To będzie rewolucja na rynku IT

• 11 września tego roku wchodzi w życie część przepisów aktu w sprawie cyberodporności (Cyber Resilience Act - CRA), w tym obowiązek zgłaszania aktywnie wykorzystywanych podatności. Sztuczna inteligencja może tak szybko wyszukiwać luki w zabezpieczeniach, że masowy wysyp zgłoszeń wydaje się nieunikniony.
• Ceny komponentów objętych nowymi wymogami już idą w górę - wskazywano podczas sesji "Cyber Resilience Act i certyfikacja: nowe obowiązki, nowe standardy bezpieczeństwa produktów".
• CRA to brakujący element europejskiego systemu cyberbezpieczeństwa. Przez lata prawo nakładało wymagania na operatorów i podmioty kluczowe, podczas gdy producenci sprzętu komputerowego często nie mieli żadnych obowiązków cyberbezpieczeństwa.
• Regulacja będzie w pełni stosowana od 11 grudnia 2027 roku. O tym, jak sobie z nią radzić, rozmawiali na CYBERSEC EXPO & FORUM 2026: Andrzej Bartosiewicz, Andrzej Dulka, Jarosław Homa, Kinga Pawłowska-Nojszewska, Wojciech Piszewski, Krzysztof Silicki, Mikołaj Śniatała i Aleksandra Wójtowicz.

Nowe wymagania dotyczące bezpieczeństwa obejmą prawie wszystkie produkty z elementami cyfrowymi, tj. oprogramowanie komputerowe, sprzęt komputerowy oraz powiązane z nimi rozwiązania w zakresie zdalnego przetwarzania danych - np. urządzenia IoT.

Unijny akt w sprawie cyberodporności (Cyber Resilience Act - CRA) zobowiązuje producentów do zapewnienia, by ich produkty wprowadzane na rynek UE były bezpieczne i pozbawione znanych podatności. Takie produkty dostaną znak "CE". Producent będzie musiał monitorować i usuwać luki w zabezpieczeniach nie tylko na etapie tworzenia produktu, lecz przez cały okres jego użytkowania.

Pierwsze obowiązki wynikające z CRA - przede wszystkim raportowanie aktywnie wykorzystywanych podatności - wejdą w życie już wkrótce, bo 11 września.

Cyberbezpieczeństwo kosztuje - i ktoś musi zapłacić rachunek

- Jeśli nam się wydawało, że bezpieczeństwo jest bezpłatne albo że odpowiada za nie rząd, albo wielki sojusznik, wielki brat nas ochroni, to chyba już zrozumieliśmy, że tak nie jest. Sami musimy zadbać o swoje bezpieczeństwo. A skoro tak, to my jako społeczeństwo musimy za to zapłacić. Bo kto ma zapłacić? - powiedział Andrzej Dulka, prezes zarządu Polskiej Izby Informatyki i Telekomunikacji (PIIT).

Opowiedział, jak to może wyglądać w praktyce.

Przychodzę do klienta i mówię: jestem bezpieczny. On odpowiada: ale to drożej kosztuje. Mamy alternatywę: albo będziemy bezpieczni, albo będziemy tani. Chyba nie chcemy, żeby nasze bezpieczeństwo było tanie - stwierdził Andrzej Dulka.

Andrzej Bartosiewicz, założyciel i prezes zarządu Fundacji CISO #Poland, zwrócił uwagę, że rynek już reaguje na nadchodzące obowiązki związane z cyberbezpieczeństwem.

- Widzimy ruchy cenowe. Widzimy, że koszty komponentów, które podlegają pod CRA i które składają się na dalej wytwarzane produkty, mówię chociażby o sterownikach PLC, już rosną. Wiemy, że będą dość mocno drożały - wskazał Andrzej Bartosiewicz.

Cykl życia produktu: gdy głośnik nagle umilknie

CRA dotyczy nie tylko przygotowania produktu do wprowadzenia na rynek, ale także tego, co się z nim dzieje przez kolejne lata. W tym kontekście Mikołaj Śniatała, partner w Andersenie, przypomniał sprawę wygaszenia usług sieciowych pewnej marki głośników.

