Otwórz platformę →
Rozporządzenie (UE) 2024/2847 CERT Polska • PARP • MŚP

Akt o Cyberodporności
dla polskich firm

Rozporządzenie (UE) 2024/2847 nakłada obowiązkowe wymogi cyberbezpieczeństwa na producentów, importerów i dystrybutorów produktów z elementami cyfrowymi na rynku UE. Polskie firmy są bezpośrednio objęte tymi przepisami.

Zautomatyzuj zgodność z CRA →

Polskie instytucje w ramach CRA

Trzy instytucje odgrywają kluczową rolę we wdrażaniu CRA w Polsce.

🚨
CERT Polska — zgłoszenia
CERT Polska, działający w ramach NASK, jest krajowym koordynatorem CSIRT dla Polski. Od 11 września 2026 r. producenci zgłaszają podatności i incydenty za pośrednictwem platformy ENISA (SRP), która automatycznie przekazuje zgłoszenia do CERT Polska.
📊
PARP — wsparcie MŚP
Polska Agencja Rozwoju Przedsiębiorczości opublikowała oficjalny przewodnik po CRA dla małych i średnich przedsiębiorstw. PARP oferuje również wsparcie doradcze w zakresie wdrożenia wymogów CRA.
🛠
Projekt SECURE
Polska (NASK) jest partnerem w projekcie SECURE finansowanym przez UE, z budżetem 16,5 mln EUR. Projekt oferuje finansowanie kaskadowe do 30 000 EUR dla MŚP na wdrożenie wymogów CRA.

Źródła: cert.pl; parp.gov.pl

Obowiązki w łańcuchu dostaw

CRA nakłada obowiązki na wszystkich uczestników łańcucha dostaw. Źródło: Rozporządzenie (UE) 2024/2847, Artykuły 13–26.

Producent
Najcięższe obowiązki
Analiza ryzyka cyberbezpieczeństwa, projektowanie secure-by-design, zarządzanie podatnościami, SBOM, oznakowanie CE, deklaracja zgodności UE, dokumentacja techniczna (Załącznik VII), przechowywanie przez 10 lat.
Importer
Obowiązek weryfikacji
Sprawdzenie zgodności produktu z CRA przed wprowadzeniem na rynek UE. Importerzy ponoszą odpowiedzialność za wprowadzenie niezgodnych produktów do obrotu.
Dystrybutor
Obowiązek staranności
Nie może wprowadzać do obrotu produktów o których wiadomo, że nie spełniają wymogów CRA. Musi współpracować przy incydentach i akcjach wycofania produktów.

Źródło: Rozporządzenie (UE) 2024/2847, Artykuły 13–26 — EUR-Lex

Kluczowe daty dla polskich firm

Oficjalny harmonogram na podstawie Rozporządzenia (UE) 2024/2847, Artykuły 71–72.

10 grudnia 2024
CRA wchodzi w życie Gotowe
Rozporządzenie (UE) 2024/2847 weszło w życie. Polskie firmy powinny rozpocząć przygotowania do zgodności.
21 grudnia 2025
Klasyfikacja produktów doprecyzowana Gotowe
Rozporządzenie Wykonawcze (UE) 2025/2392 weszło w życie: techniczne opisy kategorii produktów ważnych (klasa I i II) i krytycznych zostały określone.
11 czerwca 2026
Jednostki oceniające zgodność
Państwa członkowskie zgłaszają jednostki oceniające zgodność (jednostki notyfikowane) do Komisji Europejskiej. Rozdział IV rozporządzenia ma zastosowanie od tej daty.
11 września 2026
Obowiązek zgłaszania podatności
Artykuł 14 ma zastosowanie. Producenci zgłaszają aktywnie wykorzystywane podatności i poważne incydenty przez platformę ENISA (SRP). CERT Polska otrzymuje zgłoszenia automatycznie. Terminy: 24h wczesne ostrzeżenie, 72h zgłoszenie podatności, 14 dni sprawozdanie końcowe.
11 grudnia 2027
Pełne stosowanie CRA
Wszystkie wymogi mają zastosowanie: zasadnicze wymagania cyberbezpieczeństwa (Załącznik I), oznakowanie CE, deklaracja zgodności UE, dokumentacja techniczna (Załącznik VII). Kary do 15 000 000 EUR lub 2,5% globalnego obrotu (Artykuł 64).

