Skupienie na NIS2 to krótkowzroczność. CRA redefiniuje cyberbezpieczeństwo

Tomasz Ciechoński: Niedawno weszła w życie nowelizacja ustawy o krajowym systemie cyberbezpieczeństwa, wdrażająca dyrektywę NIS2 i nakładająca nowe obowiązki na przedsiębiorców. Wskazuje Pan jednak, że skupienie uwagi wyłącznie na niej jest krótkowzroczne, ponieważ zasady gry zmienią dopiero kolejne regulacje. Jedną z nich jest Cyber Resilience Act (CRA), czyli rozporządzenie 2024/2847 o cyberodporności. Co takiego przewiduje ten akt?

Dr inż. Marcin Grabarczyk: CRA to rozporządzenie, które nakłada wymóg, aby wyroby, produkty i usługi z elementami cyfrowymi były rozwijane, projektowane i wytwarzane z odpowiednim poziomem cyberbezpieczeństwa, aby były aktualizowane w całym okresie wsparcia oraz aby obsługiwać podatności i incydenty.

Regulacja przenosi bardzo dużą część odpowiedzialności z użytkowników wyrobów na ich producentów. Jeżeli w celu zapewnienia cyberbezpieczeństwa wymaganego przez NIS2 chcemy używać danego produktu lub rozwiązania, to mówimy: „drogi producencie tych rozwiązań, tutaj jest szereg wymagań, które przed tobą stawiamy”. Te wymagania są dosyć szerokie i dotyczą metod projektowania, zarządzania incydentami i podatnościami.

Rozporządzenie nie nakłada jednak tylko obowiązków na producentów, ale także na importerów, dystrybutorów i upoważnionych przedstawicieli. Czyli wszystkie osoby, które są związane z produktem – w szczególności od momentu wytwarzania do momentu dostarczenia produktu do użytkownika końcowego – są w jakiś sposób objęte CRA. Także sam użytkownik końcowy.

CRA nie nakłada co prawda reżimu producenckiego na użytkownika końcowego, ale mówi: „drogi użytkowniku końcowy, używasz pewnego produktu, musisz być świadomy, jak należy go używać. Postępuj zgodnie z przeznaczeniem, a jak zobaczysz, że coś się nie zgadza, zgłoś to producentowi, bo jeżeli tego nie zrobisz, odpowiedzialność za niezgodność produktu i jego działanie leży po twojej stronie”.

Czytaj też w LEX: Cyberbezpieczeństwo a obowiązki przedsiębiorców – porównanie NIS2 i KSC >

CRA bywa przedstawiane jako akt oddziałujący na obszar internetu rzeczy (IoT) – czy to przesadne uproszczenie?

Zdecydowanie jest to znaczne uproszczenie. Zakres przedmiotowy CRA jest szeroki i dotyczy produktów z elementami cyfrowymi, w szczególności tych, które są stosowane w infrastrukturze krytycznej. Internet rzeczy to sterowanie klimatyzacją, sterowanie grzejnikami, inteligentna lodówka itp. Mówiąc o CRA, mówimy także o automatyce przemysłowej, o produktach, które są na co dzień stosowane w zapewnieniu cyberbezpieczeństwa bardzo dużych, także rządowych organizacji – o takich klasach rozwiązań jak EDR czy XDR. Wszystkie te rozwiązania również w pewien sposób będą podlegały CRA i muszą przejść odpowiednie procesy po stronie producenta.

Ja w swojej codziennej praktyce w naturalny sposób koncentruję się głównie na tych rzeczach, które trafiają do infrastruktury krytycznej, ale zakres podmiotowy jest dosyć szeroki i obejmuje także urządzenia, z którymi mamy styczność na co dzień.

Czytaj też w LEX: Cyberbezpieczeństwo horyzontalne w CRA – nowe obowiązki przedsiębiorców związane z oprogramowaniem i urządzeniami >

Czy – podobnie jak w przypadku NIS2 – będzie potrzebna polska ustawa wdrażająca to rozporządzenie?

CRA to rozporządzenie, nie musimy więc implementować go do polskiego porządku prawnego, tak jak ma to miejsce w przypadku dyrektyw. Oczywiście wyjątkiem są sytuacje, kiedy rozporządzenia potrzebują przepisów wykonawczych typu wskazanie organu nadzorczego lub procedury kar.

