zamawiasz router, kamerę, sterownik PLC — od kiedy musisz pytać o zgodność z CRA?

0
0
148

Od 11 września 2026 roku producenci urządzeń podłączonych do sieci będą musieli zgłaszać aktywnie wykorzystywane luki bezpieczeństwa i poważne incydenty w ściśle określonych terminach. To nie jest przepis dla branży IT. To przepis dla każdego, kto produkuje i sprzedaje w Unii Europejskiej urządzenia z funkcją sieciową — od przemysłowych sterowników, przez kamery IP, po routery i inteligentne czujniki. A skoro dotyczy producentów sprzedających na rynek UE, dotyczy też wszystkiego, co trafia na polskie biurko, halę produkcyjną i serwerownię.

Rozporządzenie nazywa się Cyber Resilience Act — w skrócie CRA. To pierwsza unijna regulacja, która nakłada na producentów obowiązek zarządzania bezpieczeństwem przez cały cykl życia produktu: od projektu, przez produkcję, aż do momentu gdy urządzenie przestaje być wspierane. Nie wystarczy że produkt „działa”. Musi być bezpieczny, a producent musi to udowodnić dokumentacją i reagować gdy pojawi się problem.

Dlaczego to dotyczy nabywcy, nie tylko producenta

Instynkt podpowiada: to problem dostawcy, nie mój. Producent ma się dostosować, ja kupuję gotowy produkt.

To prawda — ale tylko do pewnego momentu.

Po pierwsze, od 2027 roku urządzenia niespełniające wymogów CRA nie będą mogły być legalnie wprowadzane na rynek UE. Co oznacza, że jeśli kupujesz sprzęt w przetargu lub na podstawie umowy ramowej, a dostawca nie jest w stanie przedstawić dokumentacji zgodności — bierzesz na siebie ryzyko zakupu towaru, który za rok nie powinien być w obrocie.

Po drugie, w organizacjach podlegających pod NIS2 lub KSC (krajowe przepisy wdrażające unijną dyrektywę o cyberbezpieczeństwie) zgodność zakupywanego sprzętu staje się elementem zarządzania ryzykiem. Audytor zapyta nie tylko „czy macie firewall”, ale też „skąd wiecie że ten firewall jest bezpieczny i aktualizowany”.

Po trzecie — i to jest kwestia czysto praktyczna — CRA nakłada na producentów obowiązek dostarczania aktualizacji bezpieczeństwa przez zdefiniowany okres wsparcia. Kupując urządzenie bez tej informacji, nie wiesz kiedy zostaniesz z dziurą i bez łatki.

Co konkretnie zmienia się przy zakupie

Nowe kryterium w specyfikacji przetargowej lub zapytaniu ofertowym brzmi: czy produkt jest zgodny z wymogami Cyber Resilience Act lub jest w trakcie procesu certyfikacji?

To pytanie ma sens już teraz, nie dopiero od września. Raport ONEKEY z 2025 roku — firmy specjalizującej się w cyberbezpieczeństwie urządzeń IoT i OT — pokazuje, że około dwie trzecie producentów nie jest jeszcze wystarczająco przygotowanych na CRA. Innymi słowy: znaczna część sprzętu, który dziś trafia na rynek, pochodzi od firm które nadal gonią za deadline’em. Warto wiedzieć od kogo się kupuje.

Konkretnie, jako nabywca powinieneś pytać o:

  • deklarację zgodności z CRA (lub harmonogram jej uzyskania)
  • zdefiniowany okres wsparcia bezpieczeństwa dla danego modelu
  • procedurę zgłaszania i obsługi wykrytych podatności (PSIRT lub równoważna)
  • dostępność SBOM — czyli listy komponentów oprogramowania wbudowanego w urządzenie

Ten ostatni punkt brzmi technicznie, ale ma praktyczny sens: SBOM to coś w rodzaju składu produktu na etykiecie żywności. Wiesz z czego zrobione jest oprogramowanie sterujące urządzeniem i czy któryś ze składników ma znane luki.

Polska to pełnoprawny rynek UE

Pytanie „czy CRA dotyczy Polski” pojawia się często — i odpowiedź jest prosta. CRA to rozporządzenie unijne, które obowiązuje bezpośrednio we wszystkich krajach członkowskich bez potrzeby osobnego wdrożenia w prawie krajowym. Nie ma polskiej wersji CRA — jest CRA, które działa tak samo w Warszawie jak w Hamburgu czy Mediolanie.

Producent sprzedający urządzenie w Polsce musi spełniać te same wymogi co producent sprzedający w Niemczech. A nabywca w Polsce ma te same podstawy do zadawania pytań o zgodność.


Pierwsze obowiązki wchodzą w życie 11 września tego roku. Pełne wymagania — dokumentacyjne, procesowe, dotyczące całego cyklu życia produktu — od 2027. To nie jest odległy horyzont.

Jedno pytanie przy następnym zakupie sprzętu sieciowego zmienia niewiele. Ale zadane systematycznie — w każdym zapytaniu ofertowym, każdej specyfikacji — zaczyna kształtować rynek. Dostawcy dostosowują się do tego, czego kupujący wymagają. Jeśli nikt nie pyta o CRA, nikt się nie śpieszy z odpowiedzią.

Dodaj komentarz

Przeczytaj również

Nowe przepisy celne: czy logistyka przeniesie się do UE?

Z początkiem lipca weszły w życie przepisy dotyczące przesyłek spoza UE, które zmieniają z…