Kyberléto v Cybrela akademii. 6 webinářů o kyberbezpečnosti, každý druhý pátek online. Registrujte se zdarma ➡️

Cyber Resilience Act (CRA)

Od 11. prosince 2027 nebude možné uvádět produkty s digitálními prvky na trh EU bez splnění požadavků CRA a označení CE. Pomáháme výrobcům, dovozcům i distributorům nastavit procesy a dokumentaci tak, aby jejich produkty získaly označení CE a zůstaly na evropském trhu.

Co je to CRA a koho se týká?

Cyber Resilience Act (Akt o kybernetické odolnosti; CRA) je evropské nařízení, které přináší povinnosti na kybernetickou bezpečnost produktů s digitálními prvky uváděných na trh EU.

Požadavky dle CRA se netýkají pouze technického zabezpečení produktu, ale celého jeho životního cyklu: od posouzení kybernetických rizik přes řešení zranitelností, bezpečnostní aktualizace a dobu podpory až po technickou dokumentaci, posouzení shody a označení CE.

Dopadá na výrobce, dovozce a distributory produktů s digitálními prvky.

Pokud váš produkt komunikuje s okolím a poskytujete jej na trh EU, pravděpodobně jde o produkt s digitálními prvky. Týkat se vás budou povinnosti výrobce – od dokumentace přes monitoring zranitelností až po posouzení shody.

CRA na vás dopadá jako na dovozce. Vaší hlavní povinností bude ověřit, že výrobce splnil požadavky CRA, zkontrolovat dokumentaci a CE označení, a doplnit do dokumentace své identifikační údaje. Ale pozor, pokud například produkty uvádíte na trh pod vlastním jménem nebo ochrannou známkou, mohou se na vás vztahovat stejné povinnosti jako na výrobce.

I distributoři mají podle CRA své povinnosti, zejména ověřovat, že produkt nese CE, má požadovanou dokumentaci a kontaktní údaje výrobce a dovozce. Pokud zjistíte nesoulad, nesmíte produkt dál uvádět na trh. Stejně jako v předchozím bodě, pokud například produkty uvádíte na trh pod vlastním jménem nebo ochrannou známkou, mohou se na vás vztahovat stejné povinnosti jako na výrobce.

CRA se vás týká jako výrobce. Budete muset doložit, že produkt byl navržen v souladu s principy security by default, zpracovat analýzu kybernetických rizik, technickou dokumentaci a zajistit bezpečnostní aktualizace po dobu podpory minimálně 5 let.

Pokud produkt nesplní požadavky CRA, hrozí pokuty až 15 mil. EUR nebo 2,5 % celosvětového obratu, stažení z trhu i zákaz prodeje.

Pro uvedení na trh EU budou muset produkty s digitálními prvky splnit požadavky CRA, projít posouzením shody a nést označení CE.

Nařízení CRA se týká softwaru, hardwaru, IoT zařízení, embedded řešení, mobilních aplikací i dalších produktů s digitálními prvky.

S čím vám pomůžeme?

Pomůžeme vám zjistit, kde ve vztahu k nařízení CRA stojíte, a projít celou přípravou krok za krokem. Tam, kde je potřeba hlubší technická odbornost máme prověřené partnery, se kterými spolupracujeme dlouhodobě. Můžeme tak zajistit přípravu jako celek, nebo vám partnery doporučíme a převezmeme koordinaci. Pokud už máte zavedené ISO 27001 nebo implementujete nový zákon o kybernetické bezpečnosti, navážeme na to, co už ve společnosti budujete, a pomůžeme tyto požadavky s CRA smysluplně propojit.

Posouzení dopadu a GAP analýza

Výstup: gap analýza s prioritizovaným plánem přípravy.

Příprava na shodu

Výstup: kompletní balík dokumentace připravený k posouzení shody.

Provoz, udržitelnost a školení

Výstup: procesy a checklisty pro dlouhodobé plnění CRA v každodenním provozu. 

SPOLUPRACUJEME S ORGANIZACEMI Z PRŮMYSLU, IT, ENERGETIKY I DALŠÍCH ODVĚTVÍ

Jaké povinnosti CRA přináší?

CRA rozděluje povinnosti podle role společnosti v dodavatelském řetězci. Nejvíc povinností mají výrobci, ale nové požadavky dopadají i na dovozce a distributory. Pro všechny platí, že před uvedením produktu na trh EU bude potřeba doložit splnění požadavků nařízení CRA.

