Cyber Resilience Act (CRA)
Od 11. prosince 2027 nebude možné uvádět produkty s digitálními prvky na trh EU bez splnění požadavků CRA a označení CE. Pomáháme výrobcům, dovozcům i distributorům nastavit procesy a dokumentaci tak, aby jejich produkty získaly označení CE a zůstaly na evropském trhu.
Co je to CRA a koho se týká?
Cyber Resilience Act (Akt o kybernetické odolnosti; CRA) je evropské nařízení, které přináší povinnosti na kybernetickou bezpečnost produktů s digitálními prvky uváděných na trh EU.
Požadavky dle CRA se netýkají pouze technického zabezpečení produktu, ale celého jeho životního cyklu: od posouzení kybernetických rizik přes řešení zranitelností, bezpečnostní aktualizace a dobu podpory až po technickou dokumentaci, posouzení shody a označení CE.
Dopadá na výrobce, dovozce a distributory produktů s digitálními prvky.
„Vyvíjíme SaaS platformu nebo mobilní aplikaci."
Pokud váš produkt komunikuje s okolím a poskytujete jej na trh EU, pravděpodobně jde o produkt s digitálními prvky. Týkat se vás budou povinnosti výrobce – od dokumentace přes monitoring zranitelností až po posouzení shody.
„Dovážíme IoT produkty z Asie a distribuujeme je B2B partnerům."
CRA na vás dopadá jako na dovozce. Vaší hlavní povinností bude ověřit, že výrobce splnil požadavky CRA, zkontrolovat dokumentaci a CE označení, a doplnit do dokumentace své identifikační údaje. Ale pozor, pokud například produkty uvádíte na trh pod vlastním jménem nebo ochrannou známkou, mohou se na vás vztahovat stejné povinnosti jako na výrobce.
„Jsme distributor digitálních produktů na český trh."
I distributoři mají podle CRA své povinnosti, zejména ověřovat, že produkt nese CE, má požadovanou dokumentaci a kontaktní údaje výrobce a dovozce. Pokud zjistíte nesoulad, nesmíte produkt dál uvádět na trh. Stejně jako v předchozím bodě, pokud například produkty uvádíte na trh pod vlastním jménem nebo ochrannou známkou, mohou se na vás vztahovat stejné povinnosti jako na výrobce.
„Jsme český výrobce IoT zařízení a prodáváme do Německa."
CRA se vás týká jako výrobce. Budete muset doložit, že produkt byl navržen v souladu s principy security by default, zpracovat analýzu kybernetických rizik, technickou dokumentaci a zajistit bezpečnostní aktualizace po dobu podpory minimálně 5 let.
- Sankce za nesoulad
Pokud produkt nesplní požadavky CRA, hrozí pokuty až 15 mil. EUR nebo 2,5 % celosvětového obratu, stažení z trhu i zákaz prodeje.
- Označení CE jako podmínka
Pro uvedení na trh EU budou muset produkty s digitálními prvky splnit požadavky CRA, projít posouzením shody a nést označení CE.
- Produkty s digitálními prvky
Nařízení CRA se týká softwaru, hardwaru, IoT zařízení, embedded řešení, mobilních aplikací i dalších produktů s digitálními prvky.
S čím vám pomůžeme?
Pomůžeme vám zjistit, kde ve vztahu k nařízení CRA stojíte, a projít celou přípravou krok za krokem. Tam, kde je potřeba hlubší technická odbornost máme prověřené partnery, se kterými spolupracujeme dlouhodobě. Můžeme tak zajistit přípravu jako celek, nebo vám partnery doporučíme a převezmeme koordinaci. Pokud už máte zavedené ISO 27001 nebo implementujete nový zákon o kybernetické bezpečnosti, navážeme na to, co už ve společnosti budujete, a pomůžeme tyto požadavky s CRA smysluplně propojit.
Posouzení dopadu a GAP analýza
- Posoudíme, zda a jaké vaše produkty pod CRA spadají a v jaké roli vystupujete (výrobce, dovozce, distributor).
