Cyber Resilience Act v praxi: Standardy se dokončují, první povinnosti startují už v září 2026
Na konferenci EU Cyber Acts v Bruselu (24.–26. března 2026) zaznělo jasné sdělení výrobcům produktů s digitálními prvky: harmonizované standardy pro Cyber Resilience Act (CRA) jsou ve finální fázi a první závazné povinnosti vstupují v platnost 11. září 2026.
CRA vstoupil v platnost v prosinci 2024. Od září 2026 budou výrobci povinni hlásit aktivně zneužívané zranitelnosti a závažné bezpečnostní incidenty prostřednictvím jednotné platformy ENISA (CRA Single Reporting Platform). Termíny jsou přísné: předběžné upozornění do 24 hodin, plná notifikace do 72 hodin a finální zpráva do 14 dnů (u zranitelností) nebo jednoho měsíce (u incidentů).
Tato povinnost se týká všech produktů na trhu EU, tedy i starších verzí softwaru a hardwaru, které byly uvedeny na trh před plnou aplikací nařízení.
Standardizace CRA probíhá podle plánu:
- Rámcové a horizontální normy + normy pro správu zranitelností (typ A a B) – do 30. srpna 2026
- Vertikální (produktové) normy pro vysoce rizikové kategorie (typ C) – do 30. října 2026
Pracovní skupiny CEN/CENELEC a ETSI aktuálně finalizují normy pro prohlížeče, správce hesel, VPN, SIEM systémy a další.
Konference také potvrdila snahu o harmonizaci CRA s existujícími certifikacemi (např. podle Cyber Security Act) a lepší propojení s NIS2, DORA a eIDAS, aby se minimalizovala duplicitní zátěž.
Pro české výrobce, dovozce i správce kritické infrastruktury to znamená, že zbývá jen pět měsíců na přípravu procesů hlášení. Zkušenosti z NIS2 ukazují, že budování takových mechanismů trvá déle, než se na první pohled zdá.
Plná aplikace CRA (včetně CE označení a technické dokumentace) pak přijde 11. prosince 2027.
Další články
SDEU: I první žádost o přístup k osobním údajům může být odmítnuta jako zneužívající
Nové zranitelnosti v katalogu CISA KEV: čtení paměti v Citrix NetScaler při konfiguraci SAML IDP
