Комплаенс · Cyber Resilience Act

Cyber Resilience Act: что меняется для тех, кто продаёт цифровые продукты

Если ваш продукт содержит программное обеспечение или к чему-то подключается, CRA, скорее всего, вас касается. Вот конкретные ответы на вопросы, которые реально задают себе владельцы МСП — без жаргона и с проверенными датами.

33 ответов

Что такое Cyber Resilience Act и почему о нём вдруг заговорили именно сейчас?

Cyber Resilience Act (Регламент ЕС 2024/2847, сокращённо CRA) — первый европейский закон, который вводит требования кибербезопасности для «продуктов с цифровыми элементами», продаваемых в Европейском союзе, то есть практически для всего, что содержит программное обеспечение или подключается к сети. Он вступил в силу 10 декабря 2024 года, но основные обязательства становятся применимыми только с 11 декабря 2027 года.

Об этом говорят уже сейчас именно потому, что есть переходный период: у тех, кто разрабатывает и продаёт цифровые продукты, есть время подготовиться, но некоторые промежуточные сроки (например, обязательства по уведомлению) наступают уже в 2026 году.

GiBSeS — Понять, касается ли вас CRA и как именно, — первая диагностика, которую мы проводим с МСП, разрабатывающими подключённые продукты.

Что именно понимается под «продуктом с цифровыми элементами»?

Это любой аппаратный или программный продукт, назначение которого предполагает подключение — прямое или косвенное, логическое или физическое — к устройству или к сети. На практике сюда попадают подключённые устройства (IP-камеры, роутеры, умная бытовая техника, промышленные датчики, устройства IoT), а также программное обеспечение, продаваемое отдельно (приложения, операционные системы, библиотеки, прошивки).

Сюда же относятся решения для удалённой обработки данных, необходимые для работы продукта (например, облачная часть устройства). А вот продукты, уже охваченные специальным отраслевым регулированием — многие медицинские изделия, автомобильная отрасль и авиация, — остаются за рамками CRA.

GiBSeS — Часто самое сложное — понять, где заканчивается ваш продукт и начинается услуга: это разграничение мы помогаем прояснить с самого начала.

Как узнать, затрагивает ли CRA мою компанию?

CRA применяется к тем, кто выводит на рынок ЕС продукты с цифровыми элементами, при этом обязательства различаются в зависимости от роли: у производителей (тех, кто проектирует или изготавливает продукт, либо заказывает проектирование/изготовление под собственным брендом) обязательства самые строгие; импортёры (те, кто ввозит в ЕС продукцию компаний из-за пределов ЕС) должны проверить, что производитель выполнил свою часть; дистрибьюторы должны проявлять должную осмотрительность в цепочке поставок.

Даже если вы просто перепродаёте под своим брендом продукт, изготовленный кем-то другим, с точки зрения регламента «производителем» становитесь именно вы. Стоит заранее уточнить свою роль, а не исходить из того, что обязательство лежит на ком-то другом.

GiBSeS — Точное определение вашей роли в цепочке — производитель, импортёр или дистрибьютор — кардинально меняет список обязательств, и именно с этого мы начинаем.

Я продаю только программное обеспечение, без оборудования: меня это тоже касается?

Да. CRA прямо охватывает программное обеспечение, выводимое на рынок самостоятельно, а не только ПО, встроенное в устройство. Сюда относятся приложения, операционные системы, прошивки, библиотеки и программные компоненты, продаваемые отдельно.

Важно то, что продукт предоставляется на рынке ЕС в рамках коммерческой деятельности. Способ распространения (загрузка, лицензия, подписка) не освобождает вас от обязательств.

GiBSeS — Для software-компании требования безопасности «by design» и управление уязвимостями напрямую влияют на цикл разработки: это адаптация, которую стоит планировать, а не импровизировать.

Какие конкретно основные обязательства у производителя?

В основе CRA лежат две группы обязательств. Первая — безопасность «by design»: продукт должен проектироваться, разрабатываться и изготавливаться так, чтобы обеспечивать надлежащий уровень кибербезопасности, исходя из оценки рисков (например: безопасная конфигурация по умолчанию, защита данных, уменьшенная поверхность атаки).

