V září tohoto roku nabude účinnosti první závazná část nového evropského nařízení Cyber Resilience Act, které mění pravidla pro vývoj a prodej produktů s digitálními prvky (tedy softwaru i hardwaru obsahujícího software) na trhu EU a pro softwarové firmy přináší nové povinnosti. CRA ale není jen další regulatorní zátěž – vývojáři díky tomu získají lepší přehled o bezpečnosti svých produktů.
Co je CRA a proč je důležitý?
Akt o kybernetické odolnosti (Cyber Resilience Act, CRA) je nařízení Evropské unie, které zavádí povinné požadavky na kybernetickou bezpečnost široké škály produktů s digitálními prvky (Products with digital elements, PDE). Toto nařízení přenáší hlavní odpovědnost za kybernetickou bezpečnost přímo na výrobce a distributory, kteří budou muset garantovat bezpečnost produktů po celou dobu jejich životního cyklu.
Na koho se CRA vztahuje?
Nařízení se vztahuje na hospodářské subjekty, které uvádějí na trh EU produkty s digitálními prvky. Patří sem výrobci (včetně vývojářů softwaru a aplikací), zplnomocnění zástupci, dovozci a distributoři.
Produktem s digitálními prvky se rozumí jak samostatný software (např. aplikace, knihovna nebo firmware), tak hardware, který obsahuje software nebo se k němu připojuje (např. chytré zařízení, IoT senzor nebo router). Je-li na evropský trh umístěný PDE připojitelný (stačí i potenciálně) do počítačové sítě nebo k jinému zařízení, s nejvyšší pravděpodobností se na něj CRA vztahuje.
Harmonogram a přechodná období
Ačkoliv CRA vstoupil v platnost koncem roku 2024, účinnosti nabývá po fázích. Klíčové povinnosti pro výrobce začnou platit na podzim 2026 a hlavní část nařízení začne být vymahatelná od 11. prosince 2027.
Od konce roku 2025 jsou k dispozici praktické implementační materiály.
Co musí subjekty splnit, aby vyhověli požadavkům CRA?
1. Hlášení zranitelností a incidentů
Výrobci produktů s digitálními prvky jsou od 11. září 2026 povinni hlásit aktivně zneužívané zranitelnosti a závažné incidenty. Hlášení se podává pouze jednou přes Jednotnou platformu pro hlášení (SRP) spravovanou agenturou ENISA, která data okamžitě sdílí s národním úřadem (v ČR NÚKIB).
V souvislosti s přísnými třístupňovými lhůtami (včasné varování do 24 hodin, detailnější zpráva do 72 hodin a závěrečná zpráva do 14 dnů od opravy zranitelnosti / do 1 měsíce od incidentu) musí firmy kompletně přepracovat své procesy detekce a reakce na incidenty (Incident Response).
Příklad: Pokud výrobce zjistí, že je v jeho produktu aktivně zneužívána zranitelnost (např. útočníci ji využívají k získání neoprávněného přístupu) – ať se jedná o chytrý domácí termostat, mobilní aplikaci (např. hru) nebo webový informační systém – musí podat včasné varování přes SRP. Následuje podrobnější zpráva s popisem závažnosti a dopadu zranitelnosti, a jakmile výrobce vydá opravu (patch), podá závěrečnou zprávu shrnující celý incident a způsob řešení.
2. Bezpečnost při návrhu a vývoji (Security by Design)
Výrobci musí plně integrovat bezpečnostní procesy přímo do životního cyklu vývoje. Je nutné začlenit do procesů systémy na generování softwarových kusovníků (SBOM), nasadit nástroje pro statickou a dynamickou analýzu zranitelností a opustit architektury spoléhající se na výchozí neměnná hesla či nesnadno aktualizovatelné knihovny.
SBOM (Software Bill of Materials) je strukturovaný seznam všech komponent, ze kterých se software skládá – včetně knihoven třetích stran, open-source závislostí, jejich verzí a licencí. Díky SBOM má výrobce i zákazník přehled o tom, co produkt obsahuje, a může rychle identifikovat, zda některá ze závislostí obsahuje známou zranitelnost.
3. Průběžná správa zranitelností
CRA požaduje, aby výrobci řídili bezpečnostní rizika v jimi vytvářených systémech, průběžně identifikovali zranitelnosti, které jejich produkty postihují, a poskytovali pro ně bezpečnostní záplaty.
Zavedení důkladné správy zranitelností není jen splněním regulatorního požadavku – je to také investice do kvality a důvěryhodnosti vlastního produktu. Systematické sledování, vyhodnocování a odstraňování bezpečnostních nedostatků přímo snižuje pravděpodobnost úspěšného útoku na váš systém. Výsledkem je odolnější software, méně bezpečnostních incidentů a v neposlední řadě lepší ochrana dat vašich uživatelů.
4. Transparentnost vůči uživatelům
Výrobci jsou povinni poskytovat jasné a srozumitelné informace o bezpečnosti produktu. Uživatel musí předem jasně vědět, jak dlouho bude produkt dostávat bezpečnostní aktualizace a na koho se obrátit v případě nálezu zranitelnosti.
Samotný softwarový kusovník (SBOM) sice výrobci nemusí zveřejňovat plošně všem zákazníkům, jsou ale povinni jej vytvořit a mít připravený pro kontrolu ze strany dozorových úřadů.
S požadavky na transparentnost a předkládání SBOM (zpravidla pod smlouvou o mlčenlivosti) se již dnes vývojáři běžně setkávají u firemních zákazníků v citlivých oblastech, jako jsou zdravotnictví, kritická infrastruktura nebo automobilový průmysl. CRA tento tlak na transparentnost v dodavatelském řetězci ještě více posílí.
5. Posuzování shody a označení CE (od prosince 2027)
Produkty ponesou označení CE jako důkaz souladu s požadavky CRA. U rizikovějších produktů (jako jsou firewally, operační systémy či routery) však bude vyžadováno nezávislé posouzení třetí stranou ještě předtím, než bude produkt vůbec vpuštěn na trh EU.
6. Pravidlo „podstatné úpravy"
CRA zavádí také tzv. pravidlo podstatné úpravy, které chrání před obcházením nařízení. Pokud výrobce po 11. prosinci 2027 provede na stