Akt o Cyberodporności – cele i zakres regulacji

1. Wprowadzenie i kontekst geopolityczny uchwalenia Aktu o Cyberodporności

Dynamiczna cyfryzacja, która obejmuje Internet Rzeczy (IoT), systemy Technologii Operacyjnej (OT) oraz usługi chmurowe, sprawia, że produkty z elementami cyfrowymi stały się fundamentem nowoczesnej gospodarki. Rozwój ten wiąże się jednak ze wzrostem liczby i skali cyberzagrożeń, które prowadzą do strat gospodarczych oraz zakłóceń w funkcjonowaniu usług krytycznych. Dotychczasowe regulacje Unii Europejskiej dotyczące bezpieczeństwa produktów cyfrowych były rozproszone, co tworzyło swoistą lukę prawną. Z tego względu Komisja Europejska rozpoczęła prace nad Aktem o Cyberodporności (ang. Cyber Resilience Act, CRA).

Prace nad CRA nabrały tempa w związku z nasileniem działań hybrydowych Federacji Rosyjskiej, w tym cyberataków na infrastrukturę krytyczną. Wymusiło to skoordynowaną reakcję legislacyjną, określaną niekiedy jako "tsunami regulacyjne". Choć tempo zmian stanowi wyzwanie, ma ono kluczowe znaczenie dla budowy odporności cyfrowej UE.

W szerszym krajobrazie regulacyjnym CRA uzupełnia takie akty jak tzw. Dyrektywa NIS2[1] czy tzw. Rozporządzenie DORA[2]. Podczas gdy NIS2 koncentruje się na obowiązkach operatorów usług i podmiotów kluczowych, a DORA na odporności sektora finansowego, CRA skupia się na bezpieczeństwie samych produktów cyfrowych. Zamykając dotychczasową lukę regulacyjną, wprowadza obowiązkowe, jednolite wymagania bezpieczeństwa „od fazy projektowania” i na cały cykl życia produktu.

CRA odpowiada na dwa zasadnicze wyzwania: niski poziom cyberbezpieczeństwa części produktów cyfrowych oraz ograniczoną świadomość użytkowników. Wobec rosnącej złożoności cyberataków wymogi horyzontalne stają się narzędziem umożliwiającym wzmocnienie odporności UE i budowę suwerenności cyfrowej, a dla przedsiębiorców – impulsem do inwestycji.

2. Zakres podmiotowy i terytorialny CRA

Akt o Cyberodporności wszedł w życie 10 grudnia 2024 roku, choć znaczna część obowiązków wynikających z dokumentu zostanie objęta obowiązkiem stosowania od 11 grudnia 2027 roku. CRA charakteryzuje się niezwykle szerokim i wszechstronnym zakresem, obejmującym zarówno różnorodne typy produktów, jak i całe łańcuchy dostaw. Stanowi element przełomu w regulacji sfery cyfrowej w Unii Europejskiej.

Zasadniczym celem aktu jest harmonizacja wymogów bezpieczeństwa dla wszystkich produktów z elementami cyfrowymi wprowadzanymi na rynek wewnętrzny – rozporządzenie ma za zadanie wypełnić lukę regulacyjną, ponieważ dotychczasowe przepisy unijne, w tym Dyrektywa NIS2, nie obejmowały bezpośrednio obowiązkowych wymagań dotyczących bezpieczeństwa samych produktów. W rozumieniu CRA, produkt z elementami cyfrowymi oznacza oprogramowanie komputerowe lub sprzęt komputerowy oraz powiązane z nimi rozwiązania w zakresie zdalnego przetwarzania danych, w tym komponenty oprogramowania lub sprzętu, które są oddzielnie wprowadzane do obrotu.

CRA obejmuje zatem swoim zakresem przedmiotowym wszystkie produkty z elementami cyfrowymi, które mają bezpośrednie lub pośrednie połączenie z urządzeniem lub siecią, w tym sprzęt (hardware), oprogramowanie (software), jak i rozwiązania w zakresie zdalnego przetwarzania danych. Przykładowo produkty wchodzące w zakres definicji obejmują m.in. oprogramowanie i sprzęt wprowadzane niezależnie do obrotu, urządzenia konsumenckie z elementami cyfrowymi takie jak zabawki podłączone do Internetu, inteligentne zamki do drzwi, nianie elektroniczne, inteligentne głośniki i zabawki  (kategoria urządzeń znana jako IoT), sprzęt i oprogramowanie, które można podłączyć do Internetu, systemy operacyjne, aplikacje, powiązane usługi w chmurze lub infrastrukturę zaplecza, która stanowi integralną część funkcjonalności produktu, gry wideo, czy też komponenty sprzętu i oprogramowania, które są wprowadzane na rynek osobno – co oznacza, że CRA wykracza poza producenta produktu końcowego i obejmuje dostawców poszczególnych elementów. To bardzo istotna wartość horyzontalnego podejścia CRA, która polega na tym, że obejmuje ono luki w oprogramowaniu niewbudowanym (non-embedded software), co jest odpowiedzią legislatora na rosnącą złożoność łańcuchów dostaw w gospodarce cyfrowej.

