Audyt zgodności CRA dla producentów i importerów produktów z elementami cyfrowymi
CRA (Rozporządzenie (UE) 2024/2847) obejmuje niemal każdy produkt z elementami cyfrowymi na rynku UE. Zgodność większości produktów deklaruje sam producent (samoocena, moduł A) — nie ma powszechnego obowiązku certyfikacji. Sprawdzamy produkt pod kątem wymagań zasadniczych (załącznik I), analizujemy luki w SBOM i obsłudze podatności, kompletujemy dokumentację techniczną i przygotowujemy projekt deklaracji zgodności UE — z niezależnym oświadczeniem weryfikacyjnym wg ISO/IEC 17029.
Do obowiązku raportowania podatności: — dni
Czym jest audyt zgodności CRA?
CRA (Rozporządzenie UE 2024/2847) wymaga, by każdy produkt z elementami cyfrowymi na rynku UE spełniał wymagania zasadnicze bezpieczeństwa i miał deklarację zgodności UE popartą dokumentacją techniczną. Za tę zgodność odpowiada — przed organami nadzoru rynku — producent lub importer. Brak dokumentacji to realne ryzyko: wstrzymanie sprzedaży i kary.
Trudność nie leży w samej deklaracji, lecz w jej udowodnieniu: trzeba wykazać bezpieczeństwo w fazie projektowania, udokumentowany proces obsługi podatności, wykaz komponentów (SBOM) i zgodność z wymaganiami załącznika I. Tę pracę wykonujemy za Państwa — dostarczamy raport oceny, dokumentację techniczną, projekt deklaracji zgodności UE i mapę wdrożenia do 2027 r., gotowe do obrony przy kontroli.
- Podstawa prawna
- Rozporządzenie (UE) 2024/2847 (CRA)
- Raportowanie podatności od
- 11 września 2026
- Pełne wymagania od
- 11 grudnia 2027
- Ocena zgodności
- samoocena producenta (moduł A) — ok. 90% produktów
- Zakres oceny
- wymagania zasadnicze — załącznik I
- Forma
- raport oceny + oświadczenie weryfikacyjne (ISO/IEC 17029) + projekt dokumentacji technicznej i deklaracji UE
Kiedy audyt zgodności CRA jest potrzebny.
Wszędzie tam, gdzie wprowadzają Państwo na rynek UE produkt z elementami cyfrowymi i odpowiadają za jego zgodność — jako producent, importer, marka własna lub dostawca oprogramowania.
- 01
Producent produktu z elementami cyfrowymi
To producent odpowiada za zgodność produktu z wymaganiami zasadniczymi (załącznik I) i podpisuje deklarację zgodności UE. Ocena porządkuje dowody i przygotowuje dokumentację techniczną (załącznik VII).
- 02
Importer i marka własna
Wprowadzając produkt spoza UE pod własną nazwą, przejmują Państwo obowiązki producenta. Deklaracja zagranicznego dostawcy nie zdejmuje odpowiedzialności za zgodność z CRA.
- 03
Wymóg odbiorcy lub zamawiającego
Kontrahent B2B lub zamawiający w przetargu żąda dowodu zgodności produktu z CRA. Raport i oświadczenie weryfikacyjne odpowiadają na to zapytanie.
- 04
Dostawca oprogramowania i komponentów
Biblioteki, firmware i moduły trafiające do cudzych produktów też podlegają CRA. Ocena ustala Państwa zakres obowiązków i wykaz komponentów (SBOM).
- 05
Obowiązek raportowania podatności
Od 11 września 2026 producent ma obowiązek zgłaszać aktywnie wykorzystywane podatności i poważne incydenty (wczesne ostrzeżenie w 24 h, zgłoszenie w 72 h). Ocena sprawdza, czy proces jest gotowy.
- 06
Zbliżający się termin
Pełne wymagania obowiązują od 11 grudnia 2027, a raportowanie już od 11 września 2026. Dokumentacja i procesy muszą być gotowe wcześniej — im później, tym mniej czasu na uzupełnienie luk.
Co oceniamy.
Każde wymaganie oceniamy odrębnie — ze wskazaniem punktu załącznika I CRA, odniesienia do normy (IEC 62443-4-1, ETSI EN 303 645), dostępnego dowodu i wniosku.
- Obszar 1
Wymagania produktowe (zał. I, cz. I)
Bezpieczeństwo w fazie projektowania (secure by design), bezpieczna konfiguracja domyślna, brak znanych podatności przy wprowadzeniu. Punktem odniesienia są m.in. ETSI EN 303 645 (produkty konsumenckie) i IEC 62443-4-2.
