Multicert
Rozporządzenie (UE) 2024/2847 — raportowanie od 11.09.2026, pełne wymagania od 11.12.2027

Audyt zgodności CRA dla producentów i importerów produktów z elementami cyfrowymi

W skrócie

CRA (Rozporządzenie (UE) 2024/2847) obejmuje niemal każdy produkt z elementami cyfrowymi na rynku UE. Zgodność większości produktów deklaruje sam producent (samoocena, moduł A) — nie ma powszechnego obowiązku certyfikacji. Sprawdzamy produkt pod kątem wymagań zasadniczych (załącznik I), analizujemy luki w SBOM i obsłudze podatności, kompletujemy dokumentację techniczną i przygotowujemy projekt deklaracji zgodności UE — z niezależnym oświadczeniem weryfikacyjnym wg ISO/IEC 17029.

Do obowiązku raportowania podatności: — dni

Podstawa

Czym jest audyt zgodności CRA?

CRA (Rozporządzenie UE 2024/2847) wymaga, by każdy produkt z elementami cyfrowymi na rynku UE spełniał wymagania zasadnicze bezpieczeństwa i miał deklarację zgodności UE popartą dokumentacją techniczną. Za tę zgodność odpowiada — przed organami nadzoru rynku — producent lub importer. Brak dokumentacji to realne ryzyko: wstrzymanie sprzedaży i kary.

Trudność nie leży w samej deklaracji, lecz w jej udowodnieniu: trzeba wykazać bezpieczeństwo w fazie projektowania, udokumentowany proces obsługi podatności, wykaz komponentów (SBOM) i zgodność z wymaganiami załącznika I. Tę pracę wykonujemy za Państwa — dostarczamy raport oceny, dokumentację techniczną, projekt deklaracji zgodności UE i mapę wdrożenia do 2027 r., gotowe do obrony przy kontroli.

Podstawa prawna
Rozporządzenie (UE) 2024/2847 (CRA)
Raportowanie podatności od
11 września 2026
Pełne wymagania od
11 grudnia 2027
Ocena zgodności
samoocena producenta (moduł A) — ok. 90% produktów
Zakres oceny
wymagania zasadnicze — załącznik I
Forma
raport oceny + oświadczenie weryfikacyjne (ISO/IEC 17029) + projekt dokumentacji technicznej i deklaracji UE
Kiedy

Kiedy audyt zgodności CRA jest potrzebny.

Wszędzie tam, gdzie wprowadzają Państwo na rynek UE produkt z elementami cyfrowymi i odpowiadają za jego zgodność — jako producent, importer, marka własna lub dostawca oprogramowania.

  • 01

    Producent produktu z elementami cyfrowymi

    To producent odpowiada za zgodność produktu z wymaganiami zasadniczymi (załącznik I) i podpisuje deklarację zgodności UE. Ocena porządkuje dowody i przygotowuje dokumentację techniczną (załącznik VII).

  • 02

    Importer i marka własna

    Wprowadzając produkt spoza UE pod własną nazwą, przejmują Państwo obowiązki producenta. Deklaracja zagranicznego dostawcy nie zdejmuje odpowiedzialności za zgodność z CRA.

  • 03

    Wymóg odbiorcy lub zamawiającego

    Kontrahent B2B lub zamawiający w przetargu żąda dowodu zgodności produktu z CRA. Raport i oświadczenie weryfikacyjne odpowiadają na to zapytanie.

  • 04

    Dostawca oprogramowania i komponentów

    Biblioteki, firmware i moduły trafiające do cudzych produktów też podlegają CRA. Ocena ustala Państwa zakres obowiązków i wykaz komponentów (SBOM).

  • 05

    Obowiązek raportowania podatności

    Od 11 września 2026 producent ma obowiązek zgłaszać aktywnie wykorzystywane podatności i poważne incydenty (wczesne ostrzeżenie w 24 h, zgłoszenie w 72 h). Ocena sprawdza, czy proces jest gotowy.

  • 06

    Zbliżający się termin

    Pełne wymagania obowiązują od 11 grudnia 2027, a raportowanie już od 11 września 2026. Dokumentacja i procesy muszą być gotowe wcześniej — im później, tym mniej czasu na uzupełnienie luk.

Zakres oceny

Co oceniamy.

Każde wymaganie oceniamy odrębnie — ze wskazaniem punktu załącznika I CRA, odniesienia do normy (IEC 62443-4-1, ETSI EN 303 645), dostępnego dowodu i wniosku.

  • Obszar 1

    Wymagania produktowe (zał. I, cz. I)

    Bezpieczeństwo w fazie projektowania (secure by design), bezpieczna konfiguracja domyślna, brak znanych podatności przy wprowadzeniu. Punktem odniesienia są m.in. ETSI EN 303 645 (produkty konsumenckie) i IEC 62443-4-2.

  • Obszar 2

    Obsługa podatności (zał. I, cz. II)

    Polityka ujawniania, aktualizacje bezpieczeństwa przez okres wsparcia, kanał zgłoszeń i raportowanie (od 11.09.2026). Mapowane na IEC 62443-4-1.