2.1 Wyłączenia przedmiotowe – kiedy CRA nie ma zastosowania?

Mimo szerokiego zakresu, CRA zawiera szczegółowy katalog wyłączeń. Regulacja nie ma zastosowania do produktów, które są już certyfikowane lub regulowane przez bardziej szczegółowe przepisy sektorowe UE, ponieważ posiadają one już własne, równoważne ramy bezpieczeństwa. Wyłączenia te, stosownie do art. 2 CRA, obejmują produkty z elementami cyfrowymi, które:

a) biorąc pod uwagę inne ograniczenia lub wyłączenia, wyłączenia lub ograniczenia pozostają spójne z ogólnymi ramami regulacyjnymi mającymi zastosowanie do tych produktów; oraz

b) przepisy sektorowe zapewniają taki sam lub wyższy poziom ochrony niż przewidziany w CRA

2.2 Obowiązki związane z uczestnictwem w łańcuchu dostaw

Regulacja nakłada konkretne obowiązki na różne podmioty gospodarcze w łańcuchu dostaw. Ujmując te podmioty syntetycznie w grupy, są to w szczególności:

• producenci (Manufacturers), czyli osoby fizyczne lub prawne, które opracowują lub wytwarzają produkty, lub zlecają ich wytworzenie i wprowadzają je do obrotu pod własną nazwą lub znakiem towarowym;
• importerzy (Importers), czyli podmioty z siedzibą w UE, które wprowadzają na rynek produkt z nazwą podmiotu spoza UE;
• dystrybutorzy (Distributors), czyli inne podmioty w łańcuchu dostaw, które udostępniają produkt na rynku UE, nie zmieniając jego właściwości;
• zarządcy wolnego i otwartego oprogramowania (Open-source software stewards), czyli osoby prawne, których celem jest systematyczne zapewnienie stałego wsparcia dla rozwoju komercyjnych produktów OSS.

Ważne jest to, że importerzy i dystrybutorzy pełnią funkcję „strażników” (watchdogs). Importer musi upewnić się, że producent przeprowadził odpowiednie procedury oceny zgodności i posiada wymaganą dokumentację. Dystrybutor z kolei musi sprawdzić, czy produkt posiada oznakowanie CE i jest zgodny z wymogami informacyjnymi.

2.3 Implikacje terytorialne i „efekt brukselski”

CRA znajduje swoją podstawę prawną obowiązywania w art. 114 Traktatu o Funkcjonowaniu Unii Europejskiej (TFUE). Co do zasady regulacja obejmuje zatem swoim zakresem wyłącznie rynek wewnętrzny. Jeszcze ściślej ujmując, regulacja ma zastosowanie do produktów z elementami cyfrowymi, które są wprowadzane na rynek UE. To istotne rozróżnienie, albowiem faktyczny zasięg regulacji ma praktycznie charakter globalny. Chociaż definicja producenta^[3] nie odnosi się do siedziby w Unii Europejskiej, aby produkty spoza UE mogły być importowane i udostępniane na rynku unijnym, muszą spełniać wymagania CRA. W ten sposób CRA ma potencjał do tego, aby wpływać na globalne standardy cyberbezpieczeństwa. Podobnie jak stało się to w przypadku RODO (GDPR), które ustanowiło globalny punkt odniesienia w zakresie prywatności, CRA może ustanowić UE jako międzynarodowy wyznacznik w zakresie cyberbezpieczeństwa połączonych urządzeń. Określa się to zjawisko mianem „efektu brukselskiego”^[4].

