Stránky o kybernetické bezpečnosti

Vztah mezi CRA (2024/2847) a prováděcím nařízením (2025/2392)

Pro výrobce a distributory digitálních produktů je klíčové pochopit rozdíl mezi těmito dvěma předpisy. Lze je přirovnat ke vztahu mezi „Zákonem“ a „Technickým výkladovým slovníkem“. Jeden bez druhého v praxi neumožňuje správnou shodu s předpisy.

Srovnání: Role obou předpisů

Parametr CRA (Nařízení 2024/2847) Nařízení 2025/2392
Právní povaha Základní legislativní rámec (Akt). Prováděcí akt (Technický detail).
Hlavní účel Stanovuje POVINNOSTI a procesy. Stanovuje DEFINICE produktů.
Co v něm najdete? Lhůty pro hlášení (24h/72h), výši pokut, požadavky na bezpečnostní aktualizace. Přesný technický popis, co je „firewall“, „operační systém“ nebo „chytrý senzor“.
Cílová skupina Právníci, CISO, management. Vývojáři, produktoví manažeři, auditoři.

Proč potřebujete oba dokumenty?

Samotné CRA (2024/2847) sice uvádí seznamy rizikových produktů (Příloha III a IV), ale činí tak v obecných pojmech. Prováděcí nařízení 2025/2392 tyto pojmy „překládá“ do technické řeči, aby nedocházelo k omylům při klasifikaci.

Praktický příklad: Firewall

  1. CRA (2024/2847) vám řekne: „Pokud vyrábíte firewall, spadáte do Třídy II a musíte mít certifikát od nezávislého auditora.“
  2. Nařízení 2025/2392 vám upřesní: „Firewallem se rozumí produkt, jehož hlavní funkcí je řízení síťového provozu. Pokud je firewall pouze doplňkovou funkcí vaší aplikace, může být klasifikace jiná.“

Praktický příklad: Prohlížeč

  1. CRA (2024/2847) zařadí „prohlížeče“ do Třídy I (Důležité produkty).
  2. Nařízení 2025/2392 definuje, že za prohlížeč se nepovažuje aplikace, která pouze využívá systémové komponenty k zobrazení webu (např. WebView), ale produkt, který má vykreslovací jádro jako svou stěžejní součást.

Jak postupovat při implementaci?

Při přípravě na shodu s kybernetickou odolností doporučujeme tento postup:

  1. Krok 1 (CRA): Seznamte se s obecnými povinnostmi (správa zranitelností, SBOM, hlášení incidentů).
  2. Krok 2 (2025/2392): Najděte v tomto nařízení technický popis, který nejlépe odpovídá vašemu produktu. Tím si potvrdíte, zda spadáte do Třídy I, Třídy II, nebo mezi standardní produkty.
  3. Krok 3: Na základě této klasifikace zvolte postup posuzování shody (vlastní prohlášení vs. externí audit).

Závěr: CRA je kompas, který ukazuje směr (bezpečnost a povinnosti), zatímco nařízení 2025/2392 je podrobná mapa, která vám řekne, na jakém konkrétním území se se svým produktem nacházíte.

Back to Top