EuroComply
Zarejestruj się
Back to blog
CRA 9 min read

Czym jest akt o cyberodporności? Przewodnik dla producentów wyrobów

What you need to know: Czym jest akt o cyberodporności? Przewodnik dla producentów wyrobów

Akt o cyberodporności (rozporządzenie 2024/2847) wprowadza obowiązkowe wymogi w zakresie cyberbezpieczeństwa dla wszystkich produktów z elementami cyfrowymi sprzedawanych w UE. Obowiązki zgłaszania obowiązują od września 2026 r.; pełne egzekwowanie od grudnia 2027 r.

Source: EuroComply Editorial (2026-04-14)Reviewed:
EuroComply Team
EU regulatory specialistsContent reviewed against official EUR-Lex texts
EuroComply Editorial Team

Akt o cyberodporności (rozporządzenie 2024/2847) wszedł w życie 10 grudnia 2024 r. Wprowadza obowiązkowe wymogi w zakresie cyberbezpieczeństwa dla wszystkich produktów z elementami cyfrowymi wprowadzanych na rynek UE — niezależnie od tego, czy jest to sprzęt z wbudowanym oprogramowaniem, samodzielne oprogramowanie, czy urządzenia połączone z siecią.

Po raz pierwszy producenci i dostawcy oprogramowania muszą wykazać zgodność z wymogami cyberbezpieczeństwa jako warunek oznakowania CE. Akt o cyberodporności wypełnia istotną lukę w prawie UE: o ile RODO chroni dane, a NIS2 chroni operatorów infrastruktury krytycznej, żaden z tych aktów nie regulował bezpośrednio bezpieczeństwa samych produktów.

Harmonogram zgłaszania

  • 11 września 2026 r.: obowiązują obowiązki zgłaszania podatności i incydentów
  • 11 grudnia 2027 r.: obowiązują wszystkie pozostałe obowiązki wynikające z aktu o cyberodporności (wymogi zasadnicze, ocena zgodności, oznakowanie CE)

Zakres: jakie produkty obejmuje akt o cyberodporności?

Akt o cyberodporności ma zastosowanie do każdego produktu z elementami cyfrowymi — zdefiniowanego jako każdy produkt programowy lub sprzętowy oraz jego rozwiązania do zdalnego przetwarzania danych, jeżeli produkt jest przeznaczony do bezpośredniego lub pośredniego logicznego lub fizycznego połączenia danych z urządzeniem lub siecią.

Jest to celowo szeroka definicja. Obejmuje ona:

  • Konsumenckie urządzenia IoT (inteligentne głośniki, połączone z siecią sprzęty AGD, urządzenia ubieralne)
  • Przemysłowe IoT i komponenty technologii operacyjnej
  • Sprzęt sieciowy (routery, przełączniki, zapory sieciowe)
  • Systemy operacyjne, aplikacje desktopowe i mobilne
  • Komponenty oprogramowania jako usługi (SaaS), które przetwarzają dane lokalnie
  • Mikrokontrolery i mikroprocesory z łącznością sieciową

Wyłączenia — produkty już objęte sektorowymi regulacjami UE w zakresie cyberbezpieczeństwa są wyłączone, aby uniknąć dublowania:

  • Wyroby medyczne (MDR/IVDR)
  • Pojazdy silnikowe (rozporządzenie w sprawie homologacji typu)
  • Sprzęt lotniczy (przepisy EASA)
  • Produkty wojskowe i związane z bezpieczeństwem narodowym

Klasyfikacja produktów

Akt o cyberodporności stosuje czteroklasowy system oparty na krytyczności. Klasa określa wymaganą procedurę oceny zgodności.

