Embedded · Regulacje UE
Po czerwcowych zmianach w unijnych przepisach po firmach produkujących elektronikę krąży plotka, że „cyberrozporządzenie poczeka”. Nie poczeka — a pierwszy twardy termin Cyber Resilience Act wypada za niecałe osiem tygodni i obejmie także urządzenia, które sprzedaliście lata temu. Niżej: skąd wzięła się plotka warta do 15 mln euro kary, co dokładnie startuje we wrześniu — a na końcu lista ośmiu kroków, z których przed wrześniem musicie domknąć tylko trzy. Jeden z tych trzech pomija prawie każdy producent.
Ostatnia aktualizacja:
01 / Scenariusz · Bliska przyszłość
Dzwoni klient. Ktoś opublikował w sieci gotowy exploit na sterownik, który sprzedaliście mu w 2023 roku — i według CERT-u podatność jest od kilku dni aktywnie wykorzystywana. Produkt jest w okresie wsparcia, więc od czterech dni biegnie Wam ustawowy zegar: 24 godziny na wstępne zgłoszenie do ENISA. Tylko że nikt w firmie nie wie, że taki obowiązek w ogóle istnieje — bo na naradzie w lipcu ktoś rzucił, że „te unijne cyberprzepisy przecież przesunęli”.
Jeśli w Waszej firmie ktokolwiek powiedział ostatnio zdanie podobne do tego z narady — ta strona jest dokładnie dla Was. Bo coś faktycznie przesunięto. Tylko nie to, co myślicie.
02 / Fakty · Skąd zamieszanie
Źródło plotki jest łatwe do wskazania. 7 maja 2026 Rada i Parlament uzgodniły tzw. Digital Omnibus dla AI Act: obowiązki dla systemów wysokiego ryzyka, które miały wejść 2 sierpnia 2026, rozdzielono i przesunięto — część na grudzień 2027, część na sierpień 2028. Zmiana przeszła przez Parlament (16.06) i Radę (29.06) i już obowiązuje. Jeśli ktoś w firmie usłyszał „unijne przepisy o cyfrowych produktach przesunięte — część teraz, część za rok”, to niemal na pewno chodziło o AI Act. Terminy CRA Komisja potwierdziła bez zmian (aktualizacja oficjalnej strony: 22 czerwca 2026).
Jedyna rzecz, która przy CRA wisi w legislacji, to propozycja z Digital Omnibus „cyfrowego” (listopad 2025): Single Entry Point — jedno okienko raportowania incydentów wspólne dla NIS2/RODO/DORA/CRA. To uproszczenie sposobu zgłaszania, nie przesunięcie terminów — i wciąż jest tylko propozycją.
03 / Harmonogram · Trzy fazy z art. 71
„Część teraz, część później” w CRA to nie żadna nowość z 2026 roku — fazowanie jest zapisane w rozporządzeniu od dnia publikacji. Problem w tym, że większość firm zapamiętała tylko ostatnią datę (grudzień 2027) i planuje zgodność „na spokojnie”. Pierwszy twardy obowiązek wchodzi już we wrześniu 2026.
04 / Wrzesień 2026 · Pierwszy twardy termin
Artykuł 14 CRA: gdy dowiadujesz się, że podatność w Twoim produkcie jest aktywnie wykorzystywana — albo masz poważny incydent wpływający na jego bezpieczeństwo — zgłaszasz to do ENISA i krajowego CSIRT przez wspólną platformę raportowania. I najważniejsze: obowiązek obejmuje wszystkie produkty z elementami cyfrowymi będące w okresie wsparcia — nie tylko te wprowadzane na rynek po tej dacie. Sterownik sprzedany w 2023, który wciąż wspieracie, też się liczy.
Wstępne ostrzeżenie do ENISA/CSIRT od momentu, gdy dowiedzieliście się o exploitowanej podatności lub poważnym incydencie.
Charakterystyka podatności/incydentu, dotknięte produkty, dostępne środki zaradcze i obejścia.
14 dni po udostępnieniu poprawki (podatność) lub miesiąc po zgłoszeniu (incydent): opis, przyczyny, podjęte działania.