3. Praktyczne znaczenie zasady secure by design

Zasadnicze wymagania CRA stanowią realizację kluczowej filozofii „bezpieczeństwa w fazie projektowania” (Security by Design). Zgodnie z tą zasadą produkty muszą być projektowane, rozwijane i wytwarzane w taki sposób, aby zapewniały odpowiedni poziom bezpieczeństwa stosownie do ryzyka. Nacisk na bezpieczeństwo kładzie się natomiast już w fazie projektowania produktu. Takie podejście wpływa na sposób zarządzania nim i akcentuje kwestię bezpieczeństwa.

W praktyce przekłada się to na obowiązek zapewnienia przez producentów, że ich produkty:

• są udostępniane bez znanych bez znanych, możliwych do wykorzystania podatności;
• co do zasady posiadają bezpieczną konfigurację domyślną, z opcją przywrócenia do stanu początkowego;
• zapewniają ochronę poufności i integralności danych (w tym danych osobowych) przez szyfrowanie i inne środki techniczne;
• zapewniają ochronę przed nieuprawnionym dostępem, np. poprzez systemy uwierzytelniania, tożsamości lub zarządzania dostępem;
• jeśli niektóre zasadnicze wymagania nie mają zastosowania do danego produktu, producent musi przedstawić jasne uzasadnienie tego faktu w ocenie ryzyka.

Zasada „Secure by Design” jest rozszerzona o obowiązki związane z zarządzaniem bezpieczeństwem przez cały okres wsparcia, czyli o czas, w którym producent jest zobowiązany zapewniać, że na podatności w zabezpieczeniach produktu reaguje się w sposób skuteczny.

CRA wymaga nadto, by producent zapewniał wsparcie w zakresie aktualizacji bezpieczeństwa przez co najmniej 5 lat od wprowadzenia produktu na rynek lub przez cały cykl życia produktu, jeśli jest on krótszy niż ten czas. Okres ten musi odzwierciedlać przewidywany czas użytkowania produktu i być uwzględniony w dokumentacji technicznej; w tym czasie nakazane jest zarządzanie podatnościami (vulnerability handling). Producent musi bezzwłocznie reagować na podatności i na bieżąco je eliminować, udostępniając bezpłatnie aktualizacje zabezpieczeń. W stosownych przypadkach aktualizacje te powinny być automatyczne (domyślne), choć użytkownik musi mieć zapewniony jasny mechanizm rezygnacji (opt-out). Do nowych obowiązków producenta będzie należało także identyfikowanie i dokumentacja komponentów, w tym przez sporządzenie zestawienia podstawowych materiałów do produkcji oprogramowania (SBOM) w powszechnie używanym, maszynowo odczytywalnym formacie. SBOM jest kluczowy dla śledzenia znanych i nowo pojawiających się podatności.

Obowiązek, który wchodzi w życie wcześniej, bo już od 11 września 2026 roku, polega na aktywnym zgłaszaniu wykorzystywanej podatności, o której producent powziął informację. Producent, który dowie się o istniejącej i stwarzającej zagrożenie podatności bezpieczeństwa, musi ją zgłosić bez zbędnej zwłoki, a w każdym razie w ciągu 24 godzin od momentu uzyskania informacji. Zgłoszenie kierowane jest jednocześnie do CSIRT-u państwa członkowskiego głównej siedziby producenta oraz do ENISA (Agencji UE ds. Cyberbezpieczeństwa) za pośrednictwem specjalnej platformy. Pełne sprawozdanie końcowe należy, zgodnie z art. 14 CRA, dostarczyć w ciągu 14 dni po udostępnieniu środka naprawczego. Został tutaj zatem zastosowany ten sam mechanizm zgłaszania incydentów, który przyjęto w Dyrektywie NIS2. Sam mechanizm służy natomiast skutecznej koordynacji zagrożeń na poziomie ogólnoeuropejskim i jest wyrazem przejścia z zasady „need to know” na zasadę „need to share”.

4. Konsekwencje i obowiązki dla przedsiębiorców – wyzwania MŚP

Wejście w życie CRA, z pełnym zastosowaniem większości przepisów od 11 grudnia 2027 r., oznacza dla przedsiębiorców konieczność radykalnej zmiany procesów projektowania i produkcji. Rozporządzenie klasyfikuje produkty z elementami cyfrowymi na trzy główne kategoria ryzyka, które decydują m.in. o tym, czy ocena zgodności wymaga zaangażowania strony trzeciej.

Kategoria produktów domyślnych  (non-critical): obejmuje produkty z elementami cyfrowymi, które nie są wymienione w CRA jako ważne lub krytyczne produkty z elementami cyfrowymi. Ocena może być w tym przypadku przeprowadzana przez producenta[5] na własną odpowiedzialność[6]. Producent zachowuje elastyczność co do możliwości wyboru bardziej rygorystycznej procedury oceny zgodności z udziałem strony trzeciej.