Niektórym może się wydawać, że ustawa z lipca ubiegłego roku o krajowym systemie certyfikacji cyberbezpieczeństwa stanowi wdrożenie CRA do polskiego porządku prawnego, jednak tak nie jest. Akt ten nie implementuje CRA sensu stricto, lecz wyznacza określony kierunek myślenia o systemie certyfikacji cyberbezpieczeństwa w Polsce. Ustawa pełni przede wszystkim rolę rozbudowanego słownika pojęć, porządkującego i ujednolicającego nomenklaturę stosowaną w krajowym systemie certyfikacji, a także przyznaje dodatkowe kompetencje podmiotom podległym ministrowi właściwemu do spraw informatyzacji, między innymi w obszarze certyfikacji osób. Choć sama ustawa jest relatywnie krótka i liczy około 15 stron, zawiera rozwiązania o istotnym znaczeniu systemowym.

Wracając jednak do sedna pytania, to nie kolejna ustawa będzie kluczowym działaniem po stronie Polski, lecz przyjęcie przez Polskie Centrum Akredytacji schematu akredytacji i notyfikacji jednostek oceniających zgodność, które będą mogły prowadzić ocenę produktów na potrzeby zgodności z CRA. To właśnie ten krok w praktyce otworzy rynek certyfikacji i umożliwi producentom korzystanie z krajowego zaplecza oceny zgodności.

Czytaj też w LEX: Czy Twoja firma podlega pod CRA? Krótkie studium przypadków >

W jakich terminach CRA będzie wdrażane?

Mówimy o trzech ważnych datach.

11 czerwca 2026 r. wejdzie w życie część mechanizmów systemowych po stronie państw oraz Unii Europejskiej.  To jest dla wielu osób bardzo trudny moment - trudny, żeby dobrze zrozumieć co się wydarzy. W przestrzeni publicznej pojawiają się różne uproszczenia i potoczne pojęcia.

Zacznijmy od tego, że bardzo ważną organizacją dla całego procesu jest wspomniane już przeze mnie PCA. Centrum opracowuje i przeprowadza procedury konieczne do oceny, wyznaczania i notyfikowania jednostek oceniających zgodność. Czyli wskazuje schemat, w jakim jednostki oceniające zgodność mają dowodzić czy też sprawdzać, że produkt jest zgodny z CRA i można mu udzielać certyfikatu. Częstym błędem jest myślenie, że PCA daje jakaś listę wymogów jakie ma spełniać produkt, ale tak nie jest. To wynika wprost z załącznika I do CRA i z norm zharmonizowanych.

Co gorsza, w języku potocznym i roboczym, używa się często pojęcia „schemat certyfikacji” w kontekście tego co ma przygotować PCA. To nie do końca tak. To oznacza bardziej metodykę udowodnienia zgodności (np. normy serii ISO/IEC 17000, czy Common Criteria, czyli norma ISO/IEC 15408) a nie samą listę niezbędnych wymagań. Różnica jest subtelna, ale dla procesu bardzo znacząca. Mówiąc językiem bardzo potocznym – PCA musi przygotować nie listę, po której „się jeździ palcem”, a sposób „jeżdżenia palcem po liście”. Przepraszam za tak mocne i obrazowe, może trochę obrazoburcze porównanie, ale to naprawdę jest ogromna różnica.

Ponadto, „krajowy schemat certyfikacji” jest pojęciem używanym normatywnie w rozporządzeniu CSA i wspominanej już ustawie o krajowym systemie certyfikacji i oznacza coś innego, a także ma inny tryb. Można powiedzieć, że CRA „wprowadza nowe uniwersum certyfikacyjne”, stąd ośmielam się powiedzieć, że to CRA zmieni oblicze rynku, a nie NIS2.

Wracając do 11 czerwca 2026 r. - to jest moment, od którego zaczną się efektywne prace nad wyznaczaniem jednostek oceniających zgodność . Celem tych prac jest to, aby do 11 grudnia 2026 r., była wystarczająca liczba jednostek do przeprowadzeni oceny zgodności – wynika to wprost z jednego z artykułów CRA, który mówi, że „państwo członkowskie musi zapewnić odpowiednią liczbę jednostek notyfikowanych”. Gdybyśmy przyrównali to do metrologii, to CRA jest pewną linijką, a 11 czerwca 2026 r. pojawi się sposób używania tej linijki, jednostki certyfikujące będą musiały udowodnić, że potrafią obsługiwać tę linijkę zgodnie z tym sposobem (zdobyć stosowne akredytacje)i wtedy wszyscy producenci będą mogli zgłaszać się do tychże jednostek celem pomiaru swoich wyrobów.

