Compliance
Pierwszy polski EMS z publicznym DoC
Wszystkie dokumenty zgodności w jednym miejscu. Publicznie, do pobrania, do sprawdzenia — dla klientów, instalatorów, audytorów i NFOŚiGW. Deklaracje to za mało — my wykładamy wszystko na stół. Publikacja DoC przed startem naboru PME.
ETSI EN 303 645
12/13 pełne + 1 częściowe
NIS2
Pełne (IRP w finalizacji)
CRA
Pełne dla terminu 11.12.2027
RED Delegated Act
3/3 pełne
Według naszej analizy publicznych źródeł (ostatnia weryfikacja: 12 czerwca 2026) żadna polska firma EMS nie publikuje kompletu deklaracji zgodności dla wszystkich 4 norm programu PME. ProfitEMS będzie pierwsza — publikacja dokumentów przed startem naboru.
Dokumenty
Pobierz dokumenty zgodności
Bez rejestracji, bez podawania maila, bez telefonu. Dokumenty będą dostępne dla każdego — publikacja przed startem naboru PME.
Declaration of Conformity (DoC)
Deklaracja zgodności producenta dla wszystkich 4 norm programu PME — dokument, który klient dołącza do wniosku o dotację.
W przygotowaniu — publikacja przed startem naboru PME
SBOM — lista komponentów
Software Bill of Materials: pełna lista komponentów oprogramowania z sumami kontrolnymi, generowana automatycznie. Wymóg CRA.
W przygotowaniu — publikacja przed startem naboru PME
VDP + security.txt
Polityka zgłaszania podatności i plik security.txt zgodny z RFC 9116 — standardowy sposób kontaktu dla badaczy bezpieczeństwa.
W przygotowaniu — publikacja przed startem naboru PME
Stan zgodności
Cztery normy programu PME — uczciwy status
Nie malujemy wszystkiego na zielono. Tam, gdzie coś jest częściowe albo w trakcie — piszemy to wprost, razem z planem i terminem.
ETSI EN 303 645
norma cyberbezpieczeństwa urządzeń IoT (V2.1.1)
12 z 13 punktów spełnione w pełni. Punkt 5.7 (integralność oprogramowania) częściowo — EMS Connect nie ma sprzętowego secure boot. Ograniczenie opisujemy w DoC razem z zabezpieczeniami zastępczymi: zmiany w urządzeniu wymagają autoryzacji, a fizyczny dostęp — obecności klienta.
NIS2
Dyrektywa UE 2022/2555 o cyberbezpieczeństwie
Zarządzanie ryzykiem, ciągłość działania i bezpieczeństwo łańcucha dostaw — gotowe. Procedura reagowania na incydenty (IRP) jest w trakcie finalizacji. Jako firma jesteśmy poniżej progów NIS2, ale spełniamy wymogi, żeby nasi klienci-instalatorzy mogli używać ProfitEMS zgodnie ze swoją compliance.
CRA
Rozporządzenie UE 2024/2847 — Cyber Resilience Act
Bezpieczeństwo wbudowane w projekt, lista komponentów oprogramowania (SBOM), 5 lat wsparcia z bezpłatnymi aktualizacjami — gotowe. Procedura raportowania podatności i incydentów (obowiązek od 11.09.2026) jest w trakcie wdrażania.
RED Delegated Act
Akt delegowany 2022/30 do dyrektywy radiowej
Ochrona sieci (WPA2-AES, domyślny punkt dostępowy wyłączany po konfiguracji), ochrona danych osobowych (RODO, serwery wyłącznie w UE) i ochrona przed oszustwami (unikalny token na każde urządzenie, limity zapytań).
Werdykt: ProfitEMS spełnia wymogi programu Przydomowe Magazyny Energii w formie deklaracji zgodności producenta (self-declaration). NFOŚiGW oficjalnie potwierdziło w 2026 r., że taka forma jest akceptowana — badanie w akredytowanym laboratorium nie jest wymagane.