Często zadawane pytania

Odpowiedzi oparte na oficjalnym tekście rozporządzenia (UE) 2024/2847 oraz informacjach PARP i CERT Polska.

Czy CRA dotyczy również oprogramowania?
Tak. CRA obejmuje wszystkie produkty z elementami cyfrowymi, w tym samodzielne oprogramowanie wprowadzane na rynek UE w ramach działalności komercyjnej. Aplikacje mobilne, oprogramowanie desktopowe, firmware i komponenty oprogramowania wprowadzane oddzielnie na rynek wchodzą w zakres CRA. Wyjątek: oprogramowanie open-source niestanowiące działalności komercyjnej może być wyłączone.
Źródło: Rozporządzenie (UE) 2024/2847, Artykuł 2 — EUR-Lex
Czy MŚP mają uproszczone obowiązki w ramach CRA?
CRA stosuje się do wszystkich producentów niezależnie od wielkości. Jednak Artykuł 64 przewiduje zwolnienie z kar dla mikroprzedsiębiorstw i małych przedsiębiorstw w przypadku niezachowania 24-godzinnego terminu zgłaszania podatności. Komisja Europejska opublikowała również wytyczne skierowane do MŚP. Projekt SECURE oferuje finansowanie kaskadowe do 30 000 EUR dla MŚP na wdrożenie wymogów CRA — Polska (NASK) jest partnerem projektu.
Źródło: Rozporządzenie (UE) 2024/2847, Artykuł 64 — EUR-Lex; parp.gov.pl
Co to jest SBOM i czy jest obowiązkowy?
Software Bill of Materials (SBOM) to ustrukturyzowana lista wszystkich komponentów oprogramowania produktu, wraz z wersjami i znanymi podatnościami. Załącznik I Część II Rozporządzenia (UE) 2024/2847 zobowiązuje producentów do sporządzenia i utrzymywania SBOM jako części procesu zarządzania podatnościami. SBOM nie musi być aktywnie publikowany, ale musi być dostępny dla organów nadzoru rynku.
Źródło: Rozporządzenie (UE) 2024/2847, Załącznik I Część II — EUR-Lex
Jakie kary grożą za nieprzestrzeganie CRA?
Artykuł 64 Rozporządzenia (UE) 2024/2847 ustanawia maksymalne kary: naruszenie zasadniczych wymagań cyberbezpieczeństwa — do 15 000 000 EUR lub 2,5% rocznego globalnego obrotu (wyższa kwota); inne naruszenia — do 10 000 000 EUR lub 2% obrotu; podanie nieprawdziwych informacji organom — do 5 000 000 EUR lub 1% obrotu. Mikroprzedsiębiorstwa i małe przedsiębiorstwa są zwolnione z kar za niedotrzymanie 24-godzinnego terminu zgłaszania podatności.
Źródło: Rozporządzenie (UE) 2024/2847, Artykuł 64 — EUR-Lex

Zautomatyzuj zgodność z CRA

CRA Ready to platforma SaaS B2B stworzona dla europejskich producentów. Dokumentacja techniczna, oznakowanie CE, zarządzanie podatnościami i SBOM — wszystko w jednym miejscu.

Otwórz platformę →
Zastrzeżenie prawne: Ta strona jest zasobem informacyjnym. Wszystkie treści dotyczące CRA odnoszą się do oficjalnego tekstu rozporządzenia (UE) 2024/2847 opublikowanego w Dzienniku Urzędowym UE (EUR-Lex). Informacje o polskich instytucjach pochodzą z cert.pl i parp.gov.pl. Ta strona nie stanowi porady prawnej.
CRA Ready GmbH Możliwość Inwestycyjna