Cyber Resilience Act (CRA) wchodzi w decydującą fazę wdrażania. 11 września 2026 roku rusza obowiązek zgłaszania aktywnie wykorzystywanych podatności i poważnych incydentów bezpieczeństwa. To pierwszy duży test dla producentów oprogramowania i urządzeń, którzy muszą zmienić podejście do bezpieczeństwa produktów cyfrowych.
Uczestnicy debaty podczas CYBERSEC EXPO & FORUM 2026 w Katowicach podkreślali, że nowe przepisy oznaczają nie tylko dodatkowe obowiązki, ale także fundamentalną zmianę w projektowaniu i rozwijaniu cyfrowych rozwiązań. Bezpieczeństwo przestaje być opcją – staje się wymogiem prawnym i elementem przewagi konkurencyjnej.
Bezpieczeństwo od początku, czyli security by design
Nowe regulacje obejmują cały cykl życia produktu – od fazy projektowania, przez aktualizacje, aż po wsparcie techniczne. Producent będzie musiał jasno określić, jak długo utrzymuje produkt i świadczy usługi z nim związane. – Bezpieczeństwo nie jest już wyłącznie zadaniem działów IT. Firmy muszą przyjąć zasadę security by design i security by default, a więc projektować rozwiązania bezpieczne od samego początku – powiedział Andrzej Dulka, prezes Polskiej Izby Informatyki i Telekomunikacji.
Eksperci zwracali uwagę, że CRA wypełnia istotną lukę regulacyjną. Dotychczas obowiązki w zakresie cyberbezpieczeństwa spoczywały głównie na użytkownikach i operatorach systemów. Producenci sprzętu i oprogramowania często nie ponosili porównywalnej odpowiedzialności za bezpieczeństwo swoich produktów. Nowe przepisy nakładają na nich obowiązek kontroli całego łańcucha dostaw oraz dokumentowania procesów.
Raportowanie podatności i wyzwania certyfikacji
Wiele miejsca poświęcono wpływowi CRA na rynek dostawców technologii. – Nowe przepisy nieuchronnie wpłyną na łańcuchy dostaw, ponieważ każdy element produktu cyfrowego będzie musiał spełniać określone wymogi bezpieczeństwa – oceniała Aleksandra Wójtowicz, analityczka ds. nowych technologii i cyfryzacji Polskiego Instytutu Spraw Międzynarodowych.
Krzysztof Silicki, dyrektor ds. Strategicznego Rozwoju Cyberbezpieczeństwa w NASK, podkreślał, że celem regulacji nie jest samo raportowanie, ale szybsze wykrywanie podatności i wymiana informacji. – Nie należy spodziewać się natychmiastowego zalewu zgłoszeń, jednak ich liczba będzie systematycznie rosła wraz ze wzrostem świadomości producentów i użytkowników – dodał.
Przedstawiciele branży zwracali uwagę na ryzyko wzrostu kosztów i nadmiernej biurokracji. – Sukces regulacji będzie zależał od jakości wdrożenia, a nie wyłącznie od formalnej zgodności dokumentów – wskazywał Andrzej Bartosiewicz, założyciel i prezes zarządu Fundacji CISO #Poland. Eksperci dyskutowali również o problemach z certyfikacją szybko rozwijanych produktów cyfrowych, których cykl życia bywa krótszy niż sam proces certyfikacyjny.
Mimo tych obaw uczestnicy panelu byli zgodni: Cyber Resilience Act jest potrzebny. W sytuacji rosnącej liczby cyberataków i napiętej sytuacji geopolitycznej bezpieczeństwo produktów cyfrowych staje się fundamentem odporności gospodarki i państwa. Firmy, które przygotują się wcześnie, mogą nie tylko uniknąć problemów regulacyjnych, ale także wykorzystać nowe wymogi jako element przewagi konkurencyjnej.
Źródło: WNP.PL, Fot. PTWP