- Stanovíme klasifikaci produktů, která určuje cestu k posouzení shody.
- Porovnáme vaše současné procesy a dokumentaci s požadavky CRA a ukážeme, co chybí, co upravit a co prioritizovat.
Výstup: gap analýza s prioritizovaným plánem přípravy.
Příprava na shodu
- Vypracujeme analýzu kybernetických rizik, na které CRA staví další povinnosti.
- Připravíme podklady pro technickou dokumentaci tak, aby bylo možné doložit, jak byly požadavky CRA zohledněny – včetně SBOM a CVD policy.
- Podpoříme vás při posouzení shody podle klasifikace produktu. U produktů Default a Třídy I jde o vlastní posouzení výrobcem – připravíme dokumentaci i EU prohlášení o shodě.
- Jakmile budou známé metodiky a další postupy, pomůžeme s přípravou podkladů a koordinací celého procesu.
Výstup: kompletní balík dokumentace připravený k posouzení shody.
Provoz, udržitelnost a školení
- Nastavíme postup pro hlášení aktivně zneužívaných zranitelností a závažných incidentů
- Vysvětlíme CRA srozumitelně managementu i provozním týmům, které budou nové povinnosti řešit – připravíme vám školení na míru.
- Pro dovozce a distributory připravíme kontrolní checklist k tomu, co musí ověřovat před uvedením produktu na trh a jak pracovat s dokumentací výrobce.
Výstup: procesy a checklisty pro dlouhodobé plnění CRA v každodenním provozu.
SPOLUPRACUJEME S ORGANIZACEMI Z PRŮMYSLU, IT, ENERGETIKY I DALŠÍCH ODVĚTVÍ












Jaké povinnosti CRA přináší?
CRA rozděluje povinnosti podle role společnosti v dodavatelském řetězci. Nejvíc povinností mají výrobci, ale nové požadavky dopadají i na dovozce a distributory. Pro všechny platí, že před uvedením produktu na trh EU bude potřeba doložit splnění požadavků nařízení CRA.
Hlavní povinnosti výrobců
- Navrhnout, vyvinout a vyrobit produkt s digitálními prvky v souladu s principy security by default.
- Provést analýzu rizik.
- Vypracovat a vést technickou dokumentaci.
- Zajistit bezpečnostní aktualizace po dobu podpory používání produktu.
- Provést posouzení shody produktu.
- Vypracovat EU prohlášení o shodě.
- Monitorovat zranitelnosti a hlásit incidenty a zranitelnosti u produktu.
Hlavní povinnosti dovozců
- Ověřit, že výrobce splnil své povinnost dle CRA.
- Zkontrolovat posouzení shody, dokumentaci a CE.
- Doplnit do dokumentace své identifikační údaje a kontaktní informace.
- Neuvádět na trh EU produkt, který CRA nesplňuje.
- Spolupracovat s orgány dozoru.
Hlavní povinnosti distributorů
- Ověřit, že výrobce a dovozce splnili své povinnosti.
- Zkontrolovat posouzení shody, dokumentaci a CE označení.
- Ověřit přítomnost kontaktních údajů výrobce a dovozce v dokumentaci.
- Oznamovat výrobci aktivně zneužívané zranitelnosti u produktu.
Nejčastější otázky k CRA
Týká se CRA i naší společnosti?
Co je to produkt s digitálními prvky?
Podle definice nařízení CRA je to jakýkoliv hardwarový nebo softwarový produkt schopný připojení k síti nebo jinému zařízení, včetně funkcí zpracování dat na dálku, pokud jsou navržená výrobcem produktu a bez nich by produkt neplnil svou funkci. Jednoduše řečeno: pokud má výrobek digitální funkci a komunikuje s okolím, je velká šance, že půjde o produkt s digitálními prvky. Mezi produkty s digitálními prvky typicky patří mobilní a webové aplikace, operační systémy, cloudově propojené platformy, chytrá domácí zařízení, průmyslová IoT řešení, routery, kamery, wearables, nebo výrobní technologie s embedded softwarem.
