Nowy etap wdrażania Cyber Resilience Act w UE, Anna Schwendicke przewodniczącą AdCo

Unia Europejska wykonała kolejny krok przed wejściem w życie kluczowych wymagań Cyber Resilience Act. Podczas pierwszego posiedzenia grupy współpracy administracyjnej odpowiedzialnej za nadzór rynku wybrano nowe kierownictwo, które ma koordynować egzekwowanie przepisów dotyczących cyberbezpieczeństwa produktów cyfrowych w całej Wspólnocie.

Pierwsze posiedzenie Administrative Cooperation Group for the Cyber Resilience Act odbyło się 19 marca 2026 roku w Atenach. Gospodarzem spotkania była ENISA, czyli Agencja Unii Europejskiej ds. Cyberbezpieczeństwa. Na przewodniczącą grupy wybrano Annę Schwendicke z niemieckiego BSI, Federalnego Urzędu ds. Bezpieczeństwa Informacji, a funkcję wiceprzewodniczącej objęła Xenia Kyriakidou z cypryjskiego krajowego organu ds. certyfikacji cyberbezpieczeństwa.

Sama decyzja personalna ma znaczenie większe, niż mogłoby się wydawać, bo CRA nie opiera się wyłącznie na nowych obowiązkach dla producentów sprzętu i oprogramowania. Równie ważne jest stworzenie praktycznego modelu nadzoru, który będzie działał spójnie w 27 państwach członkowskich. To właśnie temu ma służyć grupa AdCo, odpowiedzialna za współpracę krajowych organów nadzoru rynku.

Cyber Resilience Act wszedł w życie 10 grudnia 2024 roku. Główne obowiązki wynikające z rozporządzenia zaczną obowiązywać od 11 grudnia 2027 roku, natomiast część przepisów ruszy wcześniej. Już od 11 czerwca 2026 roku zastosowanie znajdą regulacje dotyczące jednostek oceniających zgodność, a od 11 września 2026 roku zaczną obowiązywać wymogi raportowania podatności i poważnych incydentów.

Co zmieni Cyber Resilience Act dla rynku?

CRA obejmuje produkty z elementami cyfrowymi, a więc między innymi inteligentne urządzenia, przemysłowy internet rzeczy, komponenty sieciowe i oprogramowanie. Nowe przepisy wprowadzają obowiązkowe wymagania z zakresu cyberbezpieczeństwa w całym cyklu życia produktu, od projektowania po aktualizacje i obsługę luk bezpieczeństwa już po wprowadzeniu rozwiązania na rynek.

Model przyjęty przez Unię zakłada nadzór po wprowadzeniu produktu do obrotu. To oznacza, że krajowe organy będą mogły sprawdzać zgodność, żądać działań naprawczych, a w razie potrzeby także wprowadzać środki ograniczające wobec producentów, importerów, upoważnionych przedstawicieli i dystrybutorów. W praktyce dla firm technologicznych oznacza to konieczność lepszego dokumentowania bezpieczeństwa, szybszego reagowania na podatności i utrzymywania procesów zgodności także po premierze produktu.

Z biznesowego punktu widzenia to ważna zmiana dla całego jednolitego rynku. Dotąd bezpieczeństwo wielu produktów cyfrowych bywało oceniane nierówno, zależnie od kraju, kategorii urządzenia i branży. CRA ma ten krajobraz uporządkować. Dla producentów będzie to dodatkowy koszt organizacyjny i prawny, ale dla odbiorców końcowych także wyższa przewidywalność oraz większa presja na regularne poprawki bezpieczeństwa.

Wybór nowego kierownictwa grupy AdCo nie jest więc jedynie formalnością. To sygnał, że CRA przechodzi z etapu legislacyjnego do fazy realnych przygotowań egzekucyjnych. Dla producentów oznacza to, że czasu na dostosowanie jest coraz mniej, a dla rynku, że unijne przepisy zaczną być wreszcie wspierane przez konkretny mechanizm nadzoru.