Od 2027 r. obowiązywać będą dwa nowe rozporządzenia UE:
◾️ Rozporządzenie Maszynowe (2023/1230) – zastępuje dotychczasową dyrektywę.
◾️ Cyber Resilience Act (CRA) – (2024/2847) – wprowadza obowiązki w zakresie cyberbezpieczeństwa.
Producent maszyny (robota) będzie musiał spełnić wymagania obu regulacji – co jasno wynika z motywu 53 preambuły CRA.
Poznaj program szkolenia online "Machinery Regulation i Cyber Resilience Act" >>
Czym jest CRA w telegraficznym skrócie?
Cyber Resilience Act (Rozporządzenie UE 2024/2847), przyjęte w październiku 2024 r., to pierwsze kompleksowe unijne prawo nakładające obowiązkowe wymogi cyberbezpieczeństwa na prawie wszystkie produkty z elementami cyfrowymi – od urządzeń konsumenckich, przez oprogramowanie i usługi chmurowe, po systemy przemysłowe.
CRA nie jest zbiorem dobrych praktyk, ale prawnie wiążącym zestawem wymogów dotyczących projektowania, rozwoju i utrzymania bezpiecznych produktów cyfrowych przez cały ich cykl życia.
Główne założenia CRA to:
◾️ Cyberbezpieczeństwo z założenia i domyślnie – projektowanie produktu z myślą o bezpieczeństwie;
◾️ Zarządzanie podatnościami – szybkie wykrywanie, raportowanie i łatanie luk;
◾️ Aktualizacje bezpieczeństwa – przez cały zadeklarowany okres życia produktu;
◾️ Transparentność – jasne instrukcje dla użytkowników, informacja o wsparciu i zagrożeniach;
◾️ Oceny zgodności – dla bardziej krytycznych produktów przewidziano ostrzejsze procedury;
◾️ Produkty objęte będą oznaczeniem CE, potwierdzającym spełnienie wymogów cyberbezpieczeństwa.
CRA stopniuje ponadto produkty z elementami cyfrowymi. Kluczowa różnica między „ważnym”, „krytycznym” a „zwykłym” produktem z elementami cyfrowymi nie polega na poziomie wymagań bezpieczeństwa (te są jednakowe), ale na sposobie oceny zgodności – ważne i krytyczne produkty wymagają zewnętrznej oceny zgodności.
CRA a rozporządzenia wykonawcze
Niestety, CRA zawierała w załącznikach opisy bardzo ogólne, bez jasnych definicji. Przykładowo – jak ustalić, czy dane rozwiązanie to „system zarządzania siecią”, „mikrokontroler o funkcjach bezpieczeństwa” czy „wirtualny asystent dla inteligentnego domu”? W związku z tym prawodawca unijny podjął działania, aby ustanowić akt wykonawczy, wraz z załącznikami dotyczącymi technicznych opisów wszystkich kategorii ważnych i krytycznych produktów. Dzięki temu, jesteśmy w stanie odpowiedzieć na pytanie: czym jest mikrontroler? Zgodnie z przyszłym rozporządzeniem wykonawczym: Produkt z elementami cyfrowymi składający się z uniwersalnego procesora z odpowiednią pamięcią, umożliwiającą jego programowanie, zwykle zawierający inne urządzenia peryferyjne na jednym chipie i zapewniający ochronę przed atakami logicznymi, m.in. dzięki dodatkowym komponentom sprzętowym.
Rozporządzenie Maszynowe a CRA
Sama CRA to jednak za mało, aby być „compliance”. Oprócz cyberbezpieczeństwa unijny prawodawca zwraca uwagę na bezpieczeństwo, które wskazane jest w MR. Obie regulacje to rozporządzenia UE, które obowiązują bezpośrednio we wszystkich państwach członkowskich (w przeciwieństwie do dyrektyw). Obie należą do tzw. unijnego prawodawstwa harmonizacyjnego – mają wspólne podstawy prawne w ramach „Nowych Ram Legislacyjnych” (NLF).
Rozporządzenie Maszynowe obejmuje maszyny, częściowo zmontowane maszyny i komponenty (np. urządzenia zabezpieczające). Z kolei CRA dotyczy produktów z elementami cyfrowymi i połączeniem danych (logicznie lub fizycznie z siecią lub urządzeniem). Rozporządzenie Maszynowe koncentruje się na bezpieczeństwie fizycznym i funkcjonalnym: ochrona zdrowia, użytkowników, zwierząt, mienia i środowiska. Inaczej wygląda to w przypadku CRA. Rozporządzenie koncentruje się na cyberbezpieczeństwie produktów z elementami cyfrowymi przez cały cykl życia.
Oba akty legislacyjne bazują na ocenie ryzyka. Rozporządzenie Maszynowe wymaga oceny ryzyka bezpieczeństwa (np. uszkodzeń ciała, niewłaściwego użycia). CRA wymaga oceny ryzyka cyberbezpieczeństwa (np. ataków na komponenty cyfrowe).
Autorzy proponują połączyć obie analizy i szczególnie uwzględnić złośliwe działania prowadzące do zagrożeń dla zdrowia i życia.
Na koniec należy podkreślić, że od 2027 r. brak znaku CE oznacza zakaz wprowadzenia produktu na rynek UE.
Istotne terminy:
️ Rozporządzenie Maszynowe: stosowane od 20 stycznia 2027 r.
️ CRA: stosowane od 12 grudnia 2027 r.
️ Raportowanie luk (CRA art. 14): obowiązuje od 11 września 2026 r.
Warto pamiętać, że wskazane rozporządzenia to dopiero wierzchołek „góry legislacyjnej”. Z drugiej strony cyberzagrożenia nie czekają – my również nie powinniśmy.
Co dalej?
Rozporządzenia to dopiero początek. Przed nami kolejne akty wykonawcze, standardy techniczne, nowe normy oceny zgodności. Ale jedno jest pewne: robot przyszłości musi być nie tylko silny i szybki, ale przede wszystkim cyberodporny.
Autorzy:
Mateusz Jakubik, Prawnik, Compliance Officer, Bonnier Business Polska
Rafał Prabucki, COO, Szostek_Digital