Przygotowanie do CRA
Pomogę Twojej firmie przygotować się do Cyber Resilience Act. Audyt produktów, identyfikacja luk, strategia compliance — działaj teraz, zanim będzie za późno.
Szczegóły usługi
- Regulacja : Cyber Resilience Act (EU)
- Deadline : Grudzień 2027
- Zakres : Produkty z elementami cyfrowymi
- Kary : Do 15 mln EUR / 2.5% obrotu
- Usługa : Audyt + Roadmapa Compliance
⏰ Zegar Tyka — Czy Twoja Firma Jest Gotowa?
Cyber Resilience Act (CRA) wchodzi w życie w grudniu 2027 roku. Od tego momentu każdy produkt z elementami cyfrowymi wprowadzany na rynek UE musi spełniać rygorystyczne wymogi bezpieczeństwa.
Jeśli Twój produkt embedded nie przejdzie weryfikacji — nie wejdzie na rynek. A kary za niezgodność mogą sięgnąć 15 milionów euro lub 2.5% globalnego obrotu.
Czy te problemy brzmią znajomo?
- ❌ Brak Secure Boot — System startuje bez weryfikacji integralności
- ❌ Brak mechanizmu OTA — Aktualizacje wymagają fizycznej interwencji serwisanta
- ❌ Hasła w kodzie źródłowym — Credentials zapisane na stałe w firmware
- ❌ Nieaktualizowane zależności — OpenSSL z 2019 roku, jądro Linux bez łatek bezpieczeństwa
- ❌ Brak SBOM — Nie wiesz, jakie komponenty są w Twoim produkcie
- ❌ Brak procesu vulnerability disclosure — Nie ma jak zgłosić podatności
Każdy z tych punktów to potencjalny bloker certyfikacji CRA.
🔍 Moja Oferta: Audyt i Przygotowanie do CRA
Oferuję kompleksowe wsparcie w przygotowaniu produktów embedded do zgodności z Cyber Resilience Act — od diagnozy stanu obecnego po wdrożenie zmian.
Faza 1: Audyt Produktu (1-2 tygodnie)
Szczegółowa analiza Twojego produktu pod kątem wymogów CRA.
Co badamy:
| Obszar | Przykładowe pytania |
|---|---|
| Boot Security | Czy system wykorzystuje Secure Boot? Czy łańcuch zaufania jest kompletny? |
| Aktualizacje | Czy istnieje mechanizm OTA? Czy aktualizacje są podpisywane i szyfrowane? |
| Kryptografia | Jakie algorytmy są używane? Czy klucze są bezpiecznie przechowywane? |
| Zarządzanie podatnościami | Czy istnieje proces łatania? Jak szybko reagujecie na CVE? |
| Supply Chain | Czy macie SBOM? Czy monitorujecie zależności open-source? |
| Dokumentacja | Czy dokumentacja techniczna spełnia wymogi CRA? |
Deliverable: Raport z audytu z klasyfikacją znalezisk według krytyczności (Critical / High / Medium / Low)
Faza 2: Gap Analysis i Roadmapa (1 tydzień)
Na podstawie audytu opracowuję szczegółową mapę drogi do compliance.
Co otrzymujesz:
- ✅ Lista luk — Co konkretnie trzeba naprawić lub wdrożyć
- ✅ Priorytetyzacja — Co najpierw, co może poczekać
- ✅ Oszacowanie nakładów — Ile to będzie kosztować (czas, zasoby)
- ✅ Analiza ryzyka — Które braki są blokerami, a które możemy zaakceptować
- ✅ Rekomendacje architektoniczne — Czy obecna platforma w ogóle umożliwia compliance?
⚠️ Kluczowe pytanie: Czasami odpowiedzią jest zmiana platformy sprzętowej. Lepiej dowiedzieć się tego teraz, niż 6 miesięcy przed deadlinem.
Faza 3: Wsparcie we Wdrożeniu (opcjonalnie)
Jeśli potrzebujesz pomocy w implementacji zmian, oferuję:
- Implementacja Secure Boot i Chain of Trust
- Projektowanie i wdrożenie bezpiecznych aktualizacji OTA
- Hardening systemu Linux embedded
- Wdrożenie procesu SBOM i zarządzania zależnościami
- Przygotowanie dokumentacji technicznej wymaganej przez CRA
- Konfiguracja procesu vulnerability disclosure
👉 Szczegóły znajdziesz w moich szkoleniach z bezpieczeństwa — mogę przeszkolić Twój zespół, aby sam kontynuował pracę.
⚡ Dlaczego Działać TERAZ?
Scenariusz 1: Działasz teraz (2025-2026)
Audyt → Gap Analysis → Planowa implementacja → Testy → Certyfikacja
✅ Czas na poprawki ✅ Budżet rozłożony ✅ Spokój
Scenariusz 2: Czekasz do ostatniej chwili (połowa 2027)
Audyt → "Musimy zmienić platformę" → Brak czasu → ❌ Produkt nie wchodzi na rynek
😱 Panika 😱 Koszty x3 😱 Utrata rynku
Typowe pułapki, które odkrywam podczas audytów:
| Problem | Konsekwencja |
|---|---|
| Procesor bez hardware security | Wymaga przeprojektowania płyty głównej |
| Bootloader bez wsparcia dla weryfikacji | Wymaga portowania lub zmiany |
| Brak miejsca na klucze i certyfikaty | Wymaga dodania secure storage |
| System plików bez szyfrowania | Wymaga znaczących zmian w architekturze |
Każdy z tych problemów oznacza miesiące pracy — lepiej wiedzieć o nich wcześniej.
💰 Cennik
Pakiet AUDYT
Kompleksowa analiza produktu + raport z rekomendacjami.
| Zakres | Audyt (Faza 1) + Gap Analysis (Faza 2) |
| Czas realizacji | 2-3 tygodnie |
| Deliverable | Raport z audytu + Roadmapa Compliance |
| Cena | od 15 000 PLN netto |
Cena zależy od złożoności produktu (jeden produkt vs. rodzina produktów, bare-metal vs. Linux, etc.)
Pakiet AUDYT + IMPLEMENTACJA
Pełne wsparcie — od diagnozy po wdrożenie zmian.
| Zakres | Audyt + Gap Analysis + Wsparcie we wdrożeniu |
| Czas realizacji | Zależny od zakresu zmian (typowo 2-4 miesiące) |
| Model współpracy | Stała stawka lub Time & Materials |
| Cena | Wycena indywidualna po Fazie 2 |
🎯 Dla Kogo Jest Ta Oferta?
Ta usługa jest dla firm, które:
✓ Produkują urządzenia embedded sprzedawane na rynku UE
✓ Nie są pewne, czy ich produkty spełnią wymogi CRA
✓ Chcą uniknąć kosztownych niespodzianek na ostatnią chwilę
✓ Potrzebują niezależnej oceny stanu bezpieczeństwa produktów
✓ Szukają konkretnego planu działania, a nie ogólników
📚 Powiązane Usługi
Szkolenie: CRA w Praktyce
Jeśli Twój zespół managementu potrzebuje najpierw zrozumieć wymogi CRA, zapraszam na kompaktowe szkolenie:
👉 Cyber Resilience Act w Praktyce — CRA Survival Kit dla Managerów
Szkolenia Techniczne
Dla zespołów inżynierskich, które będą implementować zmiany:
📞 Następny Krok
Nie czekaj, aż konkurencja Cię wyprzedzi. Firmy, które przygotują się wcześniej, zyskają przewagę — będą mogły sprzedawać, gdy inni będą walczyć o compliance.
Zacznijmy od bezpłatnej, 30-minutowej rozmowy, podczas której:
- Omówimy specyfikę Twojego produktu
- Wstępnie ocenimy poziom gotowości do CRA
- Ustalimy, czy i jak mogę pomóc
Cyber Resilience Act to nie straszak — to realna zmiana regulacyjna, która dotknie całą branżę embedded. Pytanie nie brzmi „czy", tylko „kiedy się przygotujesz".