Вторая — управление уязвимостями на протяжении всего жизненного цикла: своевременное выявление и устранение уязвимостей, распространение обновлений безопасности (бесплатных и, где возможно, автоматических), ведение перечня программных компонентов (SBOM) и политика скоординированного раскрытия уязвимостей. К этому добавляются техническая документация, декларация соответствия и маркировка CE.

GiBSeS — Перевести эти принципы в конкретные процессы в компании без выделенного отдела безопасности — как раз та операционная работа, в которой мы сопровождаем МСП.

Как долго я обязан предоставлять обновления безопасности?

Производитель обязан управлять уязвимостями и предоставлять обновления безопасности в течение всего «периода поддержки», который должен отражать разумно ожидаемый срок использования продукта. Как правило, этот период должен составлять не менее пяти лет; если продукт рассчитан на более короткое использование, период может быть короче, но об этом нужно чётко сообщить.

Период поддержки должен быть доведён до покупателя в понятной форме в момент покупки. Это имеет реальные экономические последствия, поскольку обязывает вас поддерживать ресурсы разработки и безопасности на протяжении многих лет.

GiBSeS — Определить длительность периода поддержки — решение не только техническое, но и финансово-экономическое: это баланс, который мы помогаем оценить с цифрами в руках, не беря на себя лишних обязательств.

Мне действительно нужно сообщать властям об уязвимостях и инцидентах?

Да, но с важной оговоркой: обязательство касается не каждой уязвимости, а только активно эксплуатируемых уязвимостей и серьёзных инцидентов, влияющих на безопасность продукта. В этих случаях производитель обязан направить уведомление в очень сжатые сроки.

Сроки следующие: «раннее предупреждение» без неоправданной задержки и в любом случае в течение 24 часов с момента, когда стало известно о проблеме, затем более полное уведомление в течение 72 часов, и наконец итоговый отчёт. Поэтому заранее нужна внутренняя процедура, которая срабатывает автоматически при наступлении такого события.

GiBSeS — Иметь готовую процедуру уведомления, укладывающуюся в 24 и 72 часа, ещё до того, как она реально понадобится, — одна из самых недооценённых мер подготовки: лучше отработать её заранее, «на холодную».

Кому нужно сообщать об эксплуатируемых уязвимостях и инцидентах?

Уведомления направляются через единую платформу скоординированной отчётности на европейском уровне, в которой участвуют ENISA (Агентство Европейского союза по кибербезопасности) и национальные CSIRT, назначенные точками контакта. По сути, вы сообщаете через национальный канал, а информация уже направляется дальше нужным инстанциям.

Операционные детали (какой портал, какие национальные органы являются профильными) определяются на уровне каждого государства-члена и через имплементационные акты, поэтому стоит уточнить конкретный канал для своей страны, когда обязательства станут применимыми.

GiBSeS — Заранее определить правильный канал для вашей страны, чтобы не выяснять это во время инцидента, — часть подготовки, которую мы выстраиваем вместе.

С какого момента соблюдение CRA становится обязательным?

Регламент вступил в силу 10 декабря 2024 года, но его применение поэтапное. Основные обязательства — требования безопасности, маркировка CE, декларация соответствия — применяются с 11 декабря 2027 года. Однако до этой даты наступают некоторые более ранние обязательства.

В частности, обязательства по уведомлению об эксплуатируемых уязвимостях и серьёзных инцидентах применяются с более ранней даты в 2026 году (примерно с сентября 2026 года), а положения об органах по оценке соответствия начинают действовать на несколько месяцев раньше. Поскольку некоторые точные даты могут уточняться имплементационными актами, стоит сверяться с официальными источниками по мере приближения сроков.

GiBSeS — Построение дорожной карты, отталкивающейся от ранних сроков 2026 года, а не от 2027-го, помогает не опоздать: это первое, что мы проясняем вместе.

Правда ли, что некоторые обязательства наступают раньше 2027 года?

Да, и это момент, который многие упускают. Хотя большая часть CRA становится применимой только в конце 2027 года, обязательства по уведомлению об активно эксплуатируемых уязвимостях и серьёзных инцидентах вступают в силу раньше, в течение 2026 года. Это значит, что вам нужно быть готовыми сообщать об определённых событиях за месяцы до того, как потребуется выполнить полные технические требования к продукту.