- Obszar 2
Obsługa podatności (zał. I, cz. II)
Polityka ujawniania, aktualizacje bezpieczeństwa przez okres wsparcia, kanał zgłoszeń i raportowanie (od 11.09.2026). Mapowane na IEC 62443-4-1.
- Obszar 3
Bezpieczny cykl rozwoju (SDLC)
Udokumentowany proces bezpiecznego wytwarzania — analiza ryzyka, testy bezpieczeństwa, zarządzanie zmianą. Punkt odniesienia: IEC 62443-4-1 (Secure product development lifecycle).
- Obszar 4
SBOM — wykaz komponentów
Software Bill of Materials: wykaz komponentów oprogramowania w produkcie. Wymagany w dokumentacji technicznej, a nieujęty wprost w IEC 62443-4-1 — częsta luka do uzupełnienia.
- Obszar 5
Klasyfikacja produktu i moduł oceny
Ustalenie kategorii (domyślne / istotne klasy I–II / krytyczne) przesądza ścieżkę: samoocena (moduł A) czy jednostka notyfikowana (moduł B+C lub H), a dla produktów krytycznych — schemat EUCC.
- Obszar 6
Dokumentacja techniczna i deklaracja (zał. VII)
Kompletowanie dokumentacji technicznej (opis, ocena ryzyka, zastosowane normy, testy, SBOM) oraz projekt deklaracji zgodności UE i podstawa do oznakowania CE.
Większość produktów podlega samoocenie (moduł A). Obowiązkowa ocena przez jednostkę notyfikowaną dotyczy produktów istotnych klasy II i krytycznych. Klasyfikacja produktu to pierwszy krok audytu — przesądza, czy w ogóle potrzebna jest strona trzecia, zanim poniosą Państwo koszty niepotrzebnej certyfikacji.
Zakres dostarczanego opracowania.
- 01
Potwierdzenie zgodności CRA
Wynik audytu wymaganie po wymaganiu (załącznik I): dowód, źródło, kryterium, wniosek — oświadczenie weryfikacyjne wg ISO/IEC 17029, gotowe do przedłożenia odbiorcy i przy kontroli nadzoru rynku.
- 02
Analiza luk: SBOM i obsługa podatności
Ocena procesu obsługi podatności i raportowania (24/72 h) oraz kompletności SBOM — dwa najczęstsze braki wobec CRA, z konkretnym planem uzupełnienia.
- 03
Klasyfikacja i rekomendacja modułu
Przypisanie produktu do kategorii CRA i wskazanie właściwej ścieżki oceny zgodności — samoocena (moduł A) albo jednostka notyfikowana (B+C / H), z uzasadnieniem.
- 04
Dokumentacja techniczna i projekt deklaracji
Uporządkowana dokumentacja techniczna (załącznik VII) oraz projekt deklaracji zgodności UE (rozp. 2024/2847) gotowy do podpisania — deklarację podpisuje wyłącznie producent lub importer.
- 05
Mapa wdrożenia do grudnia 2027
Harmonogram działań pod terminy CRA (raportowanie 09.2026, pełne wymagania 12.2027), z priorytetami i kamieniami milowymi.
- 06
Runda korekt
Jedna aktualizacja raportu po uwagach Zamawiającego lub odbiorcy końcowego, bez dodatkowej opłaty.
Twój dowód — do ręki.
Audyt kończy się namacalnym wynikiem: formalnym oświadczeniem weryfikacyjnym (ISO/IEC 17029) oraz dobrowolnym znakiem, którym wykażesz odbiorcom i w przetargach, że produkt przeszedł niezależną weryfikację wobec CRA.
MC-CRA-2026-0001 · 2026
Oświadczenie weryfikacyjne (ISO/IEC 17029)
Formalny dokument z wynikiem audytu wymaganie po wymaganiu (załącznik I): dowód, kryterium, wniosek — z podpisem i numerem. Do przedłożenia odbiorcy, w przetargu i przy kontroli nadzoru rynku.
- ✓ Zakres oceny (zał. I) i klasyfikacja produktu
- ✓ Analiza luk: SBOM i proces obsługi podatności
- ✓ Dokumentacja techniczna (zał. VII) + projekt deklaracji zgodności UE
- ✓ Wpis w rejestrze weryfikacji z kodem do sprawdzenia
CRA opiera zgodność większości produktów na samoocenie producenta — oświadczenie i znak to niezależny dowód wspierający Państwa deklarację, nie jej zamiennik.
Jak przebiega audyt.
- 01
Zapytanie i wycena
1 dzień roboczyOpisują Państwo produkt: funkcje cyfrowe, łączność, komponenty, rynki, posiadaną dokumentację. W odpowiedzi przekazujemy zakres i wycenę.
