codesecure.eu > Bezpečnost > CRA

CRA

Akt o kybernetické odolnosti (CRA – Cyber Resilience Act) je nařízení EU (2024/2847), které v roce 2026 již částečně platí a plně účinným se stane na konci roku 2027.

CRA upravuje požadavky kybernetické bezpečnosti široké škály produktů s digitálními prvky, jako jsou například laptopy, chytré telefony, routery, senzory, průmyslové řídicí systémy, operační systémy, mobilní aplikace, videohry či chytré hračky. Produkty uvedené na evropský trh tak budou nově muset splňovat základní bezpečnostní požadavky ve všech fázích svého životního cyklu – od návrhu přes vývoj až po výrobu. Nařízení rovněž klade důraz na zodpovědnost výrobců v oblasti bezpečnosti komponent pocházejících od třetích stran.

Na rozdíl od ZoKB (NIS2), který se cílí na provozovatele kritické infrastruktury a služeb (státní správa, energetika, zdravotnictví, velké firmy) se CRA týká výrobců všech produktů obsahujících  digitální prvky (hardware i software). Od vývojářů software dodávaného na evropský trh CRA vyžaduje, aby byla jejich aplikace zajišťovaly kybernetickou bezpečnost. Sem například patří povinnost poskytovat pravidelné aktualizace, reagující na kybernetické hrozby. To většina dodavatelů plní z vlastního zájmu. Co je však nové, je povinnost hlásit zjištěné zranitelnosti (a to již od září 2026).

Kdo se musí CRA řídit?

Nařízení se vztahuje na hospodářské subjekty, které uvádějí na trh EU produkty s digitálními prvky (hardware i software). Patří sem: 

  • Výrobci (včetně vývojářů softwaru a aplikací).
  • Zplnomocnění zástupci.
  • Dovozci a distributoři, kteří produkty na trh EU dodávají.

Povinnosti pro vývojáře aplikací

Vývojáři musí zajistit bezpečnost produktu po celou dobu jeho životního cyklu: 

  • Bezpečnost při návrhu a vývoji: Implementace bezpečnostních požadavků (např. ochrana před neoprávněným přístupem, integrita dat) již během kódování.
  • Management zranitelností: Od 11. září 2026 platí povinnost hlásit aktivně zneužívané zranitelnosti a závažné incidenty agentuře ENISA a národním orgánům (v ČR NÚKIB).
  • Posuzování shody a označení CE: Výrobci musí provést posouzení shody (u kritických produktů i prostřednictvím třetí strany) a opatřit produkt označením CE.
  • Transparentnost: Poskytování jasných informací a pokynů uživatelům o bezpečnosti a délce podpory produktu. 

Sankce

Za nedodržení povinností hrozí v rámci EU vysoké finanční postihy (vymáhané národními orgány):

  • Až 15 000 000 EUR nebo 2,5 % celkového celosvětového ročního obratu za předchozí finanční rok (podle toho, co je vyšší) za neplnění základních požadavků na kybernetickou bezpečnost.
  • Až 10 000 000 EUR nebo 2 % obratu za neplnění jiných povinností (např. oznamovací povinnost).
  • Až 5 000 000 EUR nebo 1 % obratu za poskytnutí nesprávných nebo neúplných informací dozorovým orgánům.