Это осознанное решение законодателя: обеспечить безопасность потока информации о реальных угрозах ещё до того, как весь аппарат соответствия заработает в полную силу. Точную дату этого промежуточного срока нужно уточнять по официальным источникам, но сама логика «уведомление наступает раньше» несомненна.

GiBSeS — Разграничить то, что нужно уже в 2026 году, от того, что можно спокойно подготовить к 2027-му, — именно та расстановка приоритетов, в которой мы помогаем.

Нужно ли наносить маркировку CE и на программное обеспечение? И что такое декларация соответствия?

Да: CRA вводит маркировку CE и для продуктов с цифровыми элементами, включая программное обеспечение. Маркировка CE означает, что продукт соответствует требованиям регламента, а для программного обеспечения она может наноситься в цифровой форме (например, в документации или в интерфейсе), когда физическое нанесение невозможно.

Декларация соответствия ЕС — это документ, которым производитель под свою ответственность подтверждает, что продукт отвечает применимым требованиям. Её нужно составить, держать в распоряжении органов власти и сопроводить технической документацией, показывающей, как было достигнуто это соответствие.

GiBSeS — Подготовить надёжную техническую документацию и декларацию, которую можно защитить, — задача менее тривиальная, чем кажется: это методическая работа, которую вы выстраиваете один раз и затем используете для каждого продукта.

Нужно ли сертифицировать продукт через внешний орган, или можно провести самооценку?

Это зависит от категории риска продукта. Для подавляющего большинства продуктов с цифровыми элементами достаточно самооценки соответствия со стороны производителя. Для более чувствительных категорий — которые CRA называет продуктами «важными» и «критическими» (например, менеджеры паролей, файрволы, VPN, операционные системы, некоторые устройства безопасности) — предусмотрены более строгие процедуры, в отдельных случаях с участием стороннего органа по оценке соответствия или с применением европейских схем сертификации.

Поэтому важно правильно классифицировать свой продукт с самого начала, ведь от этого зависит, насколько трудоёмким будет путь к соответствию.

GiBSeS — Классификация продукта — развилка, определяющая затраты и сроки: проверить её заранее, до вложений в разработку, — одна из самых полезных диагностик.

Что такое «важные» и «критические» продукты в терминах CRA?

CRA делит продукты по уровню риска. Базовая категория подлежит самооценке. «Важные» продукты (перечисленные в регламенте и разделённые на два класса) выполняют функции, значимые для безопасности, — например, браузеры, менеджеры паролей, операционные системы, роутеры, файрволы, антивирусы — и требуют более серьёзных процедур соответствия. «Критические» продукты — это те, чья функция наиболее чувствительна для безопасности всей цепочки, и они могут подлежать обязательной европейской сертификации.

Перечни этих категорий со временем могут обновляться Комиссией, поэтому их стоит периодически перепроверять.

GiBSeS — Знать, в какую категорию попадает ваш продукт сегодня, — и отслеживать изменения перечней — часть постоянного контроля, который мы помогаем поддерживать.

Я разрабатываю или использую open source: применяется ли ко мне CRA?

Свободное и открытое программное обеспечение, разрабатываемое или предоставляемое вне коммерческой деятельности, в целом исключено из обязательств CRA: некоммерческий community-проект не рассматривается как коммерческий производитель. Ситуация меняется, когда open source встраивается в коммерческий продукт и выводится на рынок: в этом случае ответственность ложится на того, кто коммерциализирует готовый продукт.

Регламент вводит также промежуточную фигуру — «попечителя открытого программного обеспечения» (организации, структурно поддерживающие разработку open source, используемого в коммерческих контекстах), с более лёгкими и пропорциональными обязательствами по сравнению с настоящими производителями.

GiBSeS — Если ваш продукт опирается на open source-компоненты, понять, кто за что отвечает по цепочке, — узел, который мы проясняем до того, как он станет проблемой.

Я импортирую цифровые продукты из-за пределов ЕС: какие у меня обязательства?

Как импортёр, вы можете выводить на рынок ЕС только продукты, соответствующие CRA. Вы должны проверить, что производитель из-за пределов ЕС провёл оценку соответствия, составил техническую документацию, нанёс маркировку CE и предоставил инструкции. Также нужно убедиться, что указаны контактные данные производителя и ваши собственные.