ETSI EN 303 645
13 punktów normy — punkt po punkcie
ETSI EN 303 645 to europejska norma cyberbezpieczeństwa urządzeń IoT. Rozwiń dowolny punkt, żeby zobaczyć, jak go spełniamy — także punkt 5.7, gdzie otwarcie opisujemy ograniczenie sprzętowe i nasze zabezpieczenia zastępcze.
12 z 13 punktów pełne + 1 częściowy (5.7 — ograniczenie sprzętowe)
5.1Brak domyślnych hasełPełne
Każde urządzenie dostaje unikalne hasło jeszcze przed wysyłką. Serwer nie wystartuje bez ustawionych sekretów (zero haseł zapasowych w kodzie). Hasła użytkowników: minimum 8 znaków z walidacją.
5.2Zgłaszanie podatnościPełne
Publiczna polityka zgłaszania luk (VDP), adres security@profitems.pl, pierwsza odpowiedź w 24 godziny.
5.3Aktualizacje oprogramowaniaPełne
Serwer aktualizowany centralnie (kontrolowane wdrożenia Docker), oprogramowanie bramki aktualizowane zdalnie po autoryzacji.
5.4Bezpieczne przechowywanie sekretówPełne
Dane uwierzytelniające szyfrowane AES-256-GCM, hasła hashowane Argon2id, sekrety wyłącznie w zmiennych środowiskowych — nigdy w kodzie.
5.5Bezpieczna komunikacjaPełne (po migracji TLS — III kw. 2026)
Komunikacja bramka–serwer przechodzi na szyfrowanie TLS (producent modułu potwierdza obsługę SSL/TLS). Migracja wszystkich klientów zaplanowana na III kwartał 2026.
5.6Minimalna powierzchnia atakuPełne
Tylko 2 otwarte porty (API i Modbus TLS). Nagłówki bezpieczeństwa (Helmet), kontrola źródeł zapytań (CORS), limity zapytań: 100/15 min dla API, 20/15 min dla logowania.
5.7Integralność oprogramowaniaCzęściowe — ograniczenie sprzętowe
Po stronie serwera: powtarzalne buildy Docker z weryfikacją sum kontrolnych. EMS Connect nie ma sprzętowego secure boot — to ograniczenie samego układu. Zabezpieczenia zastępcze (opisane w DoC): komendy konfiguracyjne tylko po autoryzacji, fizyczny dostęp do urządzenia wymaga obecności klienta.
5.8Ochrona danych osobowychPełne
Zgodność z RODO, serwery OVH wyłącznie w UE (Francja/Polska), połączenia tylko HTTPS, dane pomiarowe powiązane z identyfikatorem urządzenia zamiast danych osobowych.
5.9Odporność na awariePełne
Po utracie łączności z chmurą falownik pracuje dalej według zapisanego harmonogramu (plan na 24 h w pamięci urządzenia). Bramka łączy się ponownie automatycznie.
5.10Walidacja danych pomiarowychPełne
Każdy odczyt przechodzi 6-etapową kontrolę: błędy rejestrów, test wiarygodności, kontrola astronomiczna (np. produkcja PV w nocy), filtr zakłóceń, wygładzanie i weryfikacja krzyżowa.
5.11Łatwe usuwanie danychPełne
Usunięcie klienta w panelu kasuje wszystkie jego dane: logi energetyczne, dzienne podsumowania, konfigurację i powiązanie z urządzeniem.
5.12Łatwa instalacja i utrzymaniePełne
Prowadzone uruchomienie krok po kroku, zdalna diagnostyka po naszej stronie — prosument nie musi niczego konfigurować.
5.13Walidacja danych wejściowychPełne
Ścisła walidacja każdego zapytania do API (schematy Zod), ochrona przed XSS i SQL injection, filtrowanie zakresów wartości z falowników.
