Nařízení EU 2024/2847 Cyber resilience akt (CRA)
Cyber Resilience Act (CRA) představuje zásadní změnu v přístupu k bezpečnosti produktů s digitálními prvky. Jedná se o první horizontální nařízení EU, které stanovuje povinné kyberbezpečnostní požadavky na hardware i software uváděný na trh Unie.
Cílem CRA je zajistit, aby produkty byly bezpečné po celou dobu svého životního cyklu a aby uživatelé měli dostatek informací pro jejich bezpečné používání.
1. Oblast působnosti: Koho se CRA týká?
Nařízení dopadá na výrobce, dovozce a distributory produktů s digitálními prvky.
- Produkt s digitálními prvky: Jakýkoliv softwarový nebo hardwarový produkt a jeho řešení pro zpracování dat na dálku (pokud je nezbytné pro funkci produktu).
- Výjimky: Produkty regulované specifickými předpisy (např. zdravotnické prostředky, automobily, civilní letectví) a produkty vyvinuté výhradně pro národní bezpečnost či obranu.
- Open-source: CRA se vztahuje pouze na software dodávaný v rámci obchodní činnosti.
2. Základní povinnosti výrobců
Výrobci nesou hlavní odpovědnost za shodu produktu. Mezi klíčové požadavky patří:
- Security by Design: Produkty musí být navrženy a vyvíjeny bez známých zneužitelných zranitelností a dodávány v bezpečné výchozí konfiguraci.
- Správa zranitelností: Povinnost monitorovat, dokumentovat a neprodleně opravovat chyby.
- Softwarový kusovník (SBOM): Výrobci musí udržovat strojově čitelný soupis komponent (včetně knihoven třetích stran).
- Doba podpory: Bezpečnostní aktualizace musí být poskytovány po celou očekávanou dobu používání produktu, minimálně však po dobu 5 let.
3. Kategorizace produktů a posuzování shody
Přísnost kontroly se liší podle rizikovosti produktu:
| Kategorie | Příklady | Metoda ověření shody |
|---|---|---|
| Standardní (90 %) | Běžný SW, chytré hračky, editory. | Interní kontrola (vlastní prohlášení). |
| Důležité (Třída I) | Prohlížeče, správci hesel, routery. | Harmonizované normy nebo audit 3. strany. |
| Důležité (Třída II) | Firewally, IDS/IPS systémy, hypervizory. | Povinné posouzení třetí stranou. |
| Kritické | HSM moduly, čipové karty, smart metery. | Evropská certifikace (úroveň „významná“). |
4. Povinnost hlášení (Mechanismus 24h / 72h)
Výrobci mají přísné lhůty pro hlášení aktivně zneužívaných zranitelností a závažných incidentů agentuře ENISA a příslušnému týmu CSIRT.
| Typ hlášení | Lhůta | Obsah |
|---|---|---|
| Včasné varování | do 24 hodin | Prvotní informace o zneužití nebo incidentu. |
| Oznámení incidentu | do 72 hodin | Podrobnější posouzení a zmírňující opatření. |
| Závěrečná zpráva | do 1 měsíce | Analýza příčin a finální náprava. |
5. Časová osa implementace
Nařízení se aplikuje postupně, aby se trh stihl přizpůsobit:
- 11. června 2026: Účinnost pravidel pro certifikační a oznamující subjekty.
- 11. září 2026: Kritický termín – začíná platit povinnost hlásit aktivně zneužívané zranitelnosti a incidenty (Článek 14).
- 11. prosince 2027: Plná účinnost – všechny produkty na trhu musí splňovat technické požadavky a nést označení CE.
6. Sankce za nedodržení
Nedodržení povinností může vést k vysokým finančním postihům a stažení produktů z trhu:
- Porušení základních požadavků: Pokuta až 15 000 000 EUR nebo 2,5 % z celosvětového ročního obratu.
- Poskytnutí zavádějících informací: Pokuta až 5 000 000 EUR nebo 1 % z obratu.
- Opatření dozoru: Možnost zákazu prodeje produktu na celém trhu EU.
Doporučení pro firmy: Vzhledem k blížícímu se termínu pro hlášení zranitelností (září 2026) se doporučuje nejdříve zavést procesy pro sledování bezpečnosti komponent (SBOM) a politiku koordinovaného zveřejňování zranitelností (VDP).