What is the Cyber Resilience Act (CRA)?

The Cyber Resilience Act (Regulation 2024/2847) is the EU's regulation establishing cybersecurity requirements for products with digital elements. It covers hardware and software products placed on the EU market and requires manufacturers, importers, and distributors to ensure products are secure by design throughout their lifecycle.

When does the CRA apply?

The CRA entered into force on December 10, 2024. Reporting obligations for actively exploited vulnerabilities apply from September 11, 2026. The main obligations for manufacturers, importers, and distributors apply from December 11, 2027.

Who is affected by the CRA?

The CRA applies to manufacturers, importers, and distributors of products with digital elements placed on the EU market. This includes IoT devices, software applications, operating systems, network equipment, smart home devices, industrial control systems, firmware, and SaaS components. Open-source software stewards also have specific obligations.

How is the CRA different from NIS2?

NIS2 focuses on the cybersecurity of organisations (essential and important entities in 18 sectors), while the CRA focuses on the cybersecurity of products with digital elements. NIS2 requires organisations to implement security measures; the CRA requires product manufacturers to build security into their products. Both regulations complement each other as part of the EU's cybersecurity framework.

How does SiteGuardian help with CRA compliance?

SiteGuardian continuously monitors security properties required by the CRA: HTTPS/TLS enforcement, deprecated protocol detection, weak cipher identification, certificate expiry monitoring, security.txt (RFC 9116) for vulnerability disclosure, encryption in transit, and security header validation. It maps findings directly to CRA articles and Annex I requirements.

Rozporządzenie UE 2024/2847

Cyber Resilience Act.
Czy Twój produkt jest gotowy?

CRA wymaga, aby wszystkie produkty z elementami cyfrowymi na rynku UE spełniały wymagania cyberbezpieczeństwa — pod groźbą kar do 15 mln €. Czas ucieka.

---

Dni

Godziny

Minuty

Sekundy

do 11 grudnia 2027

Obowiązki raportowania obowiązują od 11 września 2026 r.

Przeskanuj swój produkt teraz Zobacz plany Compliance

Czy CRA dotyczy Ciebie?

CRA dotyczy producentów, importerów i dystrybutorów produktów z elementami cyfrowymi wprowadzanych na rynek UE. Jeśli Twój produkt zawiera oprogramowanie lub łączy się z siecią, prawdopodobnie jest objęty zakresem.

Urządzenia IoT

Domyślna / Krytyczna

Produkty oprogramowania

Domyślna / Krytyczna

Sprzęt sieciowy

Kritisch

Smart Home

Domyślna / Krytyczna

Przemysłowe systemy sterowania

Kritisch

Aplikacje mobilne

Standard

Usługi chmurowe

Domyślna / Krytyczna

Open source

Z obowiązkami

Koszt niezgodności

Wymagania zasadnicze

€15M

lub 2,5% globalnego rocznego obrotu

w zależności od tego, co jest wyższe

Pozostałe obowiązki

€10M

lub 2% globalnego rocznego obrotu

w zależności od tego, co jest wyższe

Informacje wprowadzające w błąd

€5M

lub 1% globalnego rocznego obrotu

w zależności od tego, co jest wyższe

Produkty niezgodne z wymogami mogą zostać wycofane z rynku UE przez organy nadzoru rynku.

Co wymaga CRA — i co monitoruje SiteGuardian

CRA definiuje zasadnicze wymagania cyberbezpieczeństwa dla produktów z elementami cyfrowymi. SiteGuardian na bieżąco monitoruje te techniczne.

Art. 6 / Annex I

Domyślnie bezpieczny

Überwacht

SiteGuardian monitoruje wymuszanie HTTPS, nagłówki HSTS, bezpieczne flagi cookies i wykrywa domyślne dane uwierzytelniające lub niebezpieczne konfiguracje wystawione na sieć. Produkty muszą być dostarczane z bezpiecznymi ustawieniami domyślnymi.

Art. 10(1)

Brak znanych podatności

Überwacht

SiteGuardian waliduje wersje TLS, wykrywa przestarzałe protokoły (SSLv3, TLS 1.0/1.1), identyfikuje słabe zestawy szyfrów i oznacza znane błędy konfiguracji bezpieczeństwa. Produkty muszą być dostarczane bez znanych podatności nadających się do wykorzystania.

Art. 10(6)

Aktualizacje bezpieczeństwa

Überwacht

SiteGuardian monitoruje daty wygaśnięcia certyfikatów SSL, śledzi zmiany poziomu bezpieczeństwa w czasie i ostrzega o regresjach konfiguracji. Producenci muszą dostarczać terminowe aktualizacje bezpieczeństwa przez okres wsparcia produktu.

Art. 10(9)

Software Bill of Materials (SBOM)

Producenci muszą zidentyfikować i udokumentować komponenty zawarte w swoich produktach, w tym Software Bill of Materials. Jest to środek organizacyjny wymagający wewnętrznych narzędzi i procesów.

