Co faktycznie zmienia się 11 września 2026

Unijny Akt o cyberodporności ustanawia twardy obowiązek zgłoszeniowy, który zaczyna obowiązywać 11 września 2026. Gdy producent uzyska rozsądny stopień pewności, że podatność w jednym z jego produktów jest aktywnie wykorzystywana lub że poważny incydent naruszył bezpieczeństwo tego produktu, zegar rusza. Wczesne ostrzeżenie musi dotrzeć do unijnej agencji ds. cyberbezpieczeństwa ENISA oraz właściwego krajowego CSIRT w ciągu 24 godzin, przekazane przez jedną platformę zgłoszeniową, która powiadamia oba podmioty jednocześnie.

Ostrzeżenie w ciągu 24 godzin to nie koniec. Pełniejsze powiadomienie jest wymagane w ciągu 72 godzin, a raport końcowy w ciągu 14 dni od udostępnienia środka naprawczego lub łagodzącego. Wyzwalaczem nie jest pełny dowód kryminalistyczny. Trwające dochodzenie nie zatrzymuje zegara, więc praktyczne pytanie dla właściciela jest proste: czy twój zespół potrafiłby wykryć sygnał, uznać, że kwalifikuje się on do zgłoszenia, i złożyć je w ciągu jednego dnia roboczego?

Dlaczego dotyczy to produktów już sprzedanych

Kwestia, która zaskakuje wielu przedsiębiorców, to zakres. Obowiązek nie ogranicza się do produktów wprowadzonych na rynek po terminie. Dopóki produkt z elementami cyfrowymi pozostaje na rynku UE 11 września 2026 lub później, jego podatności i poważne incydenty podlegają obowiązkowi zgłoszeniowemu, w tym starsze egzemplarze i starsze linie nadal sprzedawane. Podłączony czujnik, sterownik maszyny lub komponent oprogramowania wysłany lata temu może wciągnąć cię w zgłoszenie w ciągu 24 godzin.

Właśnie tu leży narażenie typowego producenta z sektora Mittelstand. Prace inżynierskie zostały zatwierdzone dawno temu, produkt jest dojrzały i nikt nie odpowiada za scenariusz zgłoszenia w ciągu 24 godzin. Obecne wytyczne Komisji z marca 2026 to najbardziej autorytatywna dostępna interpretacja, ale wciąż mają charakter projektu i nie zostały formalnie przyjęte, więc niektóre szczegóły mogą się zmienić. Podstawowe terminy i zasięg obejmujący istniejące produkty są już wystarczająco jasne, aby planować na ich podstawie.

Co właściciel może rozsądnie sprawdzić teraz

Zacznij od uczciwej mapy tego, co faktycznie sprzedajesz z elementami cyfrowymi, w tym oprogramowanie wbudowane i funkcje podłączone do sieci w starszych liniach. Następnie zapytaj, kto w firmie pierwszy usłyszałby, że jeden z tych produktów jest wykorzystywany, i jak ta informacja dociera do decydenta, który może autoryzować zgłoszenie. Jeśli uczciwa odpowiedź brzmi, że wiadomość leżałaby w skrzynce odbiorczej przez weekend, znalazłeś lukę. Wyznaczony właściciel, zdefiniowana ścieżka i przećwiczony scenariusz 24-godzinny znaczą tu więcej niż gruby dokument polityki.

Nic z tego nie stanowi porady prawnej, a ostateczny kształt wytycznych nie jest jeszcze ustalony. Ale kierunek jest wyznaczony, a termin jest bliski. Traktowanie obowiązku zgłoszeniowego jako kwestii gotowości operacyjnej już teraz, zamiast notatki zgodności później, to właśnie to, co odróżnia firmy składające zgłoszenia spokojnie od tych, które działają w popłochu. Praca to głównie proces i odpowiedzialność, a nie nowa technologia.