Od 11 września 2026 unijny Cyber Resilience Act wymaga od producentów produktów z elementami cyfrowymi, by zgłaszali aktywnie wykorzystywane podatności swojemu krajowemu CSIRT oraz ENISA według trzyetapowego zegara: wczesne ostrzeżenie w ciągu 24 godzin, pełne powiadomienie w ciągu 72 godzin i raport końcowy w ciągu 14 dni od udostępnienia poprawki. Obok tego rozporządzenie wymaga polityki skoordynowanego ujawniania podatności (CVD) z publicznym punktem kontaktowym, żeby badacze mogli zgłaszać luki bezpośrednio. Przegapisz to i kary sięgną nawet 15 000 000 € albo 2,5% rocznego światowego obrotu — w zależności od tego, która kwota jest wyższa. Jeśli dostarczasz oprogramowanie na rynek unijny, słowo „producent” niemal na pewno obejmuje też ciebie, termin jest bliżej, niż myślisz, a „nie mamy jeszcze na to procesu” przestaje być obroną, którą da się utrzymać. Oto co prawo faktycznie nakazuje, dwa terminy, które wszyscy mylą, i minimalna warstwa operacyjna, jakiej mały zespół potrzebuje, żeby być gotowym. ## Zegar, o którym nie wiedziałeś, że już tyka: 11 września 2026 Najważniejsza data to **11 września 2026** — wtedy zaczyna obowiązywać wymóg zgłaszania z CRA. Od tego dnia producenci muszą zgłaszać aktywnie wykorzystywane podatności i poważne incydenty przez jednolitą platformę zgłoszeniową ENISA. To pierwszy istotny termin [rozporządzenia (UE) 2024/2847](https://digital-strategy.ec.europa.eu/en/policies/cra-summary), wyprzedzający resztę przepisów, i ten, który najpewniej zaskoczy małych dostawców z opuszczoną gardą. Większość materiałów o CRA celuje w producentów sprzętu klasy enterprise i duże zespoły product security: SBOM-y, oznaczenie CE, ocena zgodności. Takie ujęcie przekonało wielu założycieli, że CRA to problem kogoś innego. Nie jest. Zegar zgłoszeniowy rusza dla wszystkich objętych przepisami tego samego dnia, a 20-osobowa firma SaaS z pobieralnym agentem jest związana dokładnie tak samo jak producent urządzeń. Praktyczna konsekwencja jest niewygodna. Jeśli podatność w twoim produkcie zostanie aktywnie wykorzystana tydzień po terminie, masz 24 godziny na złożenie wczesnego ostrzeżenia. Jeśli nie masz przyjmowania zgłoszeń, triażu ani pojęcia, kto w twojej firmie odpowiada za to złożenie, dowiesz się tego wszystkiego pod najgorszą możliwą presją czasu. ## Czy jesteś „producentem produktu z elementami cyfrowymi”? Prawdopodobnie tak. CRA definiuje **produkt z elementami cyfrowymi** jako w zasadzie dowolne oprogramowanie lub sprzęt, który łączy się z urządzeniem albo siecią, i nakłada główne obowiązki na **producenta** — termin, który wprost obejmuje twórców oprogramowania komercjalizujących produkt. To wciąga znacznie więcej niż połączone gadżety. Sprawdź, czy któryś z tych opisów pasuje do ciebie: - Produkt SaaS z pobieralną aplikacją desktopową, rozszerzeniem przeglądarki albo lokalnym agentem. - Połączone urządzenie albo dowolny sprzęt z firmware. - Komercyjna biblioteka oprogramowania, SDK albo produkt self-hosted sprzedawany lub licencjonowany na rynek unijny. - Samotny założyciel albo maintainer, który *komercyjnie wspiera* oprogramowanie używane w UE. Importerzy i dystrybutorzy mają lżejsze obowiązki, ale jeśli budujesz i sprzedajesz daną rzecz, jesteś producentem. Liczy się tu też niuans open source: czysto niekomercyjny open source zwykle leży poza obowiązkami producenta, ale w momencie, gdy zaczynasz go monetyzować (płatne wsparcie, edycja komercyjna, wersja hostowana), wchodzisz w zakres. CRA to nie obszar, który da się zbyć machnięciem ręki bez porady prawnej. Jeśli nie masz pewności, czy konkretny produkt jest w zakresie, to rozmowa z prawnikiem. Ale domyślne założenie firmy software'owej