CRA - Akt o kybernetické odolnosti| Q-COM

Cyber Resilience Act

Evropská unie i Česká republika postupně zpřísňují požadavky v oblasti kybernetické bezpečnosti. Klíčovým dokumentem je směrnice NIS2 , která zavádí povinnosti pro široké spektrum organizací.

Nařízení Evropského parlamentu a Rady EU 2024/2847 ze dne 23. října 2024 známé jako Cyber Resilience Act (CRA) – Akt o kybernetické odolnosti pak stanoví pravidla zejména pro výrobce, dovozce a distributory digitálních produktů a softwaru.

Co se reguluje

Kybernetické hrozby exponenciálně rostou a zranitelnosti v běžných produktech představují pro spotřebitele i organizace čím dál větší riziko .

Akt o kybernetické odolnosti zavádí jednotný právní rámec pro základní požadavky na bezpečnost produktů s digitálními prvky, což má zajistit vyšší úroveň kybernetické bezpečnosti v celé EU a snížit množství zranitelných zařízení, které se dostávají na trh.

Nařízení klade důraz nejen na počáteční zabezpečení produktu, ale i na celý jeho životní cyklus — od vývoje přes aktualizace až po řešení zranitelností.

Cílem je, aby veškeré digitální produkty (elektronika, IoT zařízení, aplikace, software, firmware) uváděné na trh EU splňovaly požadavky kybernetické odolnosti po celou dobu životního cyklu.

Klíčové požadavky

Nařízení stanoví základní požadavky, které musí dodržet výrobci, distributoři a provozovatelé produktů:

Bezpečnost už od návrhu

Dodržovat princip “secure by design” – aby byla bezpečnost součástí produktu již od samotného vývoje.

Řešení zranitelností

Výrobce musí analyzovat, oznamovat a opravovat zranitelnosti po celou dobu podpory.

Podpora aktualizací

Poskytování bezpečnostních oprav, aniž by uživatel musel investovat do nového hardwaru.

Informování uživatelů

Transparentnost ohledně doby podpory a způsobu hlášení zranitelností.

Posouzení shody

Produkty splňující požadavky označit „CE“ jako důkaz souladu s předpisy.

Škodlivé změny a kompatibilita

Pokud dojde k podstatné změně produktu, musí projít novým posouzením.

Nařízení ovlivní tyto subjekty

Výrobce digitálních produktů

včetně těch, kteří integrují software do hardwaru.

Vývojáře softwaru

zejména pokud software tvoří klíčovou část digitálního produktu.

Distributory a dovozce

uvádějící digitální produkty na evropský trh.

Uživatele a organizace

při výběru produktů. Nabývají právo zvolit bezpečné produkty s označením CE.

Kolik času máme na přípravu

Snaha EU o posílení kybernetické bezpečnosti prostřednictvím regulace a spolupráce mezi členskými státy je zakotvena ve směrnici Evropského parlamentu a Rady (EU) NIS 2 . Transpozice směrnice do národního právního systému České republiky byla realizována zákonem 264/2025 Sb. o kybernetické bezpečnosti (nZoKB) .

Základní normativní rámec kybernetické bezpečnosti

více

CRA je nařízením, tedy právním aktem s přímou účinností, který nevyžaduje transpozici do národních právních řádů. Předpokládáme však, že členské státy budou potřebovat upravit své předpisy, aby bylo možné pravidla CRA plně implementovat.

Na přípravu je čas do 11. prosince 2027, avšak již od 11. září 2026 budou muset výrobci hlásit každou aktivně zneužívanou zranitelnost svých digitálních produktů.

S implementací CRA umíme pomoci

Efektivní kybernetická odolnost se neobejde bez kvalitních systémů řízení. Našim zákazníkům nabízíme konzultace, audity i školení k CRA. Pomůžeme integrovat nové požadavky do stávajících systémů řízení s doporučeným postupem:

Gap analýza – porovnáme současný stav s požadavky CRA a identifikujeme nedostatky.
Návrh a zavedení bezpečnostního rámce – integrace požadavků integrace požadavků CRA do procesů řízení zranitelností, konfigurace, aktualizací a dokumentace.
Návrh opatření – nastavíme procesy pro vývoj bezpečného softwaru, správu aktualizací, hlášení incidentů, testování a lidský dohled.
Školení – připravíme vaše zaměstnance na nové povinnosti a praktické postupy.
Monitoring a audit – zajistíme průběžné vyhodnocování shody, interní audity a přípravu na kontroly dozorových orgánů.