Cyber Resilience Act (CRA) – nový evropský rámec kybernetické bezpečnosti digitálních produktů

Evropská unie přijala dne 23. října 2024 nařízení o kybernetické odolnosti (Cyber Resilience Act – CRA, EU 2024/2847), které zásadně mění přístup k zajištění kybernetické bezpečnosti digitálních produktů.

Nařízení zavádí povinné požadavky pro všechny výrobky s digitálním prvkem – tedy hardware a software, které mohou být připojeny k síti nebo zpracovávat data. Cílem je, aby byly bezpečné již od návrhu (security by design) a udržovaly si odolnost vůči kybernetickým hrozbám po celý svůj životní cyklus.

Co CRA stanovuje

Nařízení představuje horizontální právní rámec – vztahuje se na široké spektrum zařízení, od počítačů a mobilních telefonů až po chytrá zařízení, řídicí jednotky a softwarová řešení. Týká se také komponent, které jsou uváděny na trh samostatně.

Naopak se nevztahuje na:

• nekomerční (hobby) produkty,
• čistě poskytované služby (např. SaaS, webové aplikace),
• a některé regulované sektory, jako je automobilový, zdravotnický, lodní či letecký průmysl

Kategorizace produktů podle CRA

Nařízení CRA rozděluje produkty s digitálním prvkem do tří základních kategorií, podle míry jejich dopadu na kybernetickou bezpečnost a rizika, které mohou představovat.

1) Základní (default / general / residual) produkty

Tato kategorie zahrnuje běžné spotřebitelské a kancelářské produkty, u nichž se předpokládá nízké riziko dopadu na bezpečnost sítě nebo uživatelů.

Typicky půjde o:

• osobní počítače a notebooky,
• chytré domácí spotřebiče (např. smart TV, IoT senzory),
• kancelářský software, mobilní aplikace, běžné firemní aplikace.

2) Důležité (important) produkty

Produkty, jejichž selhání nebo zneužití by mohlo ovlivnit více systémů nebo uživatelů.

Typicky půjde o:

• síťová zařízení (např. routery, brány firewall, Wi-Fi přístupové body),
• servery, virtualizační a cloudové platformy,
• vývojářské nástroje, které se používají při tvorbě softwaru.

3) Kritické (critical) produkty

Produkty s klíčovým dopadem na infrastrukturu, bezpečnost a odolnost systémů.

Typicky půjde o:

• průmyslové řídicí systémy (ICS, SCADA),
• systémy pro energetiku, dopravu, zdravotnictví,
• prvky kritické komunikační infrastruktury a síťové řízení.

Doplňkově CRA uznává také zvláštní kategorii FOSS (Free and Open-Source Software), která má odlišný režim, pokud není vyvíjena či distribuována v rámci komerční činnosti.

Kdo ponese odpovědnost a nové povinnosti

Nařízení CRA ukládá jasně definované povinnosti všem subjektům dodavatelského řetězce – výrobcům, dovozcům, distributorům i samotným členským státům.

Výrobci

Výrobci ponesou hlavní odpovědnost za to, že jejich produkty s digitálním prvkem budou bezpečné po celou dobu životního cyklu.

Budou muset zejména:

• zajistit, aby produkty splňovaly všechny požadavky CRA,
• připravit a udržovat technickou dokumentaci prokazující shodu,
• zavést procesy pro řízení zranitelností, vydávání a distribuci bezpečnostních aktualizací,
• vystavit EU prohlášení o shodě a opatřit výrobky označením CE,
• zajistit, že i po uvedení na trh budou produkty nadále v souladu s požadavky CRA.

Dovozci a distributoři

Dovozci a distributoři budou odpovědní za to, že na trh EU budou uváděny pouze produkty splňující CRA.

Budou muset zejména:

• ověřit, že produkt nese značku CE a je doplněn o potřebnou dokumentaci,
• kontrolovat, že výrobce splnil své povinnosti včetně informování o zranitelnostech a poskytování aktualizací,
• zajistit, aby skladování, přeprava a distribuce produktů neohrozila jejich bezpečnostní vlastnosti.

Členské státy

Každý členský stát EU, včetně České republiky, bude muset:

• určit orgán dozoru nad trhem a oznamující orgán odpovědný za jmenování notifikovaných osob,
• přenést nezbytná ustanovení CRA do národní legislativy,
• zajistit připravenost národních subjektů posuzování shody, zkušeben a laboratoří,
• podporovat průmysl a výrobce při zavádění nových pravidel prostřednictvím metodických pokynů a konzultací. 

