Srozumitelný přehled toho, co CRA znamená pro výrobce, dovozce a distributory produktů s digitálními prvky.
Cyber Resilience Act (nařízení Evropského parlamentu a Rady EU 2024/2847) je první evropský právní předpis, který stanovuje povinné požadavky na kybernetickou bezpečnost produktů s digitálními prvky po celý jejich životní cyklus.
Cílem je, aby hardware i software uváděný na trh EU byl bezpečnější už v návrhu, dostával bezpečnostní aktualizace a aby zákazníci měli dostatek informací k bezpečnému používání produktu.
CRA dopadá na téměř všechny produkty s digitálními prvky – fyzická zařízení připojitelná k síti, IoT i samostatně dodávaný software. Mimo působnost zůstávají oblasti pokryté jiným odvětvovým předpisem, například některé zdravotnické prostředky, letectví nebo automobily.
Povinnosti dopadají na výrobce, ale své role mají i dovozci a distributoři. Dovozce musí ověřit, že výrobce splnil své povinnosti; distributor musí jednat s řádnou péčí. Kdo produkt podstatně upraví nebo uvede pod vlastní značkou, může převzít povinnosti výrobce.
Soulad s CRA není jednorázový úkon. Vyžaduje bezpečnost zabudovanou do návrhu, posouzení rizik, řízení zranitelností po celou dobu podpory a kompletní dokumentaci. To se nedá zvládnout na poslední chvíli.
Navíc oznamovací povinnosti začínají platit dříve než plný soulad – už od 11. září 2026. Příprava by proto měla probíhat průběžně, ne jako závěrečný sprint před termínem.
Navrhovat, vyvíjet a vyrábět produkty tak, aby zajišťovaly přiměřenou úroveň kybernetické bezpečnosti vzhledem k rizikům.
Provést a dokumentovat posouzení rizik a zohlednit jeho výsledky ve všech fázích životního cyklu produktu.
Účinně řešit zranitelnosti po dobu podpory, poskytovat bezpečnostní aktualizace a vést SBOM.
Hlásit aktivně zneužívané zranitelnosti a závažné incidenty agentuře ENISA ve stanovených lhůtách (od 11. 9. 2026).
Vypracovat a udržovat technickou dokumentaci prokazující soulad s požadavky CRA.
Provést posouzení shody, vystavit EU prohlášení o shodě a opatřit produkt označením CE.
Poskytnout uživatelům jasné informace a návod k bezpečnému používání produktu.
Stanovit a dodržet dobu podpory produktu – zpravidla nejméně pět let, podle očekávané životnosti produktu.
CRA dělí produkty podle míry rizika. Na kategorii závisí, zda postačí interní posouzení (self-assessment), nebo je nutné zapojit notifikovanou osobu.
Většina produktů. Posouzení shody lze zpravidla provést interně formou self-assessmentu.
Vyšší riziko (např. správci hesel, VPN, síťové prvky). Vyžaduje uplatnění harmonizovaných norem nebo zapojení notifikované osoby.
Ještě vyšší riziko (např. firewally, systémy detekce narušení). Zpravidla je nutné posouzení notifikovanou osobou.
Nejcitlivější kategorie s nejpřísnějšími požadavky, u níž může být vyžadována i evropská certifikace.
Nezávazná konzultace vám během chvíle ukáže, kde stojíte a jaký je nejkratší cestou k souladu.
Domluvit konzultaci