Cyber Resilience Act (CRA) - co musisz wiedzieć jako producent oprogramowania
Praktyczny poradnik o nowych wymaganiach UE dotyczących cyberbezpieczeństwa produktów cyfrowych. Dowiedz się jak przygotować firmę do CRA i uniknąć kar.
Czym jest Cyber Resilience Act?
Cyber Resilience Act (CRA) to unijne rozporządzenie wprowadzające obowiązkowe wymagania cyberbezpieczeństwa dla produktów z elementami cyfrowymi. Dotyczy zarówno sprzętu, jak i oprogramowania sprzedawanego na rynku UE.
Jeśli Twoja firma produkuje lub sprzedaje:
- Oprogramowanie (aplikacje, systemy, biblioteki)
- Urządzenia IoT
- Sprzęt sieciowy
- Systemy automatyki
- Produkty z wbudowanym oprogramowaniem
...to CRA dotyczy bezpośrednio Ciebie.
Kiedy CRA wchodzi w życie?
- Grudzień 2024 - rozporządzenie weszło w życie
- Wrzesień 2026 - obowiązek zgłaszania podatności i incydentów
- Grudzień 2027 - pełne stosowanie wszystkich wymagań
Czasu jest coraz mniej - warto rozpocząć przygotowania już teraz.
Kluczowe wymagania CRA
1. Security by Design
Bezpieczeństwo musi być uwzględnione od początku projektu, nie jako dodatek:
- Planowanie mechanizmów uwierzytelniania przed napisaniem pierwszej linii kodu
- Szyfrowanie danych wrażliwych
- Podział uprawnień (zasada najmniejszych przywilejów)
- Regularna ocena ryzyka cyberbezpieczeństwa
2. SBOM - wykaz komponentów oprogramowania
Software Bill of Materials (SBOM) to obowiązkowy wykaz wszystkich:
- Bibliotek zewnętrznych
- Zależności
- Komponentów open source
- Elementów składowych produktu
SBOM pozwala:
- Szybko ocenić wpływ nowej podatności na produkt
- Przyspieszyć analizę ryzyka
- Skuteczniej planować działania naprawcze
Narzędzia do generowania SBOM:
- CycloneDX
- SPDX
- Syft
- Trivy
3. Proces obsługi podatności
CRA wymaga uporządkowanego procesu reagowania na podatności:
a) Kanał zgłaszania
- Dedykowany adres e-mail (np. security@twojafirma.pl)
- Formularz kontaktowy
- Plik
security.txt(RFC 9116) w katalogu.well-known
b) Weryfikacja i ocena
- Czy podatność jest możliwa do wykorzystania?
- Jaki jest wpływ na użytkowników?
- Czy są oznaki aktywnego wykorzystywania?
c) Poprawka lub mitygacja
- Testowanie poprawek bezpieczeństwa
- Udostępnianie w najkrótszym możliwym czasie
- Nie wydawaj nowych wersji z nowymi funkcjami, jeśli wiesz o nierozwiązanej podatności
d) Publikacja CVE
- Przypisanie identyfikatora CVE
- Publikacja wpisu w bazie CVE
- Współpraca z CERT Polska (posiada status CNA od 2023)
4. Zgłaszanie incydentów
Producent musi zgłaszać:
- Aktywnie wykorzystywane podatności
- Poważne incydenty wpływające na bezpieczeństwo produktu
Zgłoszenia składa się przez Single Reporting Platform zarządzaną przez ENISA.
5. Aktualizacje bezpieczeństwa
- Domyślnie automatyczne instalowanie poprawek
- Możliwość odroczenia lub rezygnacji przez użytkownika
- Aktualizacje bezpieczeństwa oddzielone od zmian funkcjonalnych (jeśli możliwe)
- Minimum 5 lat wsparcia dla produktu
6. Dokumentacja techniczna
Obowiązkowa dokumentacja obejmuje:
- Opis architektury produktu
- Mechanizmy bezpieczeństwa
- Wykaz komponentów (SBOM)
- Rejestr podatności i incydentów
- Decyzje dotyczące akceptacji ryzyka
Dokumentacja musi być dostępna dla organu nadzoru rynku na żądanie.