Если у вас есть основания полагать, что продукт не соответствует требованиям, вы не можете выводить его на рынок; а если риск обнаруживается позже, вы обязаны принять меры и проинформировать органы власти. По сути, вы становитесь фильтром ответственности между зарубежным изготовителем и европейским рынком.

GiBSeS — Составление чек-листа проверки поставщиков из-за пределов ЕС защищает вас от продуктов, которые в итоге придётся защищать именно вам: этот контроль стоит выстроить системно.

Я дистрибьютор/реселлер: мне тоже нужно что-то делать?

Да, хотя ваши обязательства легче, чем у производителя. Как дистрибьютор вы должны действовать с должной осмотрительностью: проверять, что продукт имеет маркировку CE, сопровождается требуемой документацией и инструкциями, а производитель и импортёр выполнили свои обязательства.

Вы не можете предоставлять на рынке продукт, о несоответствии которого знаете или должны были знать, а если вам становится известно о риске, вы обязаны сотрудничать и информировать вышестоящих участников цепочки и, при необходимости, органы власти.

GiBSeS — Даже «облегчённая» осмотрительность требует чётких критериев проверки: определив их один раз, вы избежите разбирательств в каждом отдельном случае.

Чем конкретно я рискую, если продаю несоответствующие продукты на рынке ЕС?

Органы надзора за рынком могут предписать корректирующие меры, потребовать изъятия или отзыва продукта, запретить или ограничить его предоставление на рынке ЕС. Помимо репутационного ущерба, предусмотрены денежные санкции, которые могут быть весьма значительными.

Таким образом, риск — это не только штраф: это конкретная возможность необходимости убрать продукт с рынка, с соответствующим экономическим влиянием на выручку и клиентов. Решения по надзору принимают национальные органы государств-членов.

GiBSeS — Оценка реальной подверженности риску — не только теоретического штрафа, но и риска изъятия с рынка — тот тип анализа рисков и выгод, с которого мы начинаем перед любым решением.

Каков размер санкций, предусмотренных CRA?

Регламент устанавливает высокие максимальные пороги. За нарушение основных требований безопасности и ключевых обязательств производителя санкции могут достигать 15 миллионов евро или 2,5% годового мирового оборота, если эта величина больше. За нарушение прочих обязательств максимум составляет 10 миллионов евро или 2% оборота; за неточную или вводящую в заблуждение информацию, предоставленную органам власти, — до 5 миллионов евро или 1%.

Это максимальные суммы: фактическую санкцию определяют национальные органы, которые обязаны учитывать тяжесть нарушения, его продолжительность, а также размер предприятия, уделяя особое внимание МСП и микропредприятиям. Точные суммы, применимые в вашей стране, зависят, таким образом, от компетентных органов.

GiBSeS — Максимальные пороги впечатляют, но полезный вопрос — насколько подвержены риску именно вы: оценить реальный риск применительно к вашей ситуации гораздо конкретнее, чем смотреть на максимальную цифру.

В чём разница между Cyber Resilience Act и NIS2?

Они регулируют разные, но дополняющие друг друга вещи. CRA регулирует безопасность продуктов: те, кто проектирует и продаёт оборудование и программное обеспечение, должны сделать их безопасными и поддерживать эту безопасность. Директива NIS2, в свою очередь, регулирует безопасность организаций и их процессов: она вводит меры управления киберрисками для субъектов, работающих в секторах, признанных существенными или важными.

Коротко: CRA смотрит на продукт, который вы выводите на рынок, NIS2 — на то, как ваша организация управляет безопасностью. Одна и та же компания может подпадать под оба регулирования, но по разным аспектам.

GiBSeS — Понимание, какое регулирование вас касается и почему, помогает избежать как дублирования, так и пробелов в соответствии: это картирование мы проводим комплексно.

Если мой продукт использует искусственный интеллект, пересекаются ли CRA и AI Act?

Оба регулирования могут применяться одновременно, но в разных плоскостях. AI Act (Регламент ЕС об ИИ) регулирует риски, связанные с системами искусственного интеллекта (прозрачность, управление рисками, обязательства для систем с высоким риском); CRA регулирует кибербезопасность продукта с цифровыми элементами. Поэтому подключённому ИИ-продукту может потребоваться одновременно соблюдать требования безопасности CRA и обязательства AI Act.