- 02
Umowa
1 dzieńStała cena ustalona przed podpisaniem, bez ukrytych pozycji.
- 03
Analiza i klasyfikacja
w tokuKlasyfikacja produktu, przegląd procesów i dokumentacji pod kątem wymagań zasadniczych (zał. I) — z powołaniem na kryterium i źródło.
- 04
Raport
wg zakresuPrzekazanie raportu oceny, analizy luk (SBOM, podatności), dokumentacji technicznej i projektu deklaracji zgodności UE.
- 05
Korekta
po uwagachJedna runda aktualizacji po uwagach Zamawiającego lub odbiorcy.
Wycena po zakresie — kwalifikacja bezpłatna.
Cena zależy od złożoności produktu, liczby komponentów i stanu posiadanej dokumentacji. Wstępna kwalifikacja jest bezpłatna — po krótkim opisie produktu przekazujemy zakres i stałą wycenę przed podpisaniem umowy.
Najczęstsze pytania.
- Czy to certyfikat CRA?
- Dla większości produktów — nie. CRA opiera zgodność produktów domyślnych (ok. 90%) na samoocenie producenta (moduł A, wewnętrzna kontrola produkcji). Dostarczamy niezależną weryfikację (ISO/IEC 17029) i dokumentację wspierającą Państwa deklarację, ale to Państwo pozostają podmiotem deklarującym zgodność. Certyfikacja przez jednostkę notyfikowaną jest wymagana tylko dla produktów istotnych klasy II oraz krytycznych.
- Od kiedy CRA obowiązuje?
- Rozporządzenie weszło w życie 10 grudnia 2024. Obowiązek raportowania aktywnie wykorzystywanych podatności i poważnych incydentów stosuje się od 11 września 2026, a pełne wymagania (w tym oznakowanie CE i deklaracja zgodności) — od 11 grudnia 2027.
- Jak firma potwierdza wdrożenie wymagań?
- Producent klasyfikuje produkt, przeprowadza ocenę zgodności właściwym modułem (dla większości: samoocena — moduł A), sporządza dokumentację techniczną (załącznik VII, w tym ocenę ryzyka i SBOM), wystawia deklarację zgodności UE i nakłada oznakowanie CE. Nasza usługa dostarcza niezależny dowód wspierający ten proces oraz gotowe projekty dokumentacji i deklaracji.
- Kto podpisuje deklarację zgodności?
- Wyłącznie producent lub importer wprowadzający produkt na rynek. Podmiot trzeci nie może jej podpisać — przygotowujemy projekt deklaracji do Państwa podpisu wraz z dokumentacją, która ją uzasadnia.
- Co z produktami istotnymi i krytycznymi?
- Produkty istotne klasy I mogą skorzystać z samooceny, jeśli w pełni zastosowano normy zharmonizowane; w przeciwnym razie wymagana jest jednostka notyfikowana (moduł B+C lub H). Produkty istotne klasy II wymagają jednostki notyfikowanej zawsze, a produkty krytyczne — dodatkowo mogą podlegać obowiązkowemu schematowi EUCC. W ramach audytu wskazujemy właściwą ścieżkę; dla produktów wymagających notyfikacji kierujemy do właściwej jednostki.
- Czym jest SBOM i czy muszę go mieć?
- SBOM (Software Bill of Materials) to wykaz komponentów oprogramowania w produkcie. CRA wymaga jego ujęcia w dokumentacji technicznej. Norma IEC 62443-4-1 nie nakłada go wprost, dlatego bywa to luka nawet u dojrzałych producentów — ocena wskazuje, czy i jak ją uzupełnić.
- Czy certyfikat ISO/IEC 27001 wystarcza do CRA?
- Nie wprost. ISO/IEC 27001 to system zarządzania bezpieczeństwem informacji na poziomie organizacji, a CRA dotyczy bezpieczeństwa konkretnego produktu i jego cyklu życia — to odrębne rzeczy. System wg 27001 stanowi jednak udokumentowaną ramę procesów (nadzór, zapisy, zarządzanie podatnościami), na której łatwiej zbudować zgodność produktową z CRA. ISO/IEC 27001 certyfikujemy we współpracy z partnerską jednostką LL-C (akredytacja ČIA) — jeśli go Państwo nie mają, jest naturalnym uzupełnieniem, które nie zastępuje oceny CRA.
- Ile kosztuje audyt zgodności CRA?
- Cena zależy od złożoności produktu, liczby komponentów i stanu posiadanej dokumentacji. Wstępna kwalifikacja jest bezpłatna — po opisie produktu przekazujemy zakres i stałą wycenę przed podpisaniem umowy.
Inne obszary certyfikacji i zgodności