Pozostałe dwie kategorie określa szczegółowo załącznik III CRA.

Ważne produkty z elementami cyfrowymi klasy I (np. samodzielne, jak i wbudowane przeglądarki, systemy zarządzania informacjami i zdarzeniami zabezpieczeń (SIEM), menedżery haseł), czyli takie, które wymagają kontroli wewnętrznej (samooceny), o ile producent zastosował w pełni normy zharmonizowane, wspólne specyfikacje lub europejskie programy certyfikacji. W przeciwnym razie, wymagana jest ocena przez stronę trzecią[7].

Ważne produkty z elementami cyfrowymi klasy II (np. zapory sieciowe, hiperwizory), czyli takie, które z uwagi na większe ryzyko, wymagają dokonania obowiązkowej oceny zgodności przez stronę trzecią (jednostkę notyfikowaną), nawet jeśli zastosowano normy zharmonizowane.

Co więcej producenci będą musieli sporządzić dokumentację techniczną, której pierwsza wersja musi być gotowa przed wprowadzeniem produktu do obrotu. Dokumentacja ta musi być stale aktualizowana, co najmniej przez okres wsparcia.

Unijny ustawodawca zadbał o zachowanie reguły proporcjonalności. Przede wszystkim w celu zmniejszenia kosztów administracyjnych bez wpływu na poziom ochrony cyberbezpieczeństwa, przewidział możliwość określenia przez Komisję Europejską uproszczonego formularza dokumentacji technicznej, która ma zostać wydana w formie rozporządzenia wykonawczego.

W świetle analizowanych przepisów wysoce prawdopodobne jest także to, że wkrótce ujrzymy także intensyfikację działań państw członkowskich ukierunkowanych na systemowe wspieranie MŚP w procesach innowacyjnych. Regulacje podkreślają konieczność uwzględnienia specyficznych potrzeb tych podmiotów oraz umożliwiają tworzenie działań takich jak szkolenia, wsparcie informacyjne czy pomoc w ocenie zgodności. Ponieważ koszty tłumaczeń dokumentacji technicznej i komunikacji z organami mogą być dla mniejszych producentów znacznym obciążeniem, wyrażono także wskazanie, zgodnie z którym do celów opracowania dokumentacji sporządzanej przez producentów należących do sektora MŚP oraz w komunikacji z producentami, językiem podstawowym był język powszechnie rozumiany przez możliwie największą liczbę użytkowników.

Państwa członkowskie mogą również tworzyć tzw. piaskownice regulacyjne – specjalnie w tym celuwyznaczone, kontrolowane warunki testowe, które pozwalają przedsiębiorcom bezpiecznie eksperymentować z rozwiązaniami przed ich wprowadzeniem na rynek.

Sankcje

Nieprzestrzeganie zasadniczych wymagań dotyczących cyberbezpieczeństwa, które określa Załącznik I oraz art. 13 i 14 Rozporządzenia[8], wiąże się z ryzykiem nałożenia administracyjnej kary pieniężnej w wysokości do 15 000 000 EUR lub do 2,5% łącznego rocznego światowego obrotu przedsiębiorstwa z poprzedniego roku obrotowego, w zależności od tego, która kwota jest wyższa. Najbardziej znaczącym ryzykiem z perspektywy praktycznej jest niewypełnienie obowiązku zgłaszania aktywnie wykorzystywanych podatności w produkcie – ten wymóg będzie egzekwowany już od 11 września 2026 roku.  

Przewidziane są również niższe progi finansowe. Przykładowo naruszenia związane z niespełnieniem obowiązków administracyjnych, takich jak brak poprawnej dokumentacji technicznej, nieumieszczenie oznakowania CE, czy niezgodności w zakresie obowiązków importerów lub dystrybutorów, są zagrożone karą do 10 000 000 EUR lub do 2% światowego obrotu. Najniższy próg, do 5 000 000 EUR lub 1% obrotu, dotyczy przekazywania organom nadzoru rynku informacji nieprawidłowych, niekompletnych lub wprowadzających w błąd.

