CRA: od září 2026 začínají první povinnosti pro výrobce produktů s digitálními prvky
Nařízení o kybernetické odolnosti (CRA) vstoupilo v účinnost v roce 2024, ale v médiích zůstávalo ve stínu NIS2. Od září 2026 to přestává platit – výrobci hardwaru i softwaru na evropském trhu mají povinnost hlásit zranitelnosti a závažné incidenty.
Nařízení Evropského parlamentu a Rady EU 2024/2847 o kybernetické odolnosti – v angličtině Cyber Resilience Act, zkráceně CRA – se věnuje kybernetické bezpečnosti produktů s digitálními prvky. Zatímco NIS2 reguluje procesy a poskytované služby, CRA stanovuje bezpečnostní požadavky na samotné výrobky: každý produkt, který se někam připojuje a je uváděn na trh Evropské unie, musí být bezpečný z hlediska kybernetické bezpečnosti. Jde o změnu paradigmatu, protože dosud platilo, že výrobce neodpovídal za zranitelnosti ve svém produktu tak jako za jiné typy bezpečnostních závad.
CRA má takzvaně dělenou účinnost. Plná povinnost – tedy soulad se všemi požadavky na design a bezpečnost produktu – se vztahuje na produkty, které budou uvedeny na trh EU po 11. prosinci 2027. Pro stávající výrobky na trhu tedy nenastane žádná retroaktivita, ledaže projdou podstatnou změnou. Podstatnou změnou nařízení rozumí takovou změnu funkcionalit, která se dotýká kybernetické bezpečnosti produktu.
Od září 2026 však vstupuje v platnost dřívější dílčí povinnost: výrobci musejí hlásit aktivně zneužívané zranitelnosti a závažné kybernetické bezpečnostní incidenty příslušným orgánům. Aby bylo možné tuto povinnost plnit, je nutné mít předem zavedené procesy monitorování, řešení incidentů (incident handling) a koordinovaného zveřejňování zranitelností (vulnerability disclosure). Firmy, které se CRA dosud nevěnovaly, mají v podstatě jen pár měsíců na to, aby si tyto základy zavedly.
Nařízení kategorizuje produkty do tří tříd. Do základní kategorie spadá přibližně 96 % všech výrobků s digitálními prvky – jde o běžné spotřební i průmyslové výrobky, například chytré domácí spotřebiče, zahradní roboty, jednoduché IoT senzory. Tyto výrobky musejí být v souladu s přílohou č. 1 nařízení, která stanovuje základní požadavky na kybernetickou bezpečnost, ale nepodléhají externímu auditu – mohou projít vlastním posouzením shody. Do důležité kategorie (první a druhá třída) patří produkty s vyšším rizikovým profilem: hypervizory, firewally, autentizační systémy, průmyslový software a podobné produkty nasazované v podnikových a B2G prostředích. Kritická kategorie obsahuje například Smart Meter Gateway v energetickém sektoru. Pro důležité a kritické produkty je zpravidla vyžadována nezávislá certifikace třetí stranou.
Pojem „výrobce" je v nařízení vymezen šířeji, než by se mohlo zdát. Za výrobce se nepovažuje pouze ten, kdo produkt fyzicky vyrábí, ale i ten, kdo ho uvádí na trh pod svým jménem. Pokud si tedy banka nechá vyvinout svoji mobilní aplikaci u externího dodavatele a distribuuje ji jako vlastní, stává se z pohledu CRA výrobcem – a na sebe přebírá veškeré povinnosti. Pro takové případy je nezbytné, aby smluvní vztah s dodavatelem explicitně upravoval plnění požadavků CRA. Totéž platí pro dovozce produktů ze třetích zemí.
Nařízení se vztahuje na hardware i na software. Mobilní aplikace, webové aplikace, cloudové nástroje – pokud jsou součástí produktu nebo k jeho základní funkci nezbytné (tím, že zpracovávají data v back-endu, bez nichž by produkt neplnil svůj účel), jsou rovněž považovány za produkty s digitálními prvky. Výjimku tvoří kategorie produktů, u nichž platí jiné specifické regulace: například automobily podléhají homologačním normám automotive průmyslu a z CRA jsou vyjmuty.
Zásadním nástrojem pro splnění povinností je takzvaný softwarový kusovník (Software Bill of Materials, SBOM) – přehled všech softwarových komponent zahrnutých v produktu včetně jejich verzí a závislostí. SBOM umožňuje rychle identifikovat, zda je produkt zasažen nově objevenou zranitelností v některé z použitých knihoven nebo komponent. Jde o požadavek, který je pro vývojáře softwaru nový a vyžaduje zavedení odpovídajících vývojových procesů a nástrojů.
Praktický první krok pro firmy je inventura: zmapovat, jaké produkty s digitálními prvky vyrábějí nebo pod svým jménem uvádějí na trh, do které kategorie tyto produkty spadají a které z nich by po případné podstatné změně musely projít plnou certifikací. Navazujícím krokem je nastavení procesů pro hlášení incidentů a zranitelností, jejichž zavedení je nutné ještě před zářím 2026. Přestože CRA necílí primárně na velikost firmy, nýbrž na kritičnost produktu, organizace z finančního, energetického nebo zdravotnického sektoru, které vyvíjejí vlastní software či hardware, by měly věnovat přípravě zvýšenou pozornost – právě jejich produkty nejčastěji spadají do vyšších kategorií.
Další články
Meta pozastavila sledování stisků kláves zaměstnanců po úniku dat z monitorovacího systému
CRA: od září 2026 začínají první povinnosti pro výrobce produktů s digitálními prvky