Законодатель попытался скоординировать оба регулирования, чтобы избежать дублирования, но на практике требуется совместное прочтение в каждом конкретном случае, чтобы понять, какие требования применимы именно к вашему продукту.

GiBSeS — Читать AI Act и CRA вместе, не проделывая одну и ту же работу дважды, — конкретное преимущество, когда независимый консультант координирует оба направления.

Должны ли продукты, уже находящиеся на рынке сегодня, приводиться в соответствие?

В целом CRA применяется к продуктам, выведенным на рынок после даты вступления в силу основных обязательств. Однако существуют переходные правила и особые моменты для продуктов, уже присутствующих на рынке, которые подвергаются существенной модификации после этой даты, а также в отношении документации, которую нужно сохранять.

Кроме того, обязательства по управлению уязвимостями и уведомлению связаны с логикой жизненного цикла, поэтому не стоит считать существующий «парк продуктов» полностью вне зоны действия регламента. Точные даты и переходные детали нужно проверять по официальному тексту применительно к конкретной ситуации.

GiBSeS — Провести инвентаризацию того, что уже находится в обороте, и понять, что требует внимания, — практический шаг, который часто преподносит сюрпризы: лучше сделать это заранее.

Сколько стоит МСП привести бизнес в соответствие с CRA?

Единой цифры не существует: всё зависит от сложности продукта, категории риска, от того, насколько безопасность уже встроена в ваш процесс разработки, и от периода поддержки, который вам предстоит гарантировать. Основные затраты обычно связаны с адаптацией процессов разработки (безопасность by design, SBOM, управление уязвимостями), технической документацией и, для продуктов с более высоким риском, возможным привлечением третьих сторон.

Хорошая новость в том, что значительная часть этой работы — «разовая» настройка процессов, которую потом можно повторно использовать для всех продуктов. Для МСП самая дорогая ошибка — заняться этим в последний момент или переоценить масштаб относительно реального риска.

GiBSeS — Соразмерить инвестиции с реальным риском — без недостаточного соответствия и без избыточного инжиниринга — вот как мы подходим к комплаенсу: сначала анализ, потом расходы.

Я МСП, производящее цифровые продукты: с чего начать на практике?

Три конкретных шага. Первый — сделайте инвентаризацию: перечислите продукты с цифровыми элементами, которые вы выводите на рынок ЕС, и определите для каждого свою роль (производитель, импортёр, дистрибьютор). Второй — классифицируйте риск: проверьте, попадаете ли вы в базовую категорию, «важную» или «критическую», ведь от этого зависит, насколько трудоёмким будет путь. Третий — оцените разрыв: сравните свои текущие процессы разработки, управления уязвимостями и документации с тем, что требует CRA.

На этой основе постройте дорожную карту, учитывающую ранние сроки 2026 года (уведомления) и основные сроки 2027 года. Цель не в том, чтобы сделать всё сразу, а в том, чтобы делать нужные вещи в правильном порядке.

GiBSeS — Эта связка «инвентаризация — классификация — разрыв» — именно та стартовая диагностика, которую мы проводим с производственными МСП, независимо и не привязывая вас к конкретной технологии или поставщику.

У меня нет офиса или филиала в Европейском союзе: применяется ли Cyber Resilience Act к моему продукту всё равно?

Да. Cyber Resilience Act (Регламент ЕС 2024/2847) следует логике рынка, а не резидентства: он применяется к любому, кто выводит на рынок Союза «продукт с цифровыми элементами» (подключаемое оборудование или программное обеспечение), независимо от того, где находится изготовитель. Если ваше устройство IoT, ваше приложение, ваша прошивка или ваша библиотека продаются или предоставляются в ЕС, вы являетесь изготовителем по смыслу регламента и обязаны соблюдать его требования.

Не существует порога оборота или объёма продаж, который освобождал бы вас как иностранную компанию: значение имеет сам факт коммерциализации в Европе.

GiBSeS — GiBSeS помогает компаниям из-за пределов ЕС понять, ещё до вложений, затрагивает ли CRA их продукт на европейском рынке и как именно.

Мне обязательно нужен представитель или уполномоченный в Европе, чтобы соответствовать CRA?