Wydarzyła się wielka awantura, ponieważ właściwie z dnia na dzień te usługi zostały wyłączone. Mieliśmy głośnik, ale już bez dostępu do streamingu, bez multiroomu. Warto zadać pytanie, czym dzisiaj jest taki produkt podłączony do sieci, do usług cyfrowych, także do chmury - powiedział.

Stąd obowiązek transparentnej komunikacji: jak długo produkt będzie wspierany, które usługi przetrwają okres jego użyteczności i co stanie się potem. Domyślny okres wsparcia to pięć lat, w infrastrukturze krytycznej zwykle dłuższy. Producent musi tę politykę nie tylko zakomunikować, ale i udokumentować.

Regulacji jest wiele, ale bezpieczeństwo jedno

Kinga Pawłowska-Nojszewska, radca prawny w Kancelarii Prawnej Media, poruszyła problem niezbyt eksponowanego miejsca CRA w obszarze cyberbezpieczeństwa, gdzie najwięcej uwagi poświęca się nowelizacji ustawy o krajowym systemie cyberbezpieczeństwa (KSC), implementującej unijną dyrektywę NIS2.

Cały czas jesteśmy skupieni na NIS2 i KSC. Dopóki polski rząd nie zajmie się wdrażaniem CRA, czyli wyznaczeniem konkretnych organów odpowiedzialnych, dopóty zainteresowanie tym aktem wśród polskich przedsiębiorców może być mniejsze. Tylko podmioty naprawdę duże zaczęły się już w ogóle zastanawiać nad CRA - stwierdziła Kinga Pawłowska-Nojszewska.

Do miejsca przepisów o cyberodporności w spektrum regulacji cyberbezpieczeństwa odniósł się też Krzysztof Silicki, dyrektor ds. strategicznego rozwoju cyberbezpieczeństwa w NASK oraz członek Rady Zarządzającej i Rady Wykonawczej ENISA.

- CRA to brakujące ogniwo ewolucji cyberbezpieczeństwa - oznajmił Krzysztof Silicki. Jak dodał, w NIS2 i jej polskim wdrożeniu chodzi o narzucenie obowiązków cyberbezpieczeństwa pewnym kategoriom podmiotów.

- Te podmioty mają wdrażać środki bezpieczeństwa proporcjonalnie do analizy czy szacowania ryzyka. Tylko że one mówią: rozumiemy to wszystko, ale kupujemy produkty z rynku, a producenci często nie mają żadnych obowiązków - powiedział Silicki. Objęcie regulacją producentów załata więc lukę w systemie.

Z kolei Wojciech Piszewski, partner w kancelarii Sterberg, skrytykował podejście do regulacji jak do osobnych projektów. - Cyberbezpieczeństwo od strony regulacyjnej ma warstwy, trochę jak tort albo cebula - porównał.

Problemem wdrożeniowym jest to, że patrzymy na regulacje przez pryzmat tych trzech czy czterech literek. Tymczasem cyberbezpieczeństwo jest jedno. Bezpieczeństwo produktów jest elementem bezpieczeństwa łańcucha dostaw - podkreślał Wojciech Piszewski.

Armagedon podatności i certyfikacja z XX wieku

Krzysztof Silicki uspokajał ponadto, że system raportowania podatności będzie gotowy na czas.

W całej UE będzie do tego służyła jedna platforma sprawozdawcza, zarządzana przez ENISA - tj. Agencję Unii Europejskiej ds. Cyberbezpieczeństwa. Skierowane tam zgłoszenia producentów, którzy wybiorą w trakcie rejestracji Polskę, będzie obsługiwać CSIRT NASK (krajowy zespół reagowania na incydenty bezpieczeństwa komputerowego).

- Na początku nie spodziewam się wielkiej fali zgłoszeń, ale będzie ona rosła - przewidywał Krzysztof Silicki. Dodał, że ograniczenie obowiązku raportowania do podatności aktywnie wykorzystywanych jest celowe.

Oczywiście dobrowolnie można i powinno się zgłaszać wszelkie podatności, ale wtedy prawdopodobnie mielibyśmy armagedon, zwłaszcza że modele AI będą wyszukiwać luki automatycznie i na masową skalę - ocenił Krzysztof Silicki.