sprzedającej na rynek unijny powinno brzmieć „w zakresie, dopóki nie udowodnimy, że nie”, a nie odwrotnie. ## Czego CRA faktycznie wymaga przy ujawnianiu podatności Unijny Cyber Resilience Act wymaga od producentów prowadzenia polityki skoordynowanego ujawniania podatności z publicznym punktem kontaktowym, a od 11 września 2026 — zgłaszania aktywnie wykorzystywanych podatności swojemu CSIRT i ENISA w ciągu 24 godzin (wczesne ostrzeżenie), 72 godzin (pełne powiadomienie) i 14 dni (raport końcowy po udostępnieniu poprawki). Pod tym podsumowaniem leżą dwa odrębne obowiązki, pochodzące z dwóch różnych artykułów. **Polityka CVD i punkt kontaktowy (artykuł 13).** Artykuł 13 ust. 8 wymaga, by producenci „posiadali odpowiednie polityki i procedury, w tym polityki skoordynowanego ujawniania podatności … w celu przetwarzania i usuwania potencjalnych podatności … zgłaszanych ze źródeł wewnętrznych lub zewnętrznych”. Artykuł 13 ust. 17 wymaga **jednego punktu kontaktowego**, żeby każdy, w tym badacze bezpieczeństwa, mógł zgłosić podatność bezpośrednio. Co kluczowe, zgłaszający musi mieć możliwość wyboru kanału komunikacji — nie wolno przepychać wszystkich przez jedno zautomatyzowane narzędzie. **Obowiązek zgłaszania (artykuł 14).** To zegar 24 / 72 / 14 do regulatorów i to tu mieszczą się sztywne terminy godzinowe. Jeden mit trzeba tu zabić. Kilka blogów dostawców twierdzi, że CRA narzuca **48-godzinny termin na potwierdzenie zgłoszenia badacza**. Nie narzuca. Treść artykułu 13 nie zawiera żadnego sztywnego godzinowego terminu na potwierdzenie. Jedyne sztywne zegary godzinowe w rozporządzeniu to te dotyczące zgłaszania do regulatora z artykułu 14. Traktuj SLA na potwierdzenie jako dobrą praktykę, którą twoja polityka powinna zdefiniować, a nie liczbę przypisywaną prawu. ## Rytm zgłaszania 24 / 72 / 14 i co go uruchamia Dla aktywnie wykorzystywanej podatności albo poważnego incydentu rytm zgłaszania to trzyetapowy zegar, liczony od chwili, gdy się dowiesz: | Etap | Termin | Co to jest | |---|---|---| | Wczesne ostrzeżenie | **24 godziny** | Wstępny sygnał, że masz aktywnie wykorzystywaną podatność albo poważny incydent. | | Pełne powiadomienie | **72 godziny** | Pełniejszy obraz: szczegóły, status, wszelkie podjęte środki naprawcze lub łagodzące. | | Raport końcowy (podatności) | **14 dni** po udostępnieniu poprawki | Raport zamykający, gdy istnieje już środek naprawczy. | | Raport końcowy (poważne incydenty) | **1 miesiąc** | Raport zamykający dla poważnych incydentów. | Składasz raz. **Jednolita platforma zgłoszeniowa**, utworzona, zarządzana i obsługiwana przez [ENISA](https://www.enisa.europa.eu/topics/product-security-and-certification/single-reporting-platform-srp), kieruje twoje powiadomienie jednocześnie do CSIRT wyznaczonego jako koordynator w państwie członkowskim twojego głównego miejsca prowadzenia działalności oraz do ENISA. Ten przyjmujący CSIRT następnie bez zbędnej zwłoki rozsyła je do pozostałych właściwych krajowych CSIRT-ów. Platforma przyjmuje też dobrowolne zgłoszenia podatności, zagrożeń, incydentów i zdarzeń potencjalnie wypadkowych (near miss) — od każdego. Wyzwalacz jest wąski, a trafienie w niego liczy się tak samo jak terminy. Zegar 24-godzinny rusza tylko dla **aktywnie wykorzystywanej podatności**, czyli gdy istnieje wiarygodny dowód, że wykorzystał ją złośliwy aktor, albo dla **poważnego incydentu**, czyli poważnego wpływu na dostępność, autentyczność, integralność lub poufność produktu. Nie każda luka zgłoszona przez badacza uruchamia zegar regulatora. Większość nie uruchomi. Ale nie odróżnisz jednego od drugiego bez kroku triażu, który potrafi szybko sklasyfikować to, co właśnie wpadło do twojej