Cyber Resilience Act: všechny termíny a fáze, které musíte stihnout do roku 2027

10. prosince 2024 – CRA vstoupil v platnost

Nařízení vstoupilo v platnost a začalo přechodné období. Z právního hlediska je CRA účinný – jen jeho hlavní povinnosti se uplatní později. Pro firmy to znamená jediné: hodiny už běží a je to oficiální startovní čára pro přípravu.

11. září 2026 – první ostré povinnosti

Toto datum se v diskusích o CRA často podceňuje. Dřív než plný soulad začínají platit oznamovací povinnosti. Výrobci musí v krátkých lhůtách hlásit:

• aktivně zneužívané zranitelnosti svých produktů,
• závažné kybernetické bezpečnostní incidenty, které mají dopad na bezpečnost produktu.

Hlášení míří agentuře ENISA prostřednictvím jednotné platformy a probíhá vícestupňově – od včasného varování po podrobnou zprávu. Aby firma tyto lhůty zvládla, potřebuje mít procesy a šablony připravené předem, ne až ve chvíli incidentu.

11. prosince 2027 – plný soulad s CRA

Od tohoto data musí všechny produkty s digitálními prvky uváděné na trh EU splňovat požadavky CRA, mít kompletní technickou dokumentaci, provedené posouzení shody, EU prohlášení o shodě a označení CE. Produkt, který tyto podmínky nesplní, nelze legálně uvést na trh.

Proč je „máme čas do 2027“ past

Soulad s CRA není dokument, který se sepíše na poslední chvíli. Je to výsledek procesů, které musí běžet měsíce dopředu:

1. 1Security by design znamená rozhodnutí v rané fázi vývoje – u produktu, který už je hotový, se těžko mění.
2. 2Posouzení rizik a modelování hrozeb je vstupem pro vše ostatní, takže musí být hotové jako první.
3. 3Procesy řízení zranitelností a oznamování incidentů musí fungovat už od září 2026 – tedy více než rok před plným souladem.
4. 4U produktů důležitých a kritických tříd je potřeba zapojit notifikovanou osobu, což přidává čas navíc.