Niezależny przewodnik po rozporządzeniu (UE) 2024/2847 · Status: obowiązuje
Niniejsza strona stanowi tłumaczenie automatyczne (AI) i nie została sprawdzona przez człowieka.
Droga do zgodności · wytyczne

Przewodnik CRA dla twórców oprogramowania

Jak akt o cyberodporności ma zastosowanie do produktów programowych; od bezpiecznego opracowywania po postępowanie w przypadku podatności, SBOM i oznakowanie CE.

Ma zastosowanie do
Oprogramowanie z elementami cyfrowymi
Zgodność
Normy lub ocena przez stronę trzecią
Okres wsparcia
Określony, ≥ przewidywany okres użytkowania

Etapy zapewnienia zgodności

1

Potwierdź zakres stosowania i klasę

Art. 2 · 6

Większość oprogramowania wprowadzanego do obrotu na rynku UE wyposażonego w połączenie danych jest objęta zakresem stosowania, a wiele narzędzi deweloperskich należy do kategorii produktów „istotnych” z załącznika III.

  • Skorzystaj z CRA Fast Check, aby potwierdzić zakres stosowania
  • Ustal, czy Twój produkt jest domyślny, istotny czy krytyczny
  • Udokumentuj uzasadnienie w dokumentacji
Narzędzie do tego etapu
2

Wbudowanie bezpieczeństwa już na etapie projektowania

Annex I · I

Zaprojektuj i opracuj produkt tak, aby spełniał zasadnicze właściwości bezpieczeństwa w całym cyklu jego życia.

  • Dostarczanie produktu z konfiguracją domyślnie bezpieczną
  • Wdróż uwierzytelnianie i kontrolę dostępu
  • Chroń dane za pomocą szyfrowania w trakcie przesyłania i w spoczynku
  • Minimalizuj powierzchnię ataku i udostępnione interfejsy
Częsty błąd

Pozostawianie włączonych interfejsów debugowania, domyślnych danych uwierzytelniających lub szczegółowych komunikatów o błędach w wersjach produkcyjnych.

Narzędzie do tego etapu
3

Ustanów postępowanie w przypadku podatności

Annex I · II

Stosuj udokumentowany proces wykrywania, usuwania i ujawniania podatności przez cały okres wsparcia.

  • Opublikuj politykę skoordynowanego ujawniania podatności
  • Zapewnij punkt kontaktowy do zgłaszania problemów
  • Usuwaj podatności bez zbędnej zwłoki
  • Ujawniaj usunięte podatności po udostępnieniu aktualizacji
4

Utrzymywanie zestawienia składników oprogramowania (SBOM)

Załącznik I · II(1)

Utrzymywanie aktualnego SBOM obejmującego co najmniej zależności najwyższego poziomu produktu.

  • Wygeneruj SBOM w formacie nadającym się do odczytu maszynowego
  • Śledź komponenty i ich znane podatności
  • Aktualizowanie przy każdym wydaniu
Narzędzie do tego etapu
5

Dostarczanie bezpłatnych, terminowych aktualizacji zabezpieczeń

Annex I · I(2)

Zapewniaj aktualizacje zabezpieczeń oddzielnie od aktualizacji funkcjonalnych, bezpłatnie, przez zadeklarowany okres wsparcia.

  • Określ i opublikuj okres wsparcia
  • Dostarczaj aktualizacje zabezpieczeń bez zbędnej zwłoki
  • Dystrybuuj poprawki za pomocą bezpiecznego mechanizmu
6

Skompletuj dokumentację techniczną

Załącznik VII

Zgromadź dokumentację potwierdzającą zgodność i udostępniaj ją na potrzeby nadzoru rynku.

  • Opis produktu i przeznaczenie
  • Ocena ryzyka w zakresie cyberbezpieczeństwa
  • Rejestry zastosowanych norm
7

Oceń zgodność i umieść oznakowanie CE

Art. 32 · 36

Przeprowadź właściwą dla swojej klasy procedurę oceny zgodności i sporządź deklarację zgodności UE.

  • Samoocena (produkty domyślne) albo skorzystanie z jednostki notyfikowanej (produkty istotne/krytyczne)
  • Sporządź i podpisz deklarację zgodności UE
  • Umieść oznakowanie CE
Narzędzie do tego etapu
8

Wypełnij obowiązki sprawozdawcze i utrzymuj produkt

Art. 13(8) · 14

Od września 2026 r. zgłaszaj aktywnie wykorzystywane podatności oraz poważne incydenty i utrzymuj produkt przez cały jego okres wsparcia.

  • Proszę przekazać wczesne ostrzeżenie do ENISA i CSIRT w ciągu 24 godzin
  • Następnie przekaż zgłoszenie i sprawozdanie końcowe
  • Informowanie zainteresowanych użytkowników w stosownych przypadkach
Państwa bieżący obowiązek

Okres wsparcia musi wynosić co najmniej pięć lat (lub odpowiadać spodziewanemu okresowi użytkowania produktu, jeśli jest dłuższy), licząc od chwili wprowadzenia produktu do obrotu w UE. Przez cały ten czas należy postępować w przypadku podatności i zapewniać bezpłatne aktualizacje zabezpieczeń; każda aktualizacja musi następnie pozostawać dostępna przez 10 lat, a dokumentacja techniczna i deklaracja zgodności UE muszą być przechowywane przez 10 lat.

Bezpłatne narzędzia dla tej roli

Każde z poniższych narzędzi jest bezpłatne i otwiera się tutaj w panelu bocznym, dzięki czemu nie tracisz miejsca, w którym się znajdujesz.

BezpłatnieCRA Fast Check

Potwierdź, czy akt ma zastosowanie, oraz prawdopodobną klasę produktu.

Otwórz tutaj →BezpłatnieMacierz zgodności

Przyporządkuj każdy obowiązek z załącznika I oraz VII i monitoruj jego realizację aż do zakończenia.

Otwórz tutaj →BezpłatnieKalkulator kosztów

Oszacuj jednorazowy i roczny koszt zgodności.

Otwórz tutaj →BezpłatnieAnalizator podatności

Weryfikuj krzyżowo swój SBOM z NVD i EUVD oraz śledź składniki osiągające koniec okresu eksploatacji.

Otwórz tutaj →BezpłatnieGenerator DoC

Wygeneruj deklarację zgodności UE (załącznik V) dla swojego produktu.

Otwórz tutaj →BezpłatnieWyszukiwarka klasyfikacji

Ustal precyzyjnie, czy Twój produkt jest produktem domyślnym, istotnym czy krytycznym, na podstawie nazwy.

Otwórz tutaj →BezpłatniePlaner okresu wsparcia

Proszę ustalić minimalny okres wsparcia i oznaczyć składniki, których koniec życia (End-of-Life) przypada zbyt wcześnie.

Otwórz tutaj →
Więcej wytycznych

Inne przewodniki dla interesariuszy

M

Producenci

Obowiązki nakładane przez akt o cyberodporności na producentów produktów z elementami cyfrowymi; od oceny ryzyka po oznakowanie CE i obowiązki po wprowadzeniu do obrotu.

Przeczytaj ten przewodnik →
I

Importerzy i dystrybutorzy

Co podmioty gospodarcze muszą zweryfikować przed udostępnieniem produktu z elementami cyfrowymi na rynku UE; i po jego udostępnieniu.

Przeczytaj ten przewodnik →
CE

Jak uzyskać oznakowanie CE

Kroki niezbędne do zadeklarowania zgodności i umieszczenia oznakowania CE na produkcie z elementami cyfrowymi.

Przeczytaj przewodnik →