CRA не обязывает изготовителя из-за пределов ЕС в обязательном порядке назначать уполномоченного представителя: назначение — это возможность, оформляемая письменным мандатом, которая позволяет делегировать субъекту, учреждённому в ЕС, некоторые задачи, такие как хранение технической документации и сотрудничество с органами власти.

А вот фигура, без которой почти всегда не обойтись, — это импортёр, учреждённый в ЕС, поскольку без европейского субъекта, выводящего продукт на рынок, многие обязательства фактически невозможно выполнить. На практике уполномоченный представитель может упростить отношения с надзорными органами, но этот выбор нужно оценивать в каждом конкретном случае.

GiBSeS — GiBSeS помогает решить, целесообразен ли уполномоченный представитель в ЕС или лучше опереться на импортёра, не навязывая вам более громоздкую структуру, чем нужно.

Кто отвечает за соответствие CRA: я как зарубежный производитель, импортёр или дистрибьютор в ЕС?

Основная ответственность остаётся на изготовителе, даже если он находится за пределами ЕС: оценка рисков кибербезопасности, соответствие существенным требованиям, техническая документация, декларация соответствия, управление уязвимостями.

Импортёр, учреждённый в ЕС, играет контрольную роль: он может выводить на рынок только соответствующие продукты и обязан проверить, что изготовитель провёл оценку соответствия, что продукт имеет маркировку CE и сопровождается декларацией соответствия и инструкциями. Дистрибьютор, находящийся дальше по цепочке, должен действовать с должной осмотрительностью и проверять наличие маркировки и документов.

Если импортёр или дистрибьютор существенно изменяют продукт или продают его под собственным брендом, они могут принять на себя обязательства изготовителя.

GiBSeS — GiBSeS помогает картировать, кто за что отвечает вдоль вашей европейской сбытовой цепочки, чтобы ответственность была ясна ещё до подписания соглашений с импортёрами.

Нужно ли наносить маркировку CE и составлять декларацию соответствия, даже если продукт спроектирован и изготовлен за пределами ЕС?

Да. Чтобы быть выведенным на рынок ЕС, продукт с цифровыми элементами должен иметь маркировку CE, подтверждающую соответствие требованиям CRA (а также других применимых регулирований, если таковые есть). Маркировка должна сопровождаться декларацией соответствия ЕС, составленной и подписанной изготовителем, который берёт на себя ответственность за неё.

Место проектирования или производства не имеет значения: важно, чтобы до начала коммерциализации в Европе была завершена соответствующая оценка соответствия, техническая документация и нанесена маркировка.

GiBSeS — GiBSeS сопровождает компании из-за пределов ЕС на пути к маркировке CE по CRA — от оценки требований до декларации соответствия.

Чем конкретно я рискую, если мой продукт не соответствует CRA: заблокируют ли товар на таможне?

Да, это один из возможных сценариев. Органы надзора за рынком и таможенные органы могут вмешаться в отношении несоответствующих продуктов: приостановить ввод в оборот, потребовать изъятия или отзыва с рынка, запретить или ограничить предоставление продукта, а в случае значительного риска — задержать товар на границе.

Помимо физической блокировки продуктов, CRA предусматривает административные санкции, которые за наиболее серьёзные нарушения могут достигать значительных сумм (до миллионов евро или процента от годового мирового оборота). Для иностранной компании наибольший ущерб часто заключается во внезапной потере доступа к европейскому рынку.

GiBSeS — GiBSeS помогает предотвратить задержания на границе, заранее выявляя несоответствия, которые ищут органы власти ЕС.

Действуют ли обязательства по управлению уязвимостями и уведомлению об инцидентах и для зарубежного производителя?

Да. CRA обязывает изготовителя, независимо от места его нахождения, управлять уязвимостями на протяжении всего периода поддержки продукта: предоставлять обновления безопасности, поддерживать политику скоординированного раскрытия информации и предоставлять органам власти по запросу перечень программных компонентов (SBOM).

Также предусмотрено обязательство по уведомлению: об активно эксплуатируемых уязвимостях и серьёзных инцидентах нужно сообщать через единую европейскую платформу уведомлений, соблюдая жёсткие сроки (первое предварительное предупреждение в течение 24 часов, за которым следуют более подробные уведомления). Эти обязательства следуют за продуктом, а не за местом нахождения производителя, и относятся к числу первых, которые становятся применимыми.