Jak se bude shoda prokazovat

Posuzování shody bude vycházet z harmonizovaných norem, které jsou v aktuálně ve fázi přípravy.

V rámci Evropského výboru pro normalizaci (CEN) a Evropského výboru pro elektrotechnickou normalizaci (CENELEC) se připravuje přibližně čtyřicet nových standardů, které budou k CRA harmonizovány a umožní výrobcům prokazovat splnění požadavků jednotným způsobem v rámci celé EU.

Tyto normy mají poskytnout jednotný rámec pro dokazování souladu s požadavky CRA napříč EU.

Mezi harmonizované standardy bude patřit také soubor norem IEC 62443, zaměřený na kybernetickou bezpečnost systémů průmyslové automatizace a řízení, který bude hrát klíčovou roli zejména u průmyslových a síťových produktů.

Prokazování shody bude probíhat podle Nového legislativního rámce EU (NLF) prostřednictvím různých modulů:

• Modul A (interní kontrola výrobce) – určený pro většinu produktů základní kategorie, kdy výrobce sám prokáže splnění požadavků pomocí interní dokumentace a harmonizovaných norem.
• Moduly B, C nebo H – pro důležité a kritické produkty, kde se vyžaduje zapojení notifikované osoby nebo certifikačního orgánu, který provede nezávislé posouzení shody.
• U vysoce rizikových produktů se předpokládá možnost využití certifikace podle Aktu o kybernetické bezpečnosti (CSA). 

Klíčové termíny CRA

11. září 2026 – od tohoto data vstupuje v platnost povinnost výrobců hlásit aktivně zneužívané zranitelnosti a závažné kybernetické incidenty.

To znamená, že jakmile výrobce zjistí, že v jeho produktu existuje zranitelnost, která je v praxi aktivně využívána k útoku, nebo že došlo k bezpečnostnímu incidentu s významným dopadem na bezpečnost či důvěrnost dat, musí tuto skutečnost bez zbytečného odkladu nahlásit příslušnému orgánu.

V praxi to bude:

• v České republice pravděpodobně Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB),
• na úrovni EU pak Evropské centrum pro kybernetickou bezpečnost (ECCC) nebo další určený evropský koordinátor.

Výrobce musí současně:

• informovat uživatele o zranitelnosti a poskytnout jim doporučení nebo bezpečnostní aktualizaci,
• vést interní záznamy o všech nahlášených incidentech a přijatých nápravných opatřeních,
• zajistit, že tyto procesy jsou integrovány do jeho systému řízení zranitelností (Vulnerability Handling Process).

Povinnost hlášení se vztahuje na všechny produkty s digitálním prvkem, které jsou uvedeny na trh EU, bez ohledu na jejich kategorii (základní, důležité, kritické).

11. prosince 2027 – od tohoto data bude nařízení CRA plně použitelné.

To znamená, že všechny nové produkty uváděné na trh Evropské unie budou muset být v plném souladu s požadavky CRA – včetně prokazatelné implementace bezpečnostních opatření, procesů řízení zranitelností, technické dokumentace a označení CE.

Proč začít s přípravou už nyní

Nařízení Cyber Resilience Act (CRA) představuje největší legislativní změnu v oblasti kybernetické bezpečnosti produktů za poslední dekádu. Dopad bude plošný – dotkne se výrobců, dovozců, distributorů i poskytovatelů služeb souvisejících s digitálními produkty.

Zkušenosti z implementace předchozích evropských regulací (např. MDR či RED) ukazují, že příprava na nové povinnosti je časově náročný proces, který vyžaduje přehodnocení interních procesů, vytvoření nové dokumentace a často i úpravy produktového vývoje.

Výrobci, dovozci a distributoři by proto měli s přípravou začít bezodkladně protože CRA bude mít zásadní vliv na možnost uvádět produkty na trh Evropské unie. Od 11. prosince 2027 nebude možné uvést na trh žádný produkt s digitálním prvkem, který nebude splňovat požadavky nařízení – v opačném případě hrozí zákaz distribuce a sankce.

Včasná příprava proto není pouze administrativní nutností, ale i strategickou investicí do konkurenceschopnosti a důvěryhodnosti výrobce na evropském trhu.