skrzynki — i właśnie dlatego działający pipeline od przyjęcia zgłoszenia do triażu jest operacyjnym rdzeniem gotowości na CRA. ## Dwa terminy, które ludzie mylą: 2026 vs. 2027 Sporo materiałów wtórnych zlewa dwie daty w jedną, a ten zamęt rodzi fałszywe poczucie bezpieczeństwa. Trzymaj je osobno: - **11 września 2026** — obowiązuje wymóg zgłaszania (artykuł 14). Zegar 24 / 72 / 14 do ENISA i twojego CSIRT jest aktywny. - **11 grudnia 2027** — główna data stosowania CRA, gdy stałe obowiązki producenta, w tym polityka CVD i jeden punkt kontaktowy z artykułu 13, obejmują produkty wprowadzone do obrotu. Kuszące jest odczytać datę 2027 i wywnioskować, że masz osiemnaście miesięcy oddechu. Nie masz. Zegar zgłoszeniowy rusza w 2026, a nie spełnisz 24-godzinnego obowiązku zgłoszenia bez gotowego już przyjmowania, triażu i przypisanej odpowiedzialności, które opisuje polityka CVD. Obowiązek z 2027 formalizuje proces; obowiązek z 2026 zakłada, że już potrafisz go prowadzić. W praktyce oznacza to, że infrastruktura ujawniania musi istnieć już w tym roku. ## Co musi zawierać zgodny przepływ CVD Łącząc treść rozporządzenia z wytycznymi praktyków, w tym [wskazówkami HackerOne dotyczącymi gotowości na CRA](https://www.hackerone.com/blog/cyber-resilience-act-vdp-2026-reporting-readiness), obronny przepływ skoordynowanego ujawniania ma sześć części: 1. **Publiczne, udokumentowane przyjmowanie zgłoszeń.** Jeden punkt kontaktowy, w praktyce plik [`security.txt` zgodny z RFC 9116](https://www.rfc-editor.org/rfc/rfc9116) plus opublikowana strona z polityką, żeby badacz, który znajdzie lukę, wiedział dokładnie, dokąd ją wysłać. 2. **Zadeklarowany zakres.** Które produkty i wersje są objęte, co jest wprost poza zakresem i jakich klas podatności nie przyjmujesz. 3. **Triaż i walidacja.** Krok, który rozstrzyga, czy zgłoszenie to aktywnie wykorzystywana podatność lub poważny incydent — wyzwalacz zegara 24-godzinnego. 4. **Koordynacja ze zgłaszającym.** Realny kanał do dialogu z badaczem przed publicznym ujawnieniem. 5. **Naprawa bez zbędnej zwłoki i publiczne ostrzeżenie** po wdrożeniu poprawki. 6. **Audytowalne zapisy.** Możliwa do prześledzenia odpowiedzialność i oś czasu, którą na żądanie przekażesz organowi nadzoru rynku. Ten ostatni punkt zespoły pomijają i potem żałują. „Skoordynowaliśmy to odpowiedzialnie” to deklaracja. Oś czasu z timestampami pokazująca, kiedy zgłoszenie dotarło, kiedy przeszło triaż, kiedy zaktualizowano zgłaszającego i kiedy wdrożono poprawkę, to dowód. Przy rozporządzeniu z karami skalowanymi do przychodu różnica między deklaracją a dowodem to cała gra. ## Cena błędu Niezgodność z wymogami zasadniczymi oraz obowiązkami z artykułów 13/14 podlega administracyjnym karom pieniężnym w wysokości **do 15 000 000 € albo do 2,5% całkowitego światowego rocznego obrotu z poprzedniego roku obrotowego — w zależności od tego, która kwota jest wyższa**. Pod tym leżą dwa niższe progi: | Naruszenie | Maksymalna kara | |---|---| | Naruszenie wymogów zasadniczych i obowiązków z artykułów 13/14 | **15 mln € albo 2,5% światowego obrotu** | | Inne obowiązki wynikające z rozporządzenia | 10 mln € albo 2% obrotu | | Podanie organom nieprawidłowych lub wprowadzających w błąd informacji | 5 mln € albo 1% obrotu | Konstrukcja „w zależności od tego, która kwota jest wyższa” to część, którą założyciele niedoceniają. Dla małej firmy bezwzględne kwoty w euro wyglądają jak problemy enterprise, ale progi procentowe skalują się w dół razem z tobą, a struktura rozporządzenia sprawia, że właśnie porażki *procesowe* (brak polityki CVD, przegapione zgłoszenie, wprowadzające w błąd złożenie) są tymi, którym tanio zapobiec, a drogo je zignorować.

