Co faktycznie zmienia się 11 września 2026
Unijny Akt o cyberodporności ustanawia twardy obowiązek zgłoszeniowy, który zaczyna obowiązywać 11 września 2026. Gdy producent uzyska rozsądny stopień pewności, że podatność w jednym z jego produktów jest aktywnie wykorzystywana lub że poważny incydent naruszył bezpieczeństwo tego produktu, zegar rusza. Wczesne ostrzeżenie musi dotrzeć do unijnej agencji ds. cyberbezpieczeństwa ENISA oraz właściwego krajowego CSIRT w ciągu 24 godzin, przekazane przez jedną platformę zgłoszeniową, która powiadamia oba podmioty jednocześnie.
Ostrzeżenie w ciągu 24 godzin to nie koniec. Pełniejsze powiadomienie jest wymagane w ciągu 72 godzin, a raport końcowy w ciągu 14 dni od udostępnienia środka naprawczego lub łagodzącego. Wyzwalaczem nie jest pełny dowód kryminalistyczny. Trwające dochodzenie nie zatrzymuje zegara, więc praktyczne pytanie dla właściciela jest proste: czy twój zespół potrafiłby wykryć sygnał, uznać, że kwalifikuje się on do zgłoszenia, i złożyć je w ciągu jednego dnia roboczego?
Dlaczego dotyczy to produktów już sprzedanych
Kwestia, która zaskakuje wielu przedsiębiorców, to zakres. Obowiązek nie ogranicza się do produktów wprowadzonych na rynek po terminie. Dopóki produkt z elementami cyfrowymi pozostaje na rynku UE 11 września 2026 lub później, jego podatności i poważne incydenty podlegają obowiązkowi zgłoszeniowemu, w tym starsze egzemplarze i starsze linie nadal sprzedawane. Podłączony czujnik, sterownik maszyny lub komponent oprogramowania wysłany lata temu może wciągnąć cię w zgłoszenie w ciągu 24 godzin.
Właśnie tu leży narażenie typowego producenta z sektora Mittelstand. Prace inżynierskie zostały zatwierdzone dawno temu, produkt jest dojrzały i nikt nie odpowiada za scenariusz zgłoszenia w ciągu 24 godzin. Obecne wytyczne Komisji z marca 2026 to najbardziej autorytatywna dostępna interpretacja, ale wciąż mają charakter projektu i nie zostały formalnie przyjęte, więc niektóre szczegóły mogą się zmienić. Podstawowe terminy i zasięg obejmujący istniejące produkty są już wystarczająco jasne, aby planować na ich podstawie.
Co właściciel może rozsądnie sprawdzić teraz
Zacznij od uczciwej mapy tego, co faktycznie sprzedajesz z elementami cyfrowymi, w tym oprogramowanie wbudowane i funkcje podłączone do sieci w starszych liniach. Następnie zapytaj, kto w firmie pierwszy usłyszałby, że jeden z tych produktów jest wykorzystywany, i jak ta informacja dociera do decydenta, który może autoryzować zgłoszenie. Jeśli uczciwa odpowiedź brzmi, że wiadomość leżałaby w skrzynce odbiorczej przez weekend, znalazłeś lukę. Wyznaczony właściciel, zdefiniowana ścieżka i przećwiczony scenariusz 24-godzinny znaczą tu więcej niż gruby dokument polityki.
Nic z tego nie stanowi porady prawnej, a ostateczny kształt wytycznych nie jest jeszcze ustalony. Ale kierunek jest wyznaczony, a termin jest bliski. Traktowanie obowiązku zgłoszeniowego jako kwestii gotowości operacyjnej już teraz, zamiast notatki zgodności później, to właśnie to, co odróżnia firmy składające zgłoszenia spokojnie od tych, które działają w popłochu. Praca to głównie proces i odpowiedzialność, a nie nowa technologia.
Czytaj dalej: Amerykanski termin kwantowy siega Twoich dostaw · Obowiązek cyberbezpieczeństwa jest teraz osobisty