  • Obszar 3

    Bezpieczny cykl rozwoju (SDLC)

    Udokumentowany proces bezpiecznego wytwarzania — analiza ryzyka, testy bezpieczeństwa, zarządzanie zmianą. Punkt odniesienia: IEC 62443-4-1 (Secure product development lifecycle).

  • Obszar 4

    SBOM — wykaz komponentów

    Software Bill of Materials: wykaz komponentów oprogramowania w produkcie. Wymagany w dokumentacji technicznej, a nieujęty wprost w IEC 62443-4-1 — częsta luka do uzupełnienia.

  • Obszar 5

    Klasyfikacja produktu i moduł oceny

    Ustalenie kategorii (domyślne / istotne klasy I–II / krytyczne) przesądza ścieżkę: samoocena (moduł A) czy jednostka notyfikowana (moduł B+C lub H), a dla produktów krytycznych — schemat EUCC.

  • Obszar 6

    Dokumentacja techniczna i deklaracja (zał. VII)

    Kompletowanie dokumentacji technicznej (opis, ocena ryzyka, zastosowane normy, testy, SBOM) oraz projekt deklaracji zgodności UE i podstawa do oznakowania CE.

Większość produktów podlega samoocenie (moduł A). Obowiązkowa ocena przez jednostkę notyfikowaną dotyczy produktów istotnych klasy II i krytycznych. Klasyfikacja produktu to pierwszy krok audytu — przesądza, czy w ogóle potrzebna jest strona trzecia, zanim poniosą Państwo koszty niepotrzebnej certyfikacji.

Zakres usługi

Zakres dostarczanego opracowania.

  • 01

    Potwierdzenie zgodności CRA

    Wynik audytu wymaganie po wymaganiu (załącznik I): dowód, źródło, kryterium, wniosek — oświadczenie weryfikacyjne wg ISO/IEC 17029, gotowe do przedłożenia odbiorcy i przy kontroli nadzoru rynku.

  • 02

    Analiza luk: SBOM i obsługa podatności

    Ocena procesu obsługi podatności i raportowania (24/72 h) oraz kompletności SBOM — dwa najczęstsze braki wobec CRA, z konkretnym planem uzupełnienia.

  • 03

    Klasyfikacja i rekomendacja modułu

    Przypisanie produktu do kategorii CRA i wskazanie właściwej ścieżki oceny zgodności — samoocena (moduł A) albo jednostka notyfikowana (B+C / H), z uzasadnieniem.

  • 04

    Dokumentacja techniczna i projekt deklaracji

    Uporządkowana dokumentacja techniczna (załącznik VII) oraz projekt deklaracji zgodności UE (rozp. 2024/2847) gotowy do podpisania — deklarację podpisuje wyłącznie producent lub importer.

  • 05

    Mapa wdrożenia do grudnia 2027

    Harmonogram działań pod terminy CRA (raportowanie 09.2026, pełne wymagania 12.2027), z priorytetami i kamieniami milowymi.

  • 06

    Runda korekt

    Jedna aktualizacja raportu po uwagach Zamawiającego lub odbiorcy końcowego, bez dodatkowej opłaty.

Co dostajesz

Twój dowód — do ręki.

Audyt kończy się namacalnym wynikiem: formalnym oświadczeniem weryfikacyjnym (ISO/IEC 17029) oraz dobrowolnym znakiem, którym wykażesz odbiorcom i w przetargach, że produkt przeszedł niezależną weryfikację wobec CRA.

Weryfikacja niezależna · ISO/IEC 17029
MULTICERT · VERIFIED V ISO/IEC 17029
CYBER RESILIENT
Produkty z elementami cyfrowymi
Bezpieczny projekt Obsługa podatności SBOM
Weryfikacja wg Rozporządzenia (UE) 2024/2847 (CRA)
Metodyka oceny: IEC 62443-4-1 · ETSI EN 303 645
Nr weryfikacji · rok
MC-CRA-2026-0001 · 2026
Znak „Cyber Resilient" — dobrowolne potwierdzenie niezależnej weryfikacji (ISO/IEC 17029) z numerem i wpisem w rejestrze. Do ofert i komunikacji B2B. Nie zastępuje deklaracji zgodności producenta i nie jest certyfikatem jednostki notyfikowanej.

Oświadczenie weryfikacyjne (ISO/IEC 17029)

Formalny dokument z wynikiem audytu wymaganie po wymaganiu (załącznik I): dowód, kryterium, wniosek — z podpisem i numerem. Do przedłożenia odbiorcy, w przetargu i przy kontroli nadzoru rynku.

  • Zakres oceny (zał. I) i klasyfikacja produktu
  • Analiza luk: SBOM i proces obsługi podatności
  • Dokumentacja techniczna (zał. VII) + projekt deklaracji zgodności UE
  • Wpis w rejestrze weryfikacji z kodem do sprawdzenia

CRA opiera zgodność większości produktów na samoocenie producenta — oświadczenie i znak to niezależny dowód wspierający Państwa deklarację, nie jej zamiennik.