Bliżej, niż się wydaje. Zegar zgłoszeniowy rusza 11 września 2026, a 24-godzinnego terminu nie dotrzymasz bez działającego już przyjmowania zgłoszeń, triażu i ścieżki audytu. Moduł CSIRT od Kit daje ci wszystkie trzy od ręki.

Rozpocznij darmowy okres próbny

## Zbuduj z Kit proces skoordynowanego ujawniania gotowy na CRA CRA zamienia skoordynowane ujawnianie podatności z miłego dodatku świadczącego o dojrzałości w obowiązek prawny z twardym terminem i konsekwencjami skalowanymi do przychodu. Dla większości założycieli luka jest operacyjna, nie filozoficzna: potrzebujesz przyjmowania zgłoszeń, procesu triażu, zegara SLA, kanału koordynacji i ścieżki audytu — i potrzebujesz tego przed wrześniem. Stawianie tego od zera pod presją terminu to pułapka. Wertykał CSIRT od Kit jest tą warstwą operacyjną i mapuje się niemal jeden do jednego na to, czego żąda rozporządzenie. - **Publiczne przyjmowanie zgłoszeń VDP.** Działający portal bezpieczeństwa plus generowany plik `security.txt` zgodny z RFC 9116 (z polami contact, policy, acknowledgments i encryption) daje ci w jednym ruchu jeden punkt kontaktowy z artykułu 13 ust. 17 oraz opublikowaną politykę CVD. To ten sam fundament, który omówiliśmy w [jak uruchomić program ujawniania podatności](/blog/how-to-set-up-vulnerability-disclosure-program), teraz z dopiętym terminem prawnym. - **Walidacja zakresu.** Konfigurowalny zakres (cele w zakresie, kategorie poza zakresem, wykluczone typy podatności) plus automatyczne sprawdzanie zakresu przy przyjęciu daje ci udokumentowaną politykę, której wymaga przepis, oraz podstawę do walidacji zgłoszeń w miarę ich napływu. - **Triaż ważności.** Wbudowane sugerowanie poziomu ważności, ocena i wykrywanie duplikatów to krok triażu, który identyfikuje aktywnie wykorzystywaną podatność lub poważny incydent — dokładny wyzwalacz zegara regulatora. - **Śledzenie SLA.** Działający licznik z celami zależnymi od poziomu ważności i metrykami zgodności daje ci zegar oraz dowód, że go dotrzymałeś. Domyślne SLA Kit na potwierdzenie i rozwiązanie celowo odwzorowują rytm regulatora, choć są dobrą praktyką, a nie ustawowymi liczbami na potwierdzenie. - **Koordynacja z badaczem.** Wątkowane wiadomości trzymają skoordynowany, przedpubliczny dialog, którego żąda przepis, w jednym audytowalnym miejscu. - **Audytowalna oś czasu zgłoszenia.** Eksportowalna chronologia zamienia „skoordynowaliśmy to odpowiedzialnie” w możliwy do prześledzenia zapis, o który może poprosić organ nadzoru rynku. Liczy się uczciwe ujęcie. Kit operacjonalizuje warstwę ujawniania, koordynacji i prowadzenia zapisów. Nie jest poradą prawną, nie składa za ciebie zgłoszeń do jednolitej platformy zgłoszeniowej i nie obejmuje obowiązków CRA z obszaru product security i zgodności, takich jak SBOM-y czy oznaczenie CE. Po nie idź do prawnika. Kit daje ci kręgosłup CVD: działający proces, dzięki któremu gdy badacz znajdzie lukę albo okaże się, że podatność jest wykorzystywana, możesz ją przyjąć, poddać triażowi, skoordynować i wyprodukować oś czasu — zamiast odkryć 11 września 2026, że nie masz żadnego procesu w dniu, w którym rusza zegar regulatora. Skoordynowane ujawnianie zawsze było słuszne wobec badaczy, którzy znajdują twoje luki. CRA po prostu uczynił je obronnym wyborem dla twojego biznesu. Przepływ, który czyni cię dobrym aktorem wobec badaczy, to ten sam przepływ, który czyni cię zgodnym z przepisami, a najtańszy moment, by go zbudować, to przed terminem, a nie po pierwszej wykorzystanej luce. [Rozpocznij darmowy okres próbny](/users/sign_up) i postaw proces ujawniania gotowy na CRA, póki w zegarze jest jeszcze luz.