11 września 2026 r. wejdą w życie wymogi dotyczące aktywnego raportowania podatności i poważnych incydentów, czyli obowiązki z art. 14 CRA. To jest pierwszy trudny moment dla producentów wyrobów, bo oni muszą powiedzieć: „drogi użytkowniku, tu jest kanał komunikacji ze mną, żebyś aktywnie mógł zgłaszać podatności i poważne incydenty”.

11 grudnia 2027 r. – to jest dla producentów najważniejsza data. Dlaczego? Bo bez udowodnienia zgodności produktu z CRA nie można wystawić deklaracji zgodności CE. A bez tego wypada się praktycznie z rynku. To będzie taki moment, że jeżeli producent nie przyjdzie do jednostki certyfikującej i nie powie: „taki mam wyrób”, a jednostka certyfikująca nie przyłoży tej „linijki” z 11 czerwca 2026 r., to producent wypadnie z rynku.

Rozporządzenie CRA przewiduje trzy schematy oceny: B, C i H – dla pojedynczego wyrobu, linii produktów albo całej organizacji. Mniejsi producenci będą najczęściej certyfikować wybrane produkty, firmy z szerokim portfolio raczej całe linie produktowe, a najwięksi gracze analizują model organizacyjny. Ten ostatni jest jednak najbardziej wymagający, ponieważ obejmuje m.in. łańcuch dostaw, bezpieczeństwo informacji, ciągłość działania i zarządzanie ryzykiem w ramach jednego spójnego systemu. Dlatego w praktyce dominować będzie certyfikacja wyrobów i linii produktowych, a model organizacyjny pozostanie rozwiązaniem dla największych podmiotów.

Czytaj też w LEX: Od RED do CRA – nowy standard cyberbezpieczeństwa produktów cyfrowych w UE >

Firmy, które operują w mniejszym zakresie, już powinny się przygotowywać? A jeśli tak, to w jaki sposób?

Przede wszystkim powinny zapoznać się z załącznikami do CRA, ocenić jak klasyfikują się ich produkty i jakie wymogi w zakresie cyberbezpieczeństwa powinny spełniać  oraz podjąć decyzję, czy certyfikować wyrób, linię wyrobów, czy całą firmę. Rekomenduję, by mierzyć siły na zamiary.

Producenci powinni odpowiednio wcześnie wybrać akredytowaną jednostkę oceniającą zgodność i zrobić to rozważnie. Warto zwracać uwagę na jej sprawność operacyjną oraz doświadczenie mierzone np. liczbą wydanych certyfikatów, co często można sprawdzić na stronach internetowych jednostek. Ma to znaczenie nie tylko dla czasu oczekiwania, ale również dla kosztu całego procesu. Certyfikacja pozostaje usługą rynkową, dlatego warto porównywać oferty i nie przepłacać za porównywalny zakres usługi.

Czytaj też w LEX: Przedsiębiorca w Krajowym Systemie Cyberbezpieczeństwa – obowiązki i sankcje >

O nowych regulacjach zwykle mówimy w kontekście obowiązków, a czy płyną z nich korzyści dla polskiego biznesu?

Tak, jak najbardziej. Powiedzmy sobie jeszcze o jednej bardzo ważnej rzeczy. W sektorze publicznym i rządowym zgodność z CRA będzie wymuszana już na etapie postępowania, w myśl ustawy - prawo zamówień publicznych. Myślę, że tutaj przed sektorem publicznym i rządowym jest bardzo duże wyzwanie, żeby dobrze zrozumieć, na czym będzie polegało CRA.

Jeżeli śledzimy priorytety rządu, widzimy już zintegrowanie tego zagadnienia z priorytetem dotyczącym local content. CRA będzie więc stanowiło barierę wejścia dla kapitału zagranicznego, a rynek europejski w pewien sposób się uszczelni. I to jest korzyść dla lokalnego biznesu, czyli ograniczenie zagranicznej konkurencji ze strony podmiotów spoza Unii Europejskiej. Trzeba będzie bowiem przejść odpowiednią certyfikację, wykazać bezpieczeństwo łańcucha dostaw, co pozwoli wykluczyć dostawców, co do których nie mamy zaufania.

Czytaj też w LEX: Incydent - krok po kroku według RODO, NIS2 (UKSC), CRA, CER, AIA, PKSC >