Także i w tym zakresie dla MŚP przewidziano stosowanie szczególnych kryteriów oceny.. Zgodnie z treścią artykułu 64 i motywu 120 preambuły CRA, producenci kwalifikujący się jako mikro i małe przedsiębiorstwa są wyłączeni z administracyjnych kar pieniężnych za niedotrzymanie 24-godzinnego terminu wczesnego ostrzegania o aktywnie wykorzystywanych podatnościach, a sam fakt posiadania statusu mikro lub małego przedsiębiorstwa, jest istotną okolicznością łagodzącą przy wymierzaniu kar. Jednakże, sankcje stanowią co do zasady mierzalny wskaźnik ryzyka, który przedsiębiorcy powinni uwzględnić w strategii operacyjnej.

 5. Podsumowanie

Jak wspomniano, Akt o Cyberodporności został opublikowany 24 października 2024 r. i wszedł w życie 10 grudnia 2024 r., choć zasadnicza faza stosowania przepisów rozpocznie się po 36-miesięcznym okresie przejściowym tj. 11 grudnia 2027 roku. Obowiązki notyfikacyjne jednostek oceniających zgodność zaczną z kolei obowiązywać już 11 czerwca 2026 r., a producenci będą zobowiązani do obowiązkowego zgłaszania aktywnie wykorzystywanych podatności w ciągu 24 godzin już od 11 września 2026 roku. To akt, który ma na względzie harmonizację wymagań dla produktów z elementami cyfrowymi na rynku wewnętrznym i wzmocnienie norm bezpieczeństwa. To także element większej gry o spokój w obliczu narastających zagrożeń w dzisiejszym świecie. Kluczową konsekwencją jest prawny obowiązek wdrożenia zasady „Secure by Design” w całym cyklu życia produktu, w tym zapewnienie wsparcia w zakresie aktualizacji przez co najmniej 5 lat. Przedsiębiorcy muszą przeprowadzić ocenę zgodności (uzależnioną od klasy ryzyka produktu), a następnie uzyskać oznakowanie CE. Rozporządzenie przewiduje dotkliwe i odstraszające kary finansowe, których wysokość jest odpowiednio pomniejszona wobec przedsiębiorców z sektora MŚP. Już teraz warto określić zewnętrzne, jak i wewnętrzne czynniki istotne dla osiągnięcia celów przedsiębiorstwa, by przygotować się do wypełnienia nadchodzących obowiązków.

Simone Barszczak

Junior Associate w kancelarii FinLegalTech Ossowska Żelek sp. k.

[1] Dyrektywa Parlamentu Europejskiego i Rady (UE) 2022/2555 z dnia 14 grudnia 2022 r. w sprawie środków na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa na terytorium Unii, zmieniająca rozporządzenie (UE) nr 910/2014 i dyrektywę (UE) 2018/1972 oraz uchylająca dyrektywę (UE) 2016/1148

[2] ROZPORZĄDZENIE PARLAMENTU EUROPEJSKIEGO I RADY (UE) 2022/2554 z dnia 14 grudnia 2022 r.

w sprawie operacyjnej odporności cyfrowej sektora finansowego i zmieniające rozporządzenia (WE) nr 1060/2009, (UE) nr 648/2012, (UE) nr 600/2014, (UE) nr 909/2014 oraz (UE) 2016/1011

^[3] W rozumieniu CRA, „producent” oznacza osobę fizyczną lub prawną, która opracowuje lub wytwarza produkty z elementami cyfrowymi lub zleca zaprojektowanie, opracowanie lub wytworzenie produktów z elementami cyfrowymi i wprowadza te produkty do obrotu pod własną nazwą handlową lub znakiem towarowym, za opłatą, na zasadzie monetyzacji lub bezpłatnie.

^[4] Por. A. Brandford, The Brussels Effect: How European Union rules the world, a także: S. Gunst, F de Vile, The Brussels Effect: How the GDPR Conquered Sillicon Valley.

[5] Zgodnie z procedurą kontroli wewnętrznej na podstawie modułu A określonego w decyzji 768/2008/WE.

[6] Dotyczy to również przypadków, w których producent zdecyduje się nie stosować w całości lub w części obowiązującej normy zharmonizowanej, wspólnej specyfikacji lub europejskiego programu certyfikacji cyberbezpieczeństwa.

[7] Tj. moduł B i C lub H o których mowa w Decyzji 768/2008/WE.

[8] A zatem niezapewnienie, że produkty są projektowane, wytwarzane i produkowane zgodnie z odpowiednim poziomem cyberbezpieczeństwa oraz nieustanowienie procedur skutecznego postępowania w przypadku wykrycia podatności.