Słabym punktem CRA jest według Andrzeja Bartosiewicza certyfikacja.

- Moim zdaniem od strony certyfikacyjnej ta regulacja nadaje się do produktów, które mieliśmy w latach 80. i 90. Trudno mi sobie wyobrazić, jak możemy poświęcić rok na certyfikację produktu, który wypuszczamy na rynek w ciągu trzech miesięcy i który znika z rynku po kolejnych trzech - argumentował Andrzej Bartosiewicz.

Innego zdania była Aleksandra Wójtowicz, analityczka ds. nowych technologii i cyfryzacji w Polskim Instytucie Spraw Międzynarodowych, łącząca się z panelem online.

- Przyjmuję, że to może trwać za długo. Ale pamiętajmy, że kiedy pierwszy cykl certyfikacji się pojawi, później będzie łatwiej. Dużo oprogramowania i produktów, na których bazują rozwiązania, jest takich samych. Im więcej rzeczy będzie certyfikowanych, tym więcej rzeczy będzie certyfikowanych - ripostowała Aleksandra Wójtowicz.

Bezpieczne zabawki, wysokie progi i koniec z hasłem 1,2,3,4,5

Jarosław Homa, pełnomocnik rektora Politechniki Śląskiej ds. cyberbezpieczeństwa, podkreślał, że CRA "to bardzo potrzebna regulacja".

- Rozwiązania, które po 11 grudnia 2027 roku będą dopuszczone do eksploatacji, będą musiały być bezpieczne. Przestaniemy używać przypadkowych rozwiązań - chwalił. Porównał to do kupowania zabawek. - Świadomi rodzice szukają znaku "CE", bo oznacza, że zabawka została przebadana i dziecko nie zrobi sobie krzywdy - mówił, dodając, że urządzenia IoT też mogą być groźne.

Przyznał jednak, że z perspektywy uczelni "można zidentyfikować kilka problemów” z CRA.

Skończy się używanie rozwiązań, które wytworzyliśmy na zajęciach w grupie studenckiej, na przykład systemu obsługi toku studiów. Mamy szereg takich rozwiązań. We wszystkich uczelniach w Polsce jest ich prawie 500 - powiedział Jarosław Homa, nie zmieniając jednak swojej opinii o CRA.

Przed nadmiernym optymizmem co do skutków tej regulacji przestrzegała natomiast Kinga Pawłowska-Nojszewska. Wskazała przykład twórców oprogramowania, którzy natkną się na wysoki próg wejścia na unijny rynek.

- Ponieważ mamy po raz pierwszy kompleksową regulację, to dostawca software'u będzie musiał wypełnić szereg obowiązków. Tego do tej pory nie było - stwierdziła. Podała hipotetyczny przykład software'u, do którego są zaciągane dane z zewnętrznej biblioteki. - W tej bibliotece pojawia się błąd. I nagle w naszym oprogramowaniu jest podatność - mówiła Kinga Pawłowska-Nojszewska, dodając, że skala i rodzaj wyzwań spowodowanych przez CRA wyjdą dopiero "w praniu".

Krzysztof Silicki zwrócił jednak uwagę, że nie każdy wymóg CRA oznacza wielkie koszty dla producenta. Przykładem może być zakaz wprowadzania produktu z podatnością w konfiguracji, który będzie obowiązywał od grudnia 2027 roku.

- Producenci IoT, sprzedając setki tysięcy urządzeń na cały świat, wypuszczają produkt podłączony do internetu, który ma domyślne hasło: admin, admin albo 1,2,3,4,5. Potem odbiorca to włącza, urządzenie samo łączy się z najbliższym Wi-Fi i nikt tego nie zmienia. Ile kosztuje producenta wprowadzenie procedury, która wymaga zmiany hasła przy pierwszym uruchomieniu? Śmiem twierdzić, że nie aż tak dużo – podsumowałKrzysztof Silicki.

Moderatorem dyskusji był Karol Tokarczyk, starszy analityk ds. gospodarki cyfrowej w Polityce Insight.

Zapis dyskusji jest dostępny poniżej:

Cybersec Expo & Forum 2026