CRA naopak nedopadá na některé kategorie produktů, které již podléhají vlastní sektorové regulaci kybernetické bezpečnosti, například zdravotnické prostředky, motorová vozidla nebo certifikované letecké systémy. Vyloučeny jsou také produkty pro národní bezpečnost a obranu a nekomerční svobodný software s otevřeným zdrojovým kódem.
Jsme „jen“ dovozce nebo distributor, co musíme řešit?
Nejen výrobci, ale i dovozci a distributoři mají podle CRA své povinnosti. Nemusí plnit všechno jako výrobce, ale nemohou produkt jen převzít a prodávat dál bez kontroly. Musí ověřit základní náležitosti, typicky zda má produkt CE označení, požadovanou dokumentaci a informace od výrobce. Pokud zjistí nesoulad, nemohou produkt dál uvádět na trh a musí spolupracovat na nápravě. Navíc, pokud dovážený nebo distribuovaný produkt například uvádí na trh pod svým jménem nebo ochrannou značkou, mohou se na něj vztahovat stejné povinnosti jako na výrobce.
Kdy začínají jednotlivé povinnosti platit?
Nařízení CRA vstoupilo v platnost 10. prosince 2024. Od 11. září 2026 se začnou používat povinnosti pro hlášení aktivně zneužívaných zranitelností a závažných incidentů. Hlavní povinnosti CRA se začnou uplatňovat od 11. prosince 2027. To je datum, od kterého budou muset produkty s digitálními prvky splňovat požadavky CRA, aby mohly být uváděny na trh EU.
Jaký je rozdíl mezi CRA, CSA a NIS2?
CRA (Cyber Resilience Act) řeší bezpečnost produktů s digitálními prvky. Tedy co musí splnit software a hardware, aby mohl na trh EU. CSA (Cybersecurity Act) je rámec pro evropskou certifikaci kybernetické bezpečnosti, neukládá obecné povinnosti všem produktům. NIS2 (Network and Information Security) míří na organizace a jejich služby, ne na samotné produkty. V České republice jsou požadavky směrnice NIS promítnuty do zákona o kybernetické bezpečnosti. Jednoduše: CRA řeší produkt, NIS2 organizaci a CSA certifikační schémata.
Co když máme produkt vyvinutý mimo EU?
Místo vývoje produktu není samo o sobě rozhodující. Pokud produkt uvádíte na trh EU, nařízení CRA se může použít i na produkt vyvinutý mimo Evropskou unii. V takovém případě je důležité určit, kdo je podle CRA výrobcem, kdo dovozcem a kdo distributorem. Právě od této role se pak odvíjí povinnosti, dokumentace i odpovědnost za soulad produktu s CRA.
CRA má konkrétní termíny. Přípravu neodkládejte
Pokud na vás CRA dopadá, máte omezený čas adaptovat se na nové procesy, implementovat security by default principy a připravit technickou dokumentaci, abyste nebyli pod tlakem ve chvíli, kdy se povinnosti začnou naplno uplatňovat.
10. 12. 2024
Nařízení EU 2024/2847 (Akt o kybernetické odolnosti) vstoupilo v platnost.
11. 9. 2026
Začíná povinnost aktivně hlásit zranitelnosti a závažné incidenty. Prvotní hlášení do 24 hodin od zjištění.
11. 12. 2027
Plná účinnost CRA. Produkty s digitálními prvky, které nesplní podmínky nařízení, nebude možné uvádět na trh EU.
Úvodní konzultace k CRA zdarma
Posoudíme, jestli Cyber Resilience Act dopadá na vaše produkty. Pomůžeme vám zorientovat se v tom, jaké povinnosti se vás týkají, co musíte připravit a jak celý proces uchopit tak, abyste byli na CRA včas připraveni.