Stránky o kybernetické bezpečnosti

Prováděcí nařízení EU 2025/2392

Technické specifikace CRA

Toto nařízení, přijaté 28. listopadu 2025, je klíčovým doplňkem Aktu o kybernetické odolnosti (CRA). Poskytuje detailní technický popis kategorií produktů s digitálními prvky, které jsou považovány za rizikové.

Bez tohoto předpisu by výrobci jen obtížně určovali, zda jejich produkt vyžaduje audit třetí strany, nebo zda postačí vlastní posouzení shody.

1. Proč je toto nařízení důležité?

CRA rozděluje produkty do tříd podle rizika. Prováděcí nařízení 2025/2392 odstraňuje právní nejistotu tím, že přesně definuje, co jednotlivé kategorie znamenají v praxi. Pokud produkt splňuje technický popis v tomto nařízení, musí výrobce následovat přísnější postupy posuzování shody (článek 32 CRA).

2. Klíčové technické popisy (Příklady)

Nařízení detailně rozebírá všech 28 kategorií uvedených v přílohách III a IV CRA. Mezi nejvýznamnější patří:

Důležité produkty – Třída I (Střední riziko)

  • Správa identit a přístupů: Software navržený pro autentizaci, autorizaci a správu identit uživatelů nebo zařízení.
  • Prohlížeče (Browsers): Samostatné i vestavěné prohlížeče. Nařízení upřesňuje, že běžná aplikace (např. zpravodajská), která pouze zobrazuje webový obsah, není automaticky „prohlížečem“, pokud to není její hlavní funkce.
  • Správci hesel: Nástroje pro bezpečné ukládání a správu přihlašovacích údajů.
  • Smart Home asistenti: Zařízení a software pro hlasové nebo automatizované ovládání domácnosti.

Důležité produkty – Třída II (Vysoké riziko)

  • Firewally a IDS/IPS: Síťová bezpečnostní zařízení a systémy pro detekci a prevenci průniku, které aktivně reagují na hrozby.
  • Operační systémy: Kompletní definice systémů pro koncová zařízení, servery i průmyslové řízení.
  • Mikroprocesory odolné proti manipulaci: Čipy navržené s hardwarem pro ochranu proti fyzickým i logickým útokům.

Kritické produkty

  • HSM moduly: Hardwarové bezpečnostní moduly pro správu kryptografických klíčů.
  • Čipové karty (Smart Cards): Včetně platebních karet, elektronických dokladů a SIM karet (UICC).

3. Pravidlo "Hlavní funkce"

Důležitým přínosem nařízení je vyjasnění integrovaných komponent. Pokud výrobce integruje do svého produktu komponentu, která je sama o sobě v „Důležité“ kategorii (např. vestavěný prohlížeč v chytré lednici), musí posoudit bezpečnost celého produktu. Pokud je však tato komponenta klíčovou funkcí produktu, může dojít k překlasifikování celého výrobku do vyšší třídy.

4. Časová osa a účinnost

  • Přijetí: 28. listopadu 2025.
  • Vstup v platnost: 21. prosince 2025.
  • Plná aplikace: Od prosince 2027 musí všechny produkty uváděné na trh EU odpovídat těmto technickým popisům a mít příslušnou certifikaci nebo posouzení shody.

5. Dopad na výrobce a dodavatelský řetězec

Výrobci by měli okamžitě provést re-evaluaci svého portfolia na základě těchto technických definic.

  1. Analýza shody: Odpovídá technický popis mého produktu definici v nařízení 2025/2392?
  2. Výběr auditora: Pokud produkt spadá do Třídy II nebo Kritické, je nutné včas nasmlouvat tzv. oznámený subjekt (Notified Body) pro audit.
  3. SBOM: Je nutné zajistit, aby technická dokumentace a softwarový kusovník (SBOM) reflektovaly všechny rizikové sub-komponenty definované tímto nařízením.

Tip pro odborníky: Toto nařízení je nezbytným podkladem pro oddělení vývoje a QA. Doporučujeme integrovat tyto technické definice přímo do procesů „Security requirements gathering“ na začátku vývoje produktů.

Back to Top