Cyber Resilience Act, czyli rozporządzenie Parlamentu Europejskiego i Rady (UE) 2024/2847, dotyczy przede wszystkim producentów, importerów i dystrybutorów oprogramowania, urządzeń sieciowych, systemów informatycznych oraz innych produktów, które komunikują się z siecią lub innymi urządzeniami. W praktyce oznacza to większą odpowiedzialność za bezpieczeństwo produktu przez cały jego cykl życia: od projektowania, przez wdrożenie, aż po aktualizacje i obsługę podatności.
Dla firm korzystających z gotowego oprogramowania CRA może oznaczać większą przejrzystość w zakresie bezpieczeństwa produktów. Dla producentów i dostawców rozwiązań cyfrowych oznacza jednak konkretne obowiązki organizacyjne, techniczne i dokumentacyjne.
Czym jest Cyber Resilience Act?
Cyber Resilience Act, w skrócie CRA, ma zwiększyć poziom bezpieczeństwa produktów cyfrowych dostępnych na rynku Unii Europejskiej. Celem regulacji jest ograniczenie ryzyka wynikającego z luk w oprogramowaniu, błędów konfiguracyjnych, braku aktualizacji oraz niewłaściwego reagowania na incydenty bezpieczeństwa.
CRA obejmuje między innymi oprogramowanie komercyjne, urządzenia sieciowe, systemy IoT, produkty z funkcjami zdalnego dostępu, komponenty cyfrowe udostępniane jako część większych systemów oraz rozwiązania wykorzystywane przez firmy, instytucje i użytkowników indywidualnych.
Dla wielu organizacji oznacza to konieczność uporządkowania procesów związanych z bezpieczeństwem aplikacji, aktualizacjami, dokumentacją techniczną oraz obsługą zgłoszeń podatności.
Najważniejsze terminy CRA
Cyber Resilience Act zacznie być stosowany etapami. To ważne, bo część obowiązków pojawi się wcześniej niż pełne stosowanie większości wymagań.
11 czerwca 2026 r. zaczynają obowiązywać przepisy dotyczące jednostek oceny zgodności.
11 września 2026 r. zaczną obowiązywać wybrane obowiązki raportowania aktywnie wykorzystywanych podatności oraz poważnych incydentów bezpieczeństwa.
11 grudnia 2027 r. Cyber Resilience Act zacznie być stosowany w pełnym zakresie dla większości wymagań.
Oznacza to, że firmy nie powinny odkładać przygotowań na ostatni moment. Wdrożenie procesu zarządzania podatnościami, inwentaryzacji komponentów, dokumentowania aktualizacji oraz obsługi incydentów wymaga czasu.
Co CRA oznacza dla firm?
Dla firm korzystających z gotowych systemów, usług chmurowych, urządzeń sieciowych i oprogramowania biznesowego CRA może oznaczać większą odpowiedzialność dostawców za bezpieczeństwo produktów. Dostawcy będą musieli lepiej zarządzać podatnościami, informować o istotnych problemach i zapewniać aktualizacje bezpieczeństwa.
Dla producentów oprogramowania i dostawców rozwiązań cyfrowych zmiany będą bardziej odczuwalne. Konieczne może być wdrożenie lub uporządkowanie takich obszarów jak zarządzanie bezpieczeństwem oprogramowania w całym cyklu życia produktu, dokumentowanie komponentów i zależności, analiza podatności, proces zgłaszania i obsługi incydentów, reagowanie na aktywnie wykorzystywane luki, przygotowanie dokumentacji technicznej oraz zapewnienie bezpiecznych aktualizacji.
W praktyce CRA wzmacnia podejście, zgodnie z którym bezpieczeństwo nie jest dodatkiem do produktu, lecz jego integralną częścią.
Rola CERT Polska
CERT Polska, działający jako CSIRT NASK, pełni funkcję koordynatora na potrzeby skoordynowanego ujawniania podatności. W związku z tym realizuje również zadania związane ze zgłoszeniami wynikającymi z Cyber Resilience Act.
CERT Polska udostępnił poradnik "CRA - dobre praktyki zarządzania bezpieczeństwem oprogramowania", który jest wartościowym punktem wyjścia dla firm chcących uporządkować swoje procesy bezpieczeństwa.
Jak przygotować organizację do CRA?
Nawet jeżeli firma nie jest producentem oprogramowania, warto potraktować CRA jako impuls do przeglądu własnego środowiska IT. Dobre przygotowanie powinno obejmować inwentaryzację używanego oprogramowania i urządzeń, sprawdzenie systemów krytycznych dla działania firmy, weryfikację aktualizacji bezpieczeństwa, uporządkowanie procesu instalowania poprawek oraz przygotowanie procedury reagowania na incydenty.
Ważne są również regularne kopie zapasowe i testy odtworzeniowe. Sam backup dla firm nie wystarczy, jeżeli nikt nie sprawdza, czy dane da się faktycznie odzyskać po awarii, ataku ransomware albo błędzie użytkownika.
To szczególnie istotne w małych i średnich firmach, gdzie wiele usług cyfrowych działa przez lata bez formalnej dokumentacji, a aktualizacje, dostępy i backupy bywają wykonywane nieregularnie.
Partnerhosted - wsparcie w bezpieczeństwie IT
W Partnerhosted pomagamy firmom przygotować infrastrukturę IT do aktualnych wymagań bezpieczeństwa. Wspieramy klientów w zakresie administracji systemami, serwerami i siecią, konfiguracji zabezpieczeń, backupu, monitoringu, aktualizacji, audytów infrastruktury oraz reagowania na incydenty.
Cyber Resilience Act pokazuje kierunek, w którym zmierza rynek: większa odpowiedzialność za bezpieczeństwo, lepsza dokumentacja, szybsze reagowanie na podatności i świadome zarządzanie ryzykiem.
Jeżeli chcesz sprawdzić, czy infrastruktura IT Twojej firmy jest odpowiednio zabezpieczona, dobrym pierwszym krokiem może być krótki audyt IT. Pozwala przeanalizować środowisko, wskazać najważniejsze ryzyka i zaproponować praktyczne działania poprawiające bezpieczeństwo.
Chcesz uporządkować bezpieczeństwo IT?
Partnerhosted może pomóc w przeglądzie infrastruktury, backupu, aktualizacji, dostępu zdalnego i procedur reagowania na incydenty.
Zapytaj o audyt bezpieczeństwaŹródła
Daty i zakres obowiązków CRA zostały opracowane na podstawie materiałów Komisji Europejskiej, ENISA oraz CERT Polska.