Cybersecurity

Twój sprzęt to teraz regulowane oprogramowanie

Unijny Cyber Resilience Act zamienia każdy podłączony produkt w pozycję regulowaną, z 24-godzinnym terminem zgłoszenia od 2026 roku i karami do 2,5 procent obrotu.

Autor Leon Soliman · 2026-06-28 · 3 min czytania

Najważniejsze punkty

Cyber Resilience Act traktuje każdy produkt z elementami cyfrowymi jako pozycję regulowaną, więc producent podłączonej maszyny lub urządzenia jest teraz dostawcą oprogramowania w świetle prawa UE.
Od 11 września 2026 roku aktywnie wykorzystywana podatność uruchamia stały zegar: wczesne ostrzeżenie w ciągu 24 godzin, pełniejszy raport w ciągu 72 godzin oraz raport końcowy w ciągu 14 dni.
Od 11 grudnia 2027 roku produkty potrzebują oznakowania CE popartego bezpieczeństwem w fazie projektowania i aktualizacjami w okresie wsparcia, z karami do 15 milionów euro lub 2,5 procent globalnego obrotu.
Obowiązek nie kończy się w chwili sprzedaży, lecz trwa przez cały wspierany okres życia każdego egzemplarza i wiąże też producentów spoza UE, którzy sprzedają na rynek europejski.

Słowo producent oznacza teraz Ciebie

Unijny Cyber Resilience Act wszedł w życie w grudniu 2024 roku, a jego definicja producenta jest szersza, niż zakłada większość zarządów. Obejmuje każdy produkt z elementami cyfrowymi wprowadzony na rynek europejski: podłączoną maszynę, sterownik przemysłowy, wyrób medyczny, gadżet konsumencki lub samodzielne oprogramowanie. Jeśli Twój produkt komunikuje się z siecią, podlega regulacji, a wraz z nim importerzy i dystrybutorzy, którzy wprowadzają go na rynek.

Dla family office lub właściciela z sektora Mittelstand kłopotliwą częścią jest przeklasyfikowanie. Firma, która budowała precyzyjne maszyny przez trzy pokolenia i nigdy nie nazywała siebie przedsiębiorstwem softwarowym, jest teraz regulowanym dostawcą oprogramowania w oczach prawa UE. Przepis sięga również poza Wspólnotę. Producent mający siedzibę gdziekolwiek na świecie, który sprzedaje na rynek europejski, ma takie same obowiązki jak ten z siedzibą we Frankfurcie.

Zegar 24 godzin, którego nie kontrolujesz

Pierwszy twardy termin jest bliski. Od 11 września 2026 roku aktywnie wykorzystywana podatność lub poważny incydent bezpieczeństwa uruchamia stałą kaskadę zgłoszeń przez jedną europejską platformę. Wczesne ostrzeżenie należy złożyć w ciągu 24 godzin, pełniejsze powiadomienie w ciągu 72 godzin, a raport końcowy w ciągu 14 dni od wydania poprawki lub obejścia. Zegar nie czeka na Twoją analizę prawną ani na plan komunikacji.

Właśnie to tempo jest szokiem operacyjnym. Okno 24 godzin otwiera się w najgorszym momencie incydentu, gdy informacja jest niepełna, a instynkt nakazuje milczeć, dopóki fakty nie są jasne. Akt odbiera tę możliwość. Organizacja, która nie potrafi wykryć, oszacować i zgłosić luki w ciągu doby, przekroczy termin nie dlatego, że brakuje jej dobrej woli, lecz dlatego, że nigdy nie zbudowała mechanizmu pozwalającego działać tak szybko.

Oznakowanie CE i kara skrojona pod Twój obrót

Szersze obowiązki wchodzą 11 grudnia 2027 roku. Od tej daty produkt z elementami cyfrowymi potrzebuje oznakowania CE, które poświadcza, że został zbudowany z bezpieczeństwem w fazie projektowania, jest dostarczany bez znanych możliwych do wykorzystania wad i będzie otrzymywał aktualizacje bezpieczeństwa przez określony okres wsparcia. Zgodność nie jest jednorazowym testem przed premierą, lecz obowiązkiem, który trwa przez cały wspierany okres życia każdego sprzedanego egzemplarza.

Egzekwowanie ma ciężar gatunkowy. Krajowe organy nadzoru rynku pilnują przepisów, a Niemcy już wydały pierwszy projekt ustawy wskazujący ich właściwy organ. Kary za niespełnienie podstawowych wymogów sięgają 15 milionów euro lub 2,5 procent globalnego rocznego obrotu, zależnie od tego, która kwota jest wyższa. Dla rentownego średniej wielkości producenta to właśnie liczba obrotu powinna skupić uwagę sali.

Czytaj dalej: Czy Twoja obrona cybernetyczna jest gotowa na ataki w tempie maszynowym? · Twoje szyfrowanie ma datę ważności

Często zadawane pytania

Czy Cyber Resilience Act dotyczy nas, jeśli produkujemy wyłącznie fizyczne maszyny?

Tak, jeśli te maszyny łączą się z siecią lub uruchamiają oprogramowanie. Akt obejmuje produkty z elementami cyfrowymi, nie tylko czyste oprogramowanie, więc podłączona maszyna, sterownik lub urządzenie stawia swojego producenta jednoznacznie w zakresie regulacji, łącznie z obowiązkiem obsługi podatności i zgłaszania incydentów.

Mamy siedzibę poza UE. Czy nadal nas to wiąże?

Tak. Obowiązki podążają za rynkiem, a nie za siedzibą główną. Każdy producent, który wprowadza produkt z elementami cyfrowymi na rynek europejski, ma takie same obowiązki jak producent z siedzibą w UE, a Twój unijny importer lub dystrybutor może ponosić odpowiedzialność tam, gdzie Ciebie nie ma.

Cyber Resilience Act nie pyta, czy uważasz się za firmę softwarową. Rozstrzyga to za Ciebie w chwili, gdy Twój produkt łączy się z siecią. Prawdziwe pytanie brzmi, czy potrafisz wymienić każdy podłączony produkt, który sprzedajesz, udowodnić, jak jest zabezpieczony, i zgłosić działający atak w ciągu doby, czy też poznasz odpowiedź dopiero w trakcie samego incydentu.

Cyber Resilience Act Product Security CE Marking EU Regulation Mittelstand

Więcej z Servola Journal

Cybersecurity

Czy Twoja obrona cybernetyczna jest gotowa na ataki w tempie maszynowym?

2026-06-23 · 2 min czytania

Przeczytaj artykuł →

Information Security

Twoje szyfrowanie ma datę ważności

2026-06-26 · 2 min czytania

Przeczytaj artykuł →

AI Security

Agenty AI przewyższają liczebnie załogę

2026-06-26 · 2 min czytania

Przeczytaj artykuł →

Servola

Servola pomaga właścicielom i producentom z sektora Mittelstand ustalić, które z ich produktów podlegają Cyber Resilience Act, oraz zbudować obsługę podatności i zgłaszania, której będą potrzebować przed terminem w 2026 roku.

Poproś o poufną rozmowę O Servoli →

Servola to doradztwo technologiczne dla niewielkiej liczby rodzin i family offices. Gdy decyzji nie można delegować, siadamy po Twojej stronie stołu.

Servola Systems GmbH · Ludwigshafen, Germany · [email protected]

← Wszystkie artykuły