Według raportu The State of Vulnerability Disclosure Policy Usage in Global Consumer IoT in 2025 tylko 40,53% producentów sprzętu IoT ma otwarte kanały komunikacji dla osób, które wyszukują podatności. Raport M-Trends 2026 wskazuje z kolei, że przeciętnie luki są wykorzystywane, jeszcze zanim producentom uda się udostępnić poprawki. Obrazuje to zarówno zaległości w obszarze zapewniania bezpieczeństwa przez producentów, jak i skalę zagrożeń, z którymi muszą mierzyć się europejskie firmy. Odpowiedzią na tę sytuację jest Cyber Resilience Act.

Cyber Resilience Act (CRA) to unijne rozporządzenie regulujące kwestię bezpieczeństwa produktów zawierających komponenty cyfrowe. Obejmuje sprzęt i oprogramowanie podłączone do sieci w całym cyklu życia produktu – od projektowania, przez rozwój i wdrożenie, po utrzymanie. Jego celem jest ujednolicenie wymagań technicznych i organizacyjnych w zakresie cyberbezpieczeństwa.

Podmioty objęte CRA to:

• producenci sprzętu i oprogramowania – firmy wprowadzające swoje produkty z komponentami cyfrowymi na rynek UE,
• importerzy – podmioty sprowadzające produkty spoza Unii Europejskiej,
• dystrybutorzy – organizacje uczestniczące w łańcuchu dostaw,
• dostawcy oprogramowania Open Source – w określonych przypadkach komercyjnego wykorzystania,
• podmioty oferujące produkty pod marką własną – nawet jeśli nie są ich faktycznymi producentami.

Cyber Resilience Act wszedł w życie 10 grudnia 2024 roku. W pełni zaczyna obowiązywać jednak dopiero od 11 grudnia 2027 roku – do tego czasu podmioty objęte nowymi regulacjami powinny już wiedzieć, co to jest CRA i dostosować poziom cyberbezpieczeństwa swoich produktów.

Niektóre przepisy będą stosowane już wcześniej:

• od 11 czerwca 2026 r. – rozdział IV dotyczący notyfikacji jednostek oceniających zgodność,
• od 11 września 2026 r. – obowiązki sprawozdawcze określone w artykule 14.

Jak Cyber Resilience Act chroni europejski biznes?

CRA wprowadza spójne wymagania bezpieczeństwa dla produktów z komponentami cyfrowymi. Dzięki temu ogranicza ryzyko wdrażania rozwiązań z podatnościami – mogą być one równie niebezpieczne dla użytkowników co ataki socjotechniczne. Firmy działające w UE mogą więc operować w bardziej przewidywalnym środowisku.

Regulacja wymusza podejście secure by design oraz secure by default. Oznacza to, że zabezpieczenia muszą być wdrażane już na etapie projektowania produktu, a nie dopiero po wyprodukowaniu urządzenia. Takie podejście redukuje koszty napraw i incydentów oraz ogranicza ryzyko operacyjne, związane np. z atakami typu zero-day.

Minimalne wymagania bezpieczeństwa eliminują rozwiązania o niskim poziomie ochrony. Produkt musi spełniać określone kryteria już na etapie wprowadzania na rynek. Wymusza to stosowanie dobrych praktyk, takich jak testy penetracyjne czy analiza kodu.

W skutek CRA zwiększa się też przejrzystość – producenci mają obowiązek zgłaszania informacji o podatnościach i incydentach. Dzięki temu organizacje mogą podejmować decyzje zakupowe na podstawie realnych danych.

Najważniejsze wymogi CRA obejmują:

• bezpieczeństwo w fazie projektowania – produkt musi być tworzony zgodnie z zasadą secure by design, z uwzględnieniem analizy ryzyka i modelowania zagrożeń,
• bezpieczne ustawienia domyślne – konfiguracja początkowa powinna minimalizować powierzchnię ataku bez potrzeby ingerencji użytkownika,
• zarządzanie podatnościami – producent musi identyfikować, dokumentować i usuwać luki bezpieczeństwa przez cały okres wsparcia,
• aktualizacje bezpieczeństwa – obowiązek dostarczania poprawek w sposób terminowy i możliwy do wdrożenia przez użytkownika,
• kontrolę dostępu – wdrożenie mechanizmów uwierzytelniania i autoryzacji adekwatnych do poziomu ryzyka,
• raportowanie incydentów – zgłaszanie poważnych zdarzeń do właściwych organów w określonym czasie,
• oznakowanie i deklarację zgodności – formalne potwierdzenie spełnienia wymagań regulacyjnych przed wprowadzeniem produktu na rynek.

W praktyce spełnienie tych wymogów może wymagać od producentów przebudowy wielu istniejących modeli rozwoju produktów.

Przygotowanie do CRA wymaga podejścia systemowego, bowiem regulacja wpływa na procesy technologiczne i operacyjne. Pierwszym krokiem powinien być rzetelny audyt, który pozwoli określić poziom zgodności oraz zidentyfikować obszary wymagające poprawy.

Audyt powinien obejmować architekturę systemów, procesy wytwórcze i zarządzanie podatnościami. Warto uwzględnić także łańcuchy dostaw oprogramowania. Analiza powinna wskazać obszary ryzyka oraz priorytety działań.

Oprócz audytów warto zadbać także o:

• Wdrożenie zarządzania podatnościami i incydentami bezpieczeństwa – proces ciągłego monitorowania i usuwania zagrożeń. Można do tego wykorzystać usługi NETIA SOC, NETIA Managed EDR czy Netia Incident Monitoring, które pozwalają wykrywać i rejestrować podejrzane zdarzenia.
• Uporządkowanie dokumentacji – opis architektury, mechanizmów bezpieczeństwa i procedur.
• Rozwój kompetencji zespołów – szkolenia z zakresu secure by design i DevSecOps, zwiększające poziom bezpieczeństwa tworzonych produktów.

Organizacje nie muszą jednak budować zespołów ds. cyberbezpieczeństwa samodzielnie – w ramach świadczonych usług Netia zapewnia wsparcie doświadczonych ekspertów, w tym pomoc w opracowaniu i wdrożeniu polityk bezpieczeństwa, analizę i klasyfikację incydentów czy testy podatności.