| Klasa | Przykłady | Ocena zgodności | |-------|---------|----------------------| | Domyślna (większość produktów) | Elektronika konsumencka, ogólne aplikacje, urządzenia inteligentnego domu | Samoocena na podstawie załącznika I | | Ważne — klasa I | Menedżery haseł, sieci VPN, przeglądarki, narzędzia do zarządzania siecią, mikrokontrolery, zapory sieciowe | Samoocena (jeżeli zastosowano normę zharmonizowaną) lub ocena przez stronę trzecią | | Ważne — klasa II | Systemy operacyjne dla serwerów/komputerów stacjonarnych/urządzeń mobilnych, systemy automatyki przemysłowej, inteligentne liczniki, routery do zastosowań przemysłowych | Obowiązkowa ocena przez stronę trzecią | | Krytyczne (sprzętowe komponenty bezpieczeństwa) | Sprzętowe moduły bezpieczeństwa (HSM), układy scalone kart inteligentnych, bezpieczne elementy (secure elements), moduły TPM | Obowiązkowa ocena przez stronę trzecią + badanie typu UE |

Producenci są odpowiedzialni za prawidłową klasyfikację swoich produktów. Nieprawidłowa klasyfikacja skutkująca zaniżoną oceną stanowi naruszenie aktu o cyberodporności.

Zasadnicze wymogi w zakresie cyberbezpieczeństwa (załącznik I)

Zgodnie z art. 10 aktu o cyberodporności wszystkie produkty z elementami cyfrowymi muszą spełniać wymogi części I przez cały cykl życia, od projektowania po zakończenie wsparcia:

  • Bezpieczeństwo domyślne — dostarczane z włączoną konfiguracją zwiększającą bezpieczeństwo; brak otwartych zbędnych portów, brak ogólnych poświadczeń
  • Brak znanych podatności możliwych do wykorzystania w momencie wprowadzenia na rynek
  • Minimalna powierzchnia ataku — aktywne tylko niezbędne komponenty, funkcje i interfejsy
  • Kontrola dostępu — mechanizmy chroniące przed nieuprawnionym dostępem
  • Ochrona danych — poufność i integralność danych osobowych i wrażliwych podczas przesyłania i przechowywania
  • Integralność — mechanizmy weryfikacji integralności oprogramowania/oprogramowania układowego i ochrony przed manipulacją
  • Odporność — zdolność do funkcjonowania pomimo zdarzeń typu odmowa usługi (DoS)
  • Dostępność — utrzymanie funkcji krytycznych lub ich kontrolowane ograniczenie podczas zakłóceń
  • Rejestrowanie incydentów — wystarczające rejestrowanie umożliwiające dochodzenie po incydencie
  • Minimalizacja — gromadzenie danych ograniczone do tego, co niezbędne dla zamierzonej funkcjonalności

Część II załącznika I obejmuje obowiązki w zakresie obsługi podatności: producenci muszą ustanowić politykę skoordynowanego ujawniania, reagować na ujawnione podatności, rozpowszechniać aktualizacje zabezpieczeń oraz informować o datach zakończenia wsparcia.

Obsługa i zgłaszanie podatności

Art. 14 określa obowiązkowe terminy zgłaszania. Od 11 września 2026 r. producenci muszą:

  • Zgłaszać aktywnie wykorzystywane podatności do ENISA i właściwego krajowego CSIRT w ciągu 24 godzin od powzięcia wiedzy
  • Zgłaszać poważne incydenty bezpieczeństwa mające wpływ na bezpieczeństwo produktu w ciągu 24 godzin do ENISA/CSIRT
  • Przekazać zgłoszenie wstępne w ciągu 72 godzin
  • Przekazać zgłoszenie końcowe nie później niż 14 dni po powzięciu wiedzy o podatności

ENISA będzie prowadzić jedną platformę zgłoszeniową. Producenci spoza UE muszą wyznaczyć upoważnionego przedstawiciela z siedzibą w UE odpowiedzialnego za obowiązki w zakresie zgodności.

Aktualizacje zabezpieczeń muszą być udostępniane bezpłatnie przez okres wsparcia. Minimalny okres wsparcia dla większości produktów wynosi 5 lat (lub oczekiwany okres eksploatacji produktu, jeżeli jest krótszy). Producenci muszą jasno informować o datach zakończenia wsparcia.

Ocena zgodności i oznakowanie CE

Zgodność z aktem o cyberodporności jest warunkiem wstępnym uzyskania oznakowania CE wymaganego do wprowadzenia produktów na rynek UE.

