Cyber Resilience Act — pod kontrolą.
Jeśli wprowadzasz na rynek UE produkt z elementami cyfrowymi, CRA dotyczy także Ciebie. Reglyze ocenia Twoją zgodność prostym językiem i generuje dokumentację techniczną (Załącznik VII) oraz deklarację zgodności UE — większość produktów certyfikuje się samodzielnie w module A.
Zobacz to w działaniu — od produktu po podpisaną deklarację
Dwuminutowy przegląd: określ zakres produktu, przeprowadź samoocenę prostym językiem i wygeneruj dokumentację techniczną (Załącznik VII) oraz deklarację zgodności UE.
Od „czy mnie to dotyczy?” po podpisaną deklarację
1 · Zakres i klasyfikacja
Cztery pytania powiedzą Ci, czy CRA ma zastosowanie, jaka jest Twoja klasa (Załącznik III/IV) i jaka ścieżka zgodności. Bezpłatnie, bez konta.
2 · Samoocena
Odpowiedz na ~20 prostych pytań o swój produkt. Asystent proponuje poziom dojrzałości 0–3 dla każdego wymagania zasadniczego (Załącznik I), w oparciu o IEC 62443.
3 · Wygeneruj dokumentację
Dokumentacja techniczna (Załącznik VII) i deklaracja zgodności UE — złożone na podstawie Twoich odpowiedzi, z obsługą SBOM, w Twoim języku.
Co otrzymujesz
- Dokumentacja techniczna (Załącznik VII)
- Deklaracja zgodności UE (udostępniana po spełnieniu wszystkich wymagań)
- Raport rozbieżności (Załącznik I) z otwartymi punktami do zamknięcia
- Import SBOM (CycloneDX / SPDX) ujęty w dokumentacji technicznej
Podstawa: IEC 62443-4-1 (bezpieczne wytwarzanie) oraz 62443-4-2 (wymagania dla komponentów). Tekst CRA to jawne prawo UE; odniesienia do IEC są parafrazowane, nigdy nie odtwarzane dosłownie.
Cyber Resilience Act — najczęściej zadawane pytania
Czy unijny Cyber Resilience Act (CRA) ma zastosowanie do mojego produktu?
CRA obejmuje każdy produkt z elementami cyfrowymi — sprzęt wyposażony w oprogramowanie lub oprogramowanie układowe oraz samodzielne oprogramowanie — udostępniany na rynku UE. Jeśli wprowadzasz na rynek unijny urządzenie podłączone do sieci, produkt IoT lub instalowalne oprogramowanie, jesteś objęty jego zakresem. Bezpłatny test zakresu Reglyze potwierdza to w czterech pytaniach.
Od kiedy obowiązuje Cyber Resilience Act?
Liczą się dwie daty: obowiązki zgłaszania podatności i incydentów obowiązują od 11 wrz 2026, a pełna zgodność wraz z oznakowaniem CE jest wymagana od 11 gru 2027. CRA to Rozporządzenie (UE) 2024/2847.
Czym jest samoocena w module A na podstawie CRA?
Moduł A to ścieżka oceny zgodności, w której producent samodzielnie ocenia produkt pod kątem wymagań zasadniczych i sam wystawia deklarację zgodności UE, bez udziału jednostki notyfikowanej. Około 90% produktów — kategoria „domyślna” — kwalifikuje się do modułu A.
Czy potrzebuję jednostki notyfikowanej na potrzeby CRA?
Tylko w przypadku „ważnych” produktów klasy II oraz produktów „krytycznych” (Załącznik III klasa II i Załącznik IV do CRA). Produkty domyślne i większość „ważnych” produktów klasy I mogą zostać samodzielnie certyfikowane w module A, zwłaszcza gdy stosuje się normy zharmonizowane.
Czym jest dokumentacja techniczna z Załącznika VII?
Załącznik VII wymienia dokumentację techniczną, którą producent musi sporządzić i udostępniać organom nadzoru rynku: opis produktu, ocenę ryzyka, dowody spełnienia wymagań zasadniczych oraz wykaz komponentów oprogramowania (SBOM). Reglyze kompletuje ją na podstawie Twojej samooceny.
Czym jest deklaracja zgodności UE w kontekście CRA?
To podpisane oświadczenie, że Twój produkt spełnia zasadnicze wymagania CRA w zakresie cyberbezpieczeństwa. Jest obowiązkowa przed oznakowaniem CE i wprowadzeniem produktu do obrotu. Reglyze wystawia ją, gdy spełnione zostanie każde wymaganie zasadnicze.
Które produkty są „ważne” lub „krytyczne” na podstawie CRA?
Załącznik III do CRA wymienia produkty „ważne” (klasy I i II), takie jak menedżery haseł, sieci VPN, zapory sieciowe i systemy operacyjne; Załącznik IV wymienia produkty „krytyczne”, takie jak bramy inteligentnych liczników i elementy bezpieczne. Wszystko, czego nie wymieniono, należy do kategorii „domyślnej” i podlega samocertyfikacji w module A.
Jakie są kary za niezgodność z CRA?
Naruszenia zasadniczych wymagań w zakresie cyberbezpieczeństwa oraz podstawowych obowiązków producenta mogą być zagrożone karą do 15 mln € lub 2,5% całkowitego rocznego światowego obrotu, w zależności od tego, która kwota jest wyższa, a także możliwymi nakazami wycofania z rynku. Niższe progi mają zastosowanie do innych naruszeń.
Czym CRA różni się od NIS2?
NIS2 reguluje cyberbezpieczeństwo organizacji (podmiotów kluczowych i ważnych); CRA reguluje cyberbezpieczeństwo produktów z elementami cyfrowymi wprowadzanych na rynek UE. Producent może podlegać obu — NIS2 w zakresie tego, jak działa, a CRA w zakresie tego, co dostarcza.
Czy CRA obejmuje oprogramowanie i open source?
Tak. Samodzielne oprogramowanie jest produktem z elementami cyfrowymi. Oprogramowanie open source dostarczane w ramach działalności komercyjnej jest objęte zakresem, z łagodniejszymi obowiązkami dla niekomercyjnych opiekunów open source. Samodzielny hostowany SaaS jest zasadniczo poza zakresem CRA, chyba że jest to rozwiązanie do zdalnego przetwarzania danych stanowiące integralną część produktu.