GiBSeS — GiBSeS помогает выстроить процессы управления уязвимостями и уведомления, совместимые со сроками ЕС, даже работая из-за пределов Европы.

С какого момента мне нужно соответствовать CRA, чтобы продолжать продавать в Европе?

Регламент уже действует, но обязательства вступают в силу поэтапно. Обязательства по уведомлению об эксплуатируемых уязвимостях и серьёзных инцидентах применяются первыми (начиная с сентября 2026 года), тогда как основная масса обязательств по продуктам — существенные требования, маркировка CE, оценка соответствия — становится полностью применимой начиная с декабря 2027 года.

Для компании из-за пределов ЕС это ценное техническое время: безопасное проектирование, документация и возможное привлечение нотифицированного органа требуют месяцев. Эти даты стоит рассматривать как проектные вехи, а не как далёкие сроки.

GiBSeS — GiBSeS помогает построить реалистичную дорожную карту к срокам CRA, чтобы не оказаться исключёнными с рынка ЕС в последний момент.

Я продаю в Европе только программное обеспечение или скачиваемое приложение, без оборудования: подпадаю ли я всё равно под CRA?

В целом да. CRA охватывает «продукты с цифровыми элементами» — категорию, которая включает самостоятельно распространяемое программное обеспечение: приложения, прошивки, библиотеки, компоненты — когда оно предоставляется на рынке ЕС, даже бесплатно, в рамках коммерческой деятельности.

Однако существуют исключения и особые режимы: некоторые услуги (например, чисто SaaS-сервисы) подпадают скорее под другое регулирование, такое как директива NIS2, а некоторые категории продуктов, уже регулируемые отраслевыми нормами, следуют собственным правилам. Граница зависит от того, как продукт распространяется и интегрируется, поэтому её нужно проверять применительно к конкретному случаю.

GiBSeS — GiBSeS помогает software-вендорам из-за пределов ЕС понять, подпадают ли они под CRA, под NIS2 или под оба регулирования, прежде чем открывать европейский канал продаж.

Как узнать, является ли мой продукт «важным» или «критическим» и требует ли более строгой оценки?

CRA разделяет продукты «по умолчанию» (default), для которых, как правило, допустима самооценка соответствия, и категории продуктов «важных» и «критических», перечисленных в приложениях к регламенту, для которых требуются более строгие процедуры — вплоть до возможного участия нотифицированного органа или применения специальных схем сертификации.

К категориям повышенного риска относятся такие продукты, как менеджеры паролей, файрволы, операционные системы, компоненты идентификации и сетевой безопасности. Определение правильной категории — первая развилка: она кардинально меняет затраты, сроки и путь к соответствию.

GiBSeS — GiBSeS помогает правильно классифицировать продукт по категориям CRA, чтобы компания из-за пределов ЕС соразмеряла усилия по соответствию с реальным уровнем риска.

С чего конкретно начать, чтобы привести мой продукт в соответствие с CRA и сохранить доступ к рынку ЕС?

Отправная точка — понять, затрагивает ли вас регламент и как именно: проверить, что продукт является «продуктом с цифровыми элементами», продаваемым в ЕС, определить его категорию (по умолчанию, важный или критический) и выявить субъектов вашей европейской цепочки, в частности импортёра.

От этого выстраивается весь путь: анализ существенных требований кибербезопасности, оценка рисков, подготовка технической документации и декларации соответствия, настройка процессов управления и уведомления об уязвимостях и, наконец, маркировка CE. Компании из-за пределов ЕС полезно выстроить всё это как проект доступа к рынку, с приоритетом на ближайшие сроки.

GiBSeS — GiBSeS сопровождает МСП из-за пределов ЕС от первоначального анализа до маркировки CE, выступая независимым консультантом, который открывает дверь на европейский рынок, не привязывая вас к одному поставщику.

Этот материал носит информационный характер и не является юридической консультацией.

CRA касается вас? Давайте разберёмся вместе.

За одну сессию мы определим, какие продукты затронуты, вашу роль в цепочке, категорию риска и что действительно нужно успеть к срокам 2026 и 2027 годов. Независимый анализ, конкретные приоритеты, никакой привязки к поставщику.

Записаться на диагностику CRA