Art. 10(10)

Skoordynowane ujawnianie podatności

Überwacht

SiteGuardian wykrywa pliki security.txt (RFC 9116), weryfikuje dostępność polityki ujawniania podatności i sprawdza poprawność danych kontaktowych. Producenci muszą ustanowić skoordynowaną politykę ujawniania podatności.

Art. 11

Obowiązki raportowania

Überwacht

Od września 2026 r. producenci muszą zgłaszać aktywnie wykorzystywane podatności do ENISA w ciągu 24 godzin. SiteGuardian zapewnia wykrywanie incydentów, klasyfikację i śledzenie terminów powiadomień w ramach zgodności regulacyjnej.

Art. 13

Ocena zgodności

Produkty muszą przejść ocenę zgodności przed wprowadzeniem na rynek UE. Produkty kategorii domyślnej mogą przeprowadzić samoocenę; produkty krytyczne wymagają audytów stron trzecich. Jest to środek organizacyjny.

Annex I.2

Właściwości bezpieczeństwa

Überwacht

SiteGuardian weryfikuje szyfrowanie w tranzycie (TLS 1.2+), waliduje mechanizmy kontroli dostępu, sprawdza integralność danych poprzez bezpieczne konfiguracje nagłówków i monitoruje nieautoryzowane ujawnienie danych. Produkty muszą chronić poufność, integralność i dostępność.

Zacznij przygotowania już dziś

Przeskanuj interfejs webowy swojego produktu, aby sprawdzić, gdzie się znajdujesz. SiteGuardian mapuje każdy wynik na artykuły CRA — abyś wiedział dokładnie, co naprawić.

Bezpłatny skan bezpieczeństwa Zobacz plany Compliance

Bezpłatny na zawsze dla 1 monitora. Karta kredytowa nie jest wymagana.

Najczęściej zadawane pytania

Czym jest Cyber Resilience Act (CRA)?

CRA (Rozporządzenie 2024/2847) to rozporządzenie UE ustanawiające horyzontalne wymagania cyberbezpieczeństwa dla produktów z elementami cyfrowymi. Obejmuje zarówno produkty sprzętowe, jak i oprogramowanie wprowadzane na rynek UE i wymaga od producentów zapewnienia, że produkty są bezpieczne od projektu przez cały cykl życia.

Kiedy CRA zaczyna obowiązywać?

CRA weszło w życie 10 grudnia 2024 r. Obowiązki raportowania aktywnie wykorzystywanych podatności i poważnych incydentów obowiązują od 11 września 2026 r. Główne obowiązki producentów, importerów i dystrybutorów — w tym ocena zgodności i oznakowanie CE — obowiązują od 11 grudnia 2027 r.

Kogo dotyczy CRA?

CRA dotyczy producentów, importerów i dystrybutorów produktów z elementami cyfrowymi wprowadzanych na rynek UE. Obejmuje to urządzenia IoT, aplikacje, systemy operacyjne, sprzęt sieciowy, urządzenia smart home, przemysłowe systemy sterowania, aplikacje mobilne i komponenty usług chmurowych. Opiekunowie oprogramowania open source mają specyficzne, ale lżejsze obowiązki.

Czym CRA różni się od NIS2?

NIS2 koncentruje się na cyberbezpieczeństwie organizacji — podmioty kluczowe i ważne w 18 sektorach muszą wdrożyć środki bezpieczeństwa. CRA koncentruje się na cyberbezpieczeństwie produktów — producenci muszą wbudować bezpieczeństwo w swoje produkty przed wprowadzeniem ich na rynek UE. Oba rozporządzenia są komplementarne: NIS2 zabezpiecza operatorów, CRA zabezpiecza produkty, których używają.

Jak SiteGuardian pomaga w zgodności z CRA?

SiteGuardian na bieżąco monitoruje właściwości bezpieczeństwa technicznego wymagane przez CRA: wymuszanie HTTPS/TLS, wykrywanie przestarzałych protokołów, identyfikację słabych szyfrów, monitorowanie wygaśnięcia certyfikatów, security.txt do ujawniania podatności, szyfrowanie w tranzycie i walidację nagłówków bezpieczeństwa. Wszystkie wyniki są mapowane na artykuły CRA i wymagania Załącznika I, dając jasny przegląd zgodności.

Cyber Resilience Act. Czy Twój produkt jest gotowy?

Czy CRA dotyczy Ciebie?

Koszt niezgodności

Co wymaga CRA — i co monitoruje SiteGuardian

Domyślnie bezpieczny

Brak znanych podatności

Aktualizacje bezpieczeństwa

Software Bill of Materials (SBOM)

Skoordynowane ujawnianie podatności

Obowiązki raportowania

Ocena zgodności

Właściwości bezpieczeństwa

Zacznij przygotowania już dziś

Najczęściej zadawane pytania

Czy na pewno?

Cyber Resilience Act.
Czy Twój produkt jest gotowy?