Za niedopełnienie obowiązków raportowania grożą kary do 15 mln EUR lub 2,5% światowego obrotu (wyższa z kwot). Platforma raportowania ENISA (Single Reporting Platform) ma być operacyjna na 11 września; w czerwcu ENISA prowadziła rejestracje i testy z producentami.
05 / Zakres · Kogo to dotyczy
CRA obejmuje praktycznie każdy produkt „z elementami cyfrowymi” sprzedawany w UE — od sterownika przemysłowego po tablicę informacji pasażerskiej. Wyłączenia sektorowe dotyczą m.in. wyrobów medycznych, lotnictwa i motoryzacji (mają własne reżimy) — elektroniki kolejowej i przemysłowej na tej liście nie ma. Od klasy produktu zależy, czy wystarczy samoocena, czy potrzebna jest jednostka notyfikowana.
| Klasa | Przykłady | Ścieżka zgodności |
|---|---|---|
| Default (~90% rynku) | sterowniki, wyświetlacze, urządzenia IoT, elektronika pokładowa i przystankowa bez funkcji stricte „security” | samoocena producenta (moduł A) |
| Important — klasa I | routery, smart home z funkcją bezpieczeństwa, menedżery haseł | norma zharmonizowana albo jednostka notyfikowana |
| Important — klasa II | firewalle, hypervisory, mikrokontrolery odporne na manipulacje | zawsze ocena strony trzeciej |
| Critical (Annex IV) | karty inteligentne, HSM, inteligentne liczniki | docelowo certyfikacja europejska |
Ważny niuans na dziś: przepisy o jednostkach notyfikowanych obowiązują od 11 czerwca 2026, ale w unijnej bazie NANDO wciąż praktycznie nie ma jednostek notyfikowanych dla CRA — Komisja celuje w „wystarczającą liczbę” do grudnia 2026. Dla klasy default to bez znaczenia (samoocena), ale jeśli macie produkt z klasy important, kolejka do audytów będzie długa — tym bardziej nie warto czekać.
06 / Plan · Od czego zacząć
Obiecana lista. Do 11 września wystarczy dowieźć punkty 1–3 — reszta to przygotowanie do grudnia 2027, rozłożone na spokojne kwartały zamiast paniki w ostatnim roku, gdy audytorzy i jednostki notyfikowane będą oblegani.
Większość z tych punktów to nie „projekt compliance”, tylko dobra inżynieria firmware'u, którą i tak warto mieć: SBOM, podpisane aktualizacje, monitoring podatności. CRA jedynie wyznacza datę, od której jej brak zaczyna kosztować.
Pomagamy zespołom embedded domknąć te punkty w praktyce — od automatycznego SBOM w pipeline, przez podpisywane OTA, po procedury raportowania. Zaczynamy od bezpłatnej, godzinnej diagnozy: co już macie, czego brakuje na wrzesień, co można odłożyć na 2027.
07 / Źródła · Stan prawny
Pewne (obowiązujące prawo): harmonogram CRA — 11.06.2026 (jednostki notyfikowane), 11.09.2026 (raportowanie), 11.12.2027 (pełne stosowanie) — potwierdzony przez Komisję Europejską (strona zaktualizowana 22.06.2026, daty bez zmian). Przesunięcie AI Act (high-risk → 2.12.2027 i 2.08.2028) — przyjęte przez Parlament 16.06.2026 i Radę 29.06.2026.
Propozycje (mogą się zmienić): Single Entry Point dla raportowania incydentów (Digital Omnibus, w toku w PE i Radzie), rewizja Cybersecurity Act, normy zharmonizowane CRA (prace CEN/CENELEC trwają).
08 / Czytaj dalej
Agenci AI w zespołach firmware — m.in. automatyczny SBOM i testy bezpieczeństwa w pipeline.
Druga regulacja z tej historii — co faktycznie przesunięto i kogo dotyczy transparentność od 2.08.2026.
Nasz raport z pomiarów na prawdziwym STM32 — open source kontra komercyjny toolchain.
Wdrożenie u Was
Godzina rozmowy: przechodzimy po Waszym portfolio produktów, klasyfikujemy je pod CRA i wskazujemy, co musi być gotowe na 11 września 2026, a co może poczekać do grudnia 2027. Bez zobowiązań.