Przez lata producenci oprogramowania i urządzeń cyfrowych koncentrowali się przede wszystkim na dostarczeniu funkcjonalnego produktu. Jeśli później pojawiały się podatności, zwykle rozwiązywano je kolejnymi aktualizacjami. Cyber Resilience Act (CRA) zmienia tę logikę. Bezpieczeństwo przestaje być elementem utrzymania produktu, a staje się jego obowiązkową cechą, za którą producent odpowiada od momentu projektowania aż do zakończenia wsparcia.
To nie jest jedynie kolejna regulacja dotycząca cyberbezpieczeństwa. Dla biznesu oznacza zmianę sposobu myślenia o produkcie cyfrowym. Oprogramowanie zaczyna być traktowane podobnie jak inne regulowane produkty – musi spełniać określone wymagania, zanim trafi na rynek, a producent pozostaje odpowiedzialny za jego bezpieczeństwo także po sprzedaży.
Unia Europejska zdecydowała się na taki krok, ponieważ dotychczasowy model okazał się niewystarczający. Na rynek regularnie trafiały produkty zawierające znane podatności lub pozbawione odpowiedniego wsparcia bezpieczeństwa, a ciężar radzenia sobie z ich konsekwencjami spadał głównie na użytkowników i organizacje, które z nich korzystały. CRA odwraca tę zależność. Odpowiedzialność zostaje przesunięta z użytkownika na producenta, który ma dostarczyć produkt bezpieczny już w momencie wprowadzenia go do obrotu i utrzymywać ten poziom bezpieczeństwa przez cały deklarowany okres wsparcia.
Największa zmiana dotyczy właśnie odpowiedzialności. W praktyce producent nie kończy swojej roli wraz z wydaniem nowej wersji aplikacji czy sprzedażą urządzenia. Musi stale zarządzać podatnościami, przygotowywać poprawki bezpieczeństwa, reagować na aktywnie wykorzystywane luki oraz prowadzić proces ich zgłaszania zgodnie z wymaganiami regulacji. To oznacza, że bezpieczeństwo staje się procesem ciągłym, a nie jednorazowym etapem projektu. Dla wielu firm będzie to większa zmiana organizacyjna niż technologiczna.
To z kolei zmienia sposób tworzenia produktów cyfrowych. Skoro producent odpowiada za bezpieczeństwo przez cały cykl życia produktu, nie może traktować go jako funkcji dodawanej tuż przed premierą. Cyberbezpieczeństwo musi zostać uwzględnione już podczas projektowania architektury, wyboru komponentów i planowania procesu rozwoju. Dlatego CRA opiera się na zasadach security by design i security by default, wymagając m.in. oceny ryzyka, prowadzenia dokumentacji technicznej oraz zorganizowanego procesu zarządzania podatnościami. W praktyce bezpieczeństwo staje się jednym z podstawowych parametrów jakości produktu, obok funkcjonalności czy wydajności.
Konsekwencje wykraczają jednak daleko poza działy bezpieczeństwa. Spełnienie wymagań CRA wymaga współpracy zespołów produktowych, programistów, specjalistów compliance, prawników i kadry zarządzającej. To zarząd będzie odpowiadał za stworzenie procesów, które pozwolą utrzymać zgodność produktu z regulacją przez lata. Oznacza to konieczność planowania kosztów utrzymania, aktualizacji oraz zarządzania podatnościami już na etapie budowy modelu biznesowego. Cyberbezpieczeństwo przestaje być wyłącznie zagadnieniem technicznym, a staje się elementem zarządzania produktem.
W efekcie Cyber Resilience Act zmienia definicję produktu cyfrowego. Nie jest on już wyłącznie zbiorem funkcji, które producent sprzedaje klientowi. Staje się regulowanym produktem, którego bezpieczeństwo podlega takim samym wymaganiom jak inne cechy decydujące o możliwości wprowadzenia go na rynek.