Jak przygotować firmę do CRA?
Krok 1: Audyt obecnego stanu
- Które produkty podlegają CRA?
- Jakie procesy bezpieczeństwa już istnieją?
- Gdzie są największe luki?
Krok 2: Wyznacz odpowiedzialnych
- Wskaż osobę/zespół odpowiedzialny za bezpieczeństwo produktu
- Nawet w małej firmie - formalne przypisanie odpowiedzialności
Krok 3: Wdróż SBOM
- Wybierz narzędzie do generowania SBOM
- Zintegruj z procesem budowania (CI/CD)
- Automatyczne generowanie przy każdym buildzie
Krok 4: Stwórz proces obsługi podatności
- Opublikuj
security.txt - Przygotuj szablon odpowiedzi na zgłoszenia
- Ustal SLA na reakcję i poprawkę
Krok 5: Przygotuj dokumentację
- Nie twórz dokumentacji "przed audytem"
- Dokumentuj decyzje na bieżąco
- Użyj narzędzi ALM (GitLab, Jira + Confluence)
Konsekwencje nieprzestrzegania CRA
- Kary finansowe - do 15 mln EUR lub 2.5% rocznego obrotu
- Zakaz wprowadzania produktu na rynek UE
- Obowiązek wycofania produktu
- Utrata reputacji
Jak nex-IT może wesprzeć Twoją firmę?
Jako firma IT wspieramy klientów w technicznych aspektach bezpieczeństwa:
- Zabezpieczenie infrastruktury - firewalle, monitoring sieci, ochrona endpoints
- Wdrożenie rozwiązań bezpieczeństwa - Sophos, UniFi, systemy backupu
- Reagowanie na incydenty - pomoc przy wykryciu zagrożeń
- Konsultacje techniczne - doradztwo w zakresie architektury bezpieczeństwa
Jeśli Twoja firma potrzebuje wsparcia w zabezpieczeniu systemów IT - skontaktuj się z nami.
Przydatne zasoby
- CERT Polska - CVD - koordynowane ujawnianie podatności
- OWASP CycloneDX Guide - przewodnik po SBOM
- security.txt standard - specyfikacja RFC 9116
- ENISA - Agencja UE ds. Cyberbezpieczeństwa
Podsumowanie
Cyber Resilience Act to nie tylko obowiązek regulacyjny - to szansa na uporządkowanie praktyk bezpieczeństwa w firmie. Dobrze wdrożone procesy:
- Ograniczają skutki incydentów
- Zwiększają zaufanie klientów
- Podnoszą jakość produktów
Nie czekaj do ostatniej chwili - rozpocznij przygotowania już dziś.
Artykuł przygotowano na podstawie poradnika CERT Polska "Dobre praktyki zarządzania bezpieczeństwem oprogramowania" (maj 2026).
Powiązane artykuły
Sophos - kompleksowe rozwiązania cyberbezpieczeństwa dla firm | Partner Sophos
Poznaj ofertę Sophos: XDR, MDR, firewall, ochrona poczty i urządzeń. Jako oficjalny partner Sophos, nex-IT pomoże Ci wdrożyć najlepsze zabezpieczenia dla Twojej firmy.
Czytaj więcejJak zabezpieczyć firmę przed cyberatakami?
Poznaj najważniejsze zagrożenia cybernetyczne i sprawdzone metody ochrony Twojej firmy. Praktyczny przewodnik dla małych i średnich przedsiębiorstw.
Czytaj więcejRansomware - co robić gdy zaszyfrowano Twoje dane?
Krok po kroku jak reagować na atak ransomware. Co robić, czego unikać i jak odzyskać dane bez płacenia okupu.
Czytaj więcej