Hlavní povinnosti výrobců

Hlavní povinnosti dovozců

Hlavní povinnosti distributorů

Nejčastější otázky k CRA

CRA dopadá na výrobce, dovozce a distributory produktů s digitálními prvky. Nové nařízení se vás pravděpodobně týká, pokud vyvíjíte software pod vlastní značkou, uvádíte digitální produkt na trh EU, dovážíte digitální produkt ze třetích zemí nebo distribuujete produkt s digitálními prvky. Z počátku je klíčové správně určit, jestli vůči produktu, který obsahuje digitální prvky, vystupujete jako výrobce, dovozce nebo distributor. Pokud si v tom nejste jistí, je to první věc, kterou je potřeba u CRA vyjasnit.

Podle definice nařízení CRA je to jakýkoliv hardwarový nebo softwarový produkt schopný připojení k síti nebo jinému zařízení, včetně funkcí zpracování dat na dálku, pokud jsou navržená výrobcem produktu a bez nich by produkt neplnil svou funkci. Jednoduše řečeno: pokud má výrobek digitální funkci a komunikuje s okolím, je velká šance, že půjde o produkt s digitálními prvky. Mezi produkty s digitálními prvky typicky patří mobilní a webové aplikace, operační systémy, cloudově propojené platformy, chytrá domácí zařízení, průmyslová IoT řešení, routery, kamery, wearables, nebo výrobní technologie s embedded softwarem.

CRA naopak nedopadá na některé kategorie produktů, které již podléhají vlastní sektorové regulaci kybernetické bezpečnosti, například zdravotnické prostředky, motorová vozidla nebo certifikované letecké systémy. Vyloučeny jsou také produkty pro národní bezpečnost a obranu a nekomerční svobodný software s otevřeným zdrojovým kódem.

Nejen výrobci, ale i dovozci a distributoři mají podle CRA své povinnosti. Nemusí plnit všechno jako výrobce, ale nemohou produkt jen převzít a prodávat dál bez kontroly. Musí ověřit základní náležitosti, typicky zda má produkt CE označení, požadovanou dokumentaci a informace od výrobce. Pokud zjistí nesoulad, nemohou produkt dál uvádět na trh a musí spolupracovat na nápravě. Navíc, pokud dovážený nebo distribuovaný produkt například uvádí na trh pod svým jménem nebo ochrannou značkou, mohou se na něj vztahovat stejné povinnosti jako na výrobce.

Nařízení CRA vstoupilo v platnost 10. prosince 2024. Od 11. září 2026 se začnou používat povinnosti pro hlášení aktivně zneužívaných zranitelností a závažných incidentů. Hlavní povinnosti CRA se začnou uplatňovat od 11. prosince 2027. To je datum, od kterého budou muset produkty s digitálními prvky splňovat požadavky CRA, aby mohly být uváděny na trh EU.

CRA (Cyber Resilience Act) řeší bezpečnost produktů s digitálními prvky. Tedy co musí splnit software a hardware, aby mohl na trh EU. CSA (Cybersecurity Act) je rámec pro evropskou certifikaci kybernetické bezpečnosti, neukládá obecné povinnosti všem produktům. NIS2 (Network and Information Security) míří na organizace a jejich služby, ne na samotné produkty. V České republice jsou požadavky směrnice NIS promítnuty do zákona o kybernetické bezpečnosti. Jednoduše: CRA řeší produkt, NIS2 organizaci a CSA certifikační schémata.

Místo vývoje produktu není samo o sobě rozhodující. Pokud produkt uvádíte na trh EU, nařízení CRA se může použít i na produkt vyvinutý mimo Evropskou unii. V takovém případě je důležité určit, kdo je podle CRA výrobcem, kdo dovozcem a kdo distributorem. Právě od této role se pak odvíjí povinnosti, dokumentace i odpovědnost za soulad produktu s CRA.

CRA má konkrétní termíny. Přípravu neodkládejte

Pokud na vás CRA dopadá, máte omezený čas adaptovat se na nové procesy, implementovat security by default principy a připravit technickou dokumentaci, abyste nebyli pod tlakem ve chvíli, kdy se povinnosti začnou naplno uplatňovat.

1
2
3
10. 12. 2024

Nařízení EU 2024/2847 (Akt o kybernetické odolnosti) vstoupilo v platnost.

11. 9. 2026

Začíná povinnost aktivně hlásit zranitelnosti a závažné incidenty. Prvotní hlášení do 24 hodin od zjištění.

11. 12. 2027

Plná účinnost CRA. Produkty s digitálními prvky, které nesplní podmínky nařízení, nebude možné uvádět na trh EU.

Úvodní konzultace k CRA zdarma

Posoudíme, jestli Cyber Resilience Act dopadá na vaše produkty. Pomůžeme vám zorientovat se v tom, jaké povinnosti se vás týkají, co musíte připravit a jak celý proces uchopit tak, abyste byli na CRA včas připraveni.