Proces

Jak przebiega audyt.

  1. 01

    Zapytanie i wycena

    1 dzień roboczy

    Opisują Państwo produkt: funkcje cyfrowe, łączność, komponenty, rynki, posiadaną dokumentację. W odpowiedzi przekazujemy zakres i wycenę.

  2. 02

    Umowa

    1 dzień

    Stała cena ustalona przed podpisaniem, bez ukrytych pozycji.

  3. 03

    Analiza i klasyfikacja

    w toku

    Klasyfikacja produktu, przegląd procesów i dokumentacji pod kątem wymagań zasadniczych (zał. I) — z powołaniem na kryterium i źródło.

  4. 04

    Raport

    wg zakresu

    Przekazanie raportu oceny, analizy luk (SBOM, podatności), dokumentacji technicznej i projektu deklaracji zgodności UE.

  5. 05

    Korekta

    po uwagach

    Jedna runda aktualizacji po uwagach Zamawiającego lub odbiorcy.

Cena

Wycena po zakresie — kwalifikacja bezpłatna.

Cena zależy od złożoności produktu, liczby komponentów i stanu posiadanej dokumentacji. Wstępna kwalifikacja jest bezpłatna — po krótkim opisie produktu przekazujemy zakres i stałą wycenę przed podpisaniem umowy.

FAQ

Najczęstsze pytania.

Czy to certyfikat CRA?
Dla większości produktów — nie. CRA opiera zgodność produktów domyślnych (ok. 90%) na samoocenie producenta (moduł A, wewnętrzna kontrola produkcji). Dostarczamy niezależną weryfikację (ISO/IEC 17029) i dokumentację wspierającą Państwa deklarację, ale to Państwo pozostają podmiotem deklarującym zgodność. Certyfikacja przez jednostkę notyfikowaną jest wymagana tylko dla produktów istotnych klasy II oraz krytycznych.
Od kiedy CRA obowiązuje?
Rozporządzenie weszło w życie 10 grudnia 2024. Obowiązek raportowania aktywnie wykorzystywanych podatności i poważnych incydentów stosuje się od 11 września 2026, a pełne wymagania (w tym oznakowanie CE i deklaracja zgodności) — od 11 grudnia 2027.
Jak firma potwierdza wdrożenie wymagań?
Producent klasyfikuje produkt, przeprowadza ocenę zgodności właściwym modułem (dla większości: samoocena — moduł A), sporządza dokumentację techniczną (załącznik VII, w tym ocenę ryzyka i SBOM), wystawia deklarację zgodności UE i nakłada oznakowanie CE. Nasza usługa dostarcza niezależny dowód wspierający ten proces oraz gotowe projekty dokumentacji i deklaracji.
Kto podpisuje deklarację zgodności?
Wyłącznie producent lub importer wprowadzający produkt na rynek. Podmiot trzeci nie może jej podpisać — przygotowujemy projekt deklaracji do Państwa podpisu wraz z dokumentacją, która ją uzasadnia.
Co z produktami istotnymi i krytycznymi?
Produkty istotne klasy I mogą skorzystać z samooceny, jeśli w pełni zastosowano normy zharmonizowane; w przeciwnym razie wymagana jest jednostka notyfikowana (moduł B+C lub H). Produkty istotne klasy II wymagają jednostki notyfikowanej zawsze, a produkty krytyczne — dodatkowo mogą podlegać obowiązkowemu schematowi EUCC. W ramach audytu wskazujemy właściwą ścieżkę; dla produktów wymagających notyfikacji kierujemy do właściwej jednostki.
Czym jest SBOM i czy muszę go mieć?
SBOM (Software Bill of Materials) to wykaz komponentów oprogramowania w produkcie. CRA wymaga jego ujęcia w dokumentacji technicznej. Norma IEC 62443-4-1 nie nakłada go wprost, dlatego bywa to luka nawet u dojrzałych producentów — ocena wskazuje, czy i jak ją uzupełnić.
Czy certyfikat ISO/IEC 27001 wystarcza do CRA?
Nie wprost. ISO/IEC 27001 to system zarządzania bezpieczeństwem informacji na poziomie organizacji, a CRA dotyczy bezpieczeństwa konkretnego produktu i jego cyklu życia — to odrębne rzeczy. System wg 27001 stanowi jednak udokumentowaną ramę procesów (nadzór, zapisy, zarządzanie podatnościami), na której łatwiej zbudować zgodność produktową z CRA. ISO/IEC 27001 certyfikujemy we współpracy z partnerską jednostką LL-C (akredytacja ČIA) — jeśli go Państwo nie mają, jest naturalnym uzupełnieniem, które nie zastępuje oceny CRA.
Ile kosztuje audyt zgodności CRA?
Cena zależy od złożoności produktu, liczby komponentów i stanu posiadanej dokumentacji. Wstępna kwalifikacja jest bezpłatna — po opisie produktu przekazujemy zakres i stałą wycenę przed podpisaniem umowy.
Zadzwoń Bezpłatna wycena