Procedura oceny zgodności zależy od klasy produktu:

  • Produkty domyślne: samoocena. Producent sporządza deklarację zgodności UE i umieszcza oznakowanie CE.
  • Ważne klasy I: samoocena, jeżeli w pełni zastosowano normę zharmonizowaną; w przeciwnym razie ocena przez stronę trzecią wykonywaną przez jednostkę notyfikowaną.
  • Ważne klasy II: obowiązkowa ocena zgodności przez stronę trzecią wykonywaną przez jednostkę notyfikowaną (badanie typu UE lub ocena systemu zarządzania jakością).
  • Krytyczne: badanie typu UE przez jednostkę notyfikowaną oraz bieżąca ocena jakości produkcji.

Dokumentacja techniczna musi być przechowywana przez 10 lat po wprowadzeniu na rynek i udostępniana organom nadzoru rynku na żądanie.

Kary

Organy nadzoru rynku mogą nakładać kary administracyjne:

| Naruszenie | Maksymalna kara | |-----------|-------------| | Niezgodność z zasadniczymi wymogami cyberbezpieczeństwa (załącznik I) | 15 mln EUR lub 2,5% globalnego rocznego obrotu | | Niezgodność z innymi obowiązkami wynikającymi z aktu o cyberodporności | 10 mln EUR lub 2% globalnego rocznego obrotu | | Przekazanie nieprawidłowych/niekompletnych informacji organom | 5 mln EUR lub 1% globalnego rocznego obrotu |

Zastosowanie ma wyższa z dwóch wartości. W przypadku dużych firm technologicznych wiążącym ograniczeniem jest pułap oparty na obrocie.

Praktyczna czterostopniowa lista kontrolna dla producentów i dostawców oprogramowania

  1. Sklasyfikuj swoje produkty — przeanalizuj wykazy z załącznika III i załącznika IV, aby ustalić, czy którykolwiek z Twoich produktów kwalifikuje się jako ważny klasy I/II lub krytyczny; udokumentuj uzasadnienie klasyfikacji
  2. Przeprowadź audyt względem załącznika I — dla każdego produktu zmapuj obecne funkcje bezpieczeństwa względem wymogów zasadniczych; zidentyfikuj luki i przypisz osoby odpowiedzialne za działania naprawcze
  3. Ustanów procesy obsługi podatności — zbuduj politykę skoordynowanego ujawniania podatności, proces selekcji zgłoszonych podatności, mechanizm dystrybucji aktualizacji zabezpieczeń oraz 24-godzinny proces zgłaszania aktywnie wykorzystywanych podatności (wymagany od września 2026 r.)
  4. Zaplanuj ocenę zgodności — jeżeli posiadasz produkty klasy I lub wyższej, zidentyfikuj jednostki notyfikowane i rozpocznij ocenę z wyprzedzeniem; oznakowanie CE musi być wprowadzone do grudnia 2027 r.

Ostatnia aktualizacja: kwiecień 2026 r. Wyłącznie w celach informacyjnych — nie stanowi porady prawnej. W konkretnych sprawach należy skonsultować się z wykwalifikowanym doradcą prawnym.

Najczęściej zadawane pytania

Czy akt o cyberodporności ma zastosowanie do produktów programowych?

Tak. Akt o cyberodporności wyraźnie obejmuje produkty programowe z elementami cyfrowymi, a nie tylko sprzęt. Rozporządzenie 2024/2847 definiuje „produkt z elementami cyfrowymi" jako każdy produkt programowy lub sprzętowy oraz jego rozwiązania do zdalnego przetwarzania danych, jeżeli produkt jest przeznaczony do bezpośredniego lub pośredniego logicznego lub fizycznego połączenia danych z urządzeniem lub siecią. Obejmuje to aplikacje desktopowe, aplikacje mobilne, systemy operacyjne, oprogramowanie układowe oraz komponenty SaaS, które przetwarzają dane lokalnie na urządzeniu użytkownika. Oprogramowanie sprzedawane w abonamencie lub aktualizowane zdalnie pozostaje objęte zakresem. Główne wyłączenia to oprogramowanie opracowane wyłącznie na potrzeby bezpieczeństwa narodowego lub cele wojskowe, a także produkty już objęte sektorowymi przepisami UE w zakresie cyberbezpieczeństwa, takie jak wyroby medyczne zgodnie z MDR oraz sprzęt lotniczy zgodnie z przepisami EASA.

Jakie są zasadnicze wymogi w zakresie cyberbezpieczeństwa wynikające z aktu o cyberodporności?

Załącznik I do rozporządzenia 2024/2847 określa dwie części wymogów zasadniczych. Część I obejmuje właściwości bezpieczeństwa produktu przez cały cykl życia: produkty muszą być bezpieczne domyślnie, bez zbędnych otwartych portów ani ogólnych poświadczeń, nie mogą zawierać znanych podatności możliwych do wykorzystania w momencie wprowadzenia na rynek, muszą minimalizować powierzchnię ataku, chronić poufność i integralność danych podczas przesyłania i przechowywania, wdrażać kontrolę dostępu chroniącą przed nieuprawnionym dostępem, prowadzić wystarczające rejestrowanie na potrzeby dochodzenia po incydencie oraz być odporne na zdarzenia typu odmowa usługi (DoS). Część II obejmuje obowiązki w zakresie obsługi podatności: producenci muszą ustanowić politykę skoordynowanego ujawniania podatności, reagować na zgłoszone podatności bez zbędnej zwłoki, zapewniać bezpłatne aktualizacje zabezpieczeń przez cały okres wsparcia oraz jasno informować o datach zakończenia wsparcia. Minimalny okres wsparcia dla większości produktów wynosi pięć lat lub oczekiwany okres eksploatacji produktu, jeżeli jest krótszy.

Jakie są terminy zgodności z aktem o cyberodporności?

Akt o cyberodporności wszedł w życie 10 grudnia 2024 r., ale obowiązuje etapowo. Od 11 września 2026 r. obowiązki zgłaszania podatności i incydentów stają się obowiązkowe — producenci muszą zgłaszać aktywnie wykorzystywane podatności do ENISA i właściwego krajowego CSIRT w ciągu 24 godzin od powzięcia wiedzy, przy czym zgłoszenie wstępne należy przekazać w ciągu 72 godzin, a zgłoszenie końcowe w ciągu 14 dni. Pełny zakres obowiązków wynikających z aktu o cyberodporności — w tym zasadnicze wymogi w zakresie cyberbezpieczeństwa z załącznika I, ocena zgodności, oznakowanie CE oraz dokumentacja techniczna — obowiązuje od 11 grudnia 2027 r. Producenci posiadający produkty ważne klasy I lub klasy II powinni rozpocząć współpracę z jednostkami notyfikowanymi z dużym wyprzedzeniem przed grudniem 2027 r., ponieważ oczekuje się, że dostępność zdolności w zakresie oceny zgodności będzie ograniczona.

Źródła

Key takeaways: Czym jest akt o cyberodporności? Przewodnik dla producentów wyrobów

This article covers: Harmonogram zgłaszania, Zakres: jakie produkty obejmuje akt o cyberodporności?, Klasyfikacja produktów.

  • Harmonogram zgłaszania
  • Zakres: jakie produkty obejmuje akt o cyberodporności?
  • Klasyfikacja produktów
  • Zasadnicze wymogi w zakresie cyberbezpieczeństwa (załącznik I)
  • Obsługa i zgłaszanie podatności
Source: EuroComply Editorial (2026-04-14)Reviewed:
EC

EuroComply Editorial Team

EU regulatory compliance specialists covering the AI Act, GDPR, NIS2, and related legislation. Content reviewed against official EU regulation texts and enforcement guidance.

For informational purposes only. Consult qualified legal counsel.

Share:

Get the weekly EU compliance briefing — 2 minutes, every Thursday.

See how your site scores

Run a free EU compliance scan — no signup, 30 seconds.