Ważne rozróżnienie
Self-declaration, nie certyfikat z laboratorium
Mówimy to otwarcie, bo wolimy precyzję od marketingowych skrótów: nasza zgodność z ETSI EN 303 645 to deklaracja producenta, nie badanie w akredytowanym laboratorium.
Badanie laboratoryjne (ETSI TS 103 701) kosztuje 80–150 tys. zł i trwa 6–12 miesięcy. NFOŚiGW go nie wymaga — akceptuje deklarację producenta. Akredytowaną certyfikację mamy w roadmapie compliance na kolejny etap rozwoju.
Co to znaczy dla Twojego wniosku PME
- Deklaracja producenta = NFOŚiGW akceptuje (potwierdzone oficjalnie w 2026)
- Pełny DoC publicznie + 12/13 punktów ETSI w pełni + 1 częściowy z opisanymi zabezpieczeniami
- Dokumentacja techniczna dostępna na żądanie audytora
Zapowiedź
Zgłaszanie luk bezpieczeństwa (VDP) i security.txt
Każdy — badacz bezpieczeństwa, klient, konkurent — będzie mógł zgłosić nam lukę jednym mailem. Z gwarantowanym czasem reakcji.
Co obiecujemy po zgłoszeniu
- 24 hpotwierdzenie przyjęcia zgłoszenia i wstępna ocena
- 72 hocena powagi problemu (skala CVSS) i plan naprawy
- 14 dni od naprawyraport końcowy — zgodnie z wymogiem CRA
Zgłoszenia: security@profitems.pl
Program bug bounty planujemy po ustabilizowaniu procesu zgłoszeń.
/.well-known/security.txt
W przygotowaniuContact: mailto:security@profitems.pl Expires: 2027-05-02T00:00:00Z Preferred-Languages: pl, en Canonical: https://profitems.pl/.well-known/security.txt Policy: https://profitems.pl/compliance/vdp
security.txt to standard (RFC 9116) — plik w stałej lokalizacji, dzięki któremu badacze bezpieczeństwa od razu wiedzą, gdzie zgłosić problem. Opublikujemy go wraz ze startem domeny produkcyjnej.
W praktyce
Co te dokumenty załatwiają dla Ciebie
Klient (dotacja PME)
- Pobierasz jeden PDF z tej strony
- Dołączasz go do wniosku o dotację
- Nie musisz rozumieć żadnej z norm — dokument załatwia temat
Instalator (B2B)
- Gotowy argument sprzedażowy: dokumenty publiczne, nie „na żądanie”
- Odpowiedź na pytanie klienta „co jeśli upadniecie?” — gwarancja ciągłości w umowie
- Klient sam pobiera dokument — zero pracy po Twojej stronie
Audytor / NFOŚiGW
- Wszystkie dokumenty na publicznej stronie — nic „w ukryciu”
- SBOM z sumami kontrolnymi wszystkich zależności
- Pytania: security@profitems.pl — odpowiedź w 24 h
Plany
Co jeszcze przed nami
Compliance to proces, nie jednorazowy stempel. Oto co planujemy — z terminami.
III kwartał 2026
- Migracja TLS dla wszystkich klientów (szyfrowana komunikacja bramki)
- Publikacja DoC PDF v1.0 — przed startem naboru PME
- Publikacja security.txt v1.0 pod /.well-known/security.txt
- Procedura raportowania CRA (termin ustawowy: 11.09.2026)
Od II kwartału 2027
- Depozyt kodu źródłowego u zewnętrznego agenta (po 50 klientach)
- Zewnętrzny test penetracyjny
2028 i później
- Akredytowany certyfikat ETSI TS 103 701 (inwestycja 80–150 tys. zł) — w planie wraz ze skalą floty
- ISO 27001 — w planie przy ponad 200 klientach
Masz pytania o zgodność?
Audytor, instalator, klient — odpowiadamy każdemu. Pytania techniczne i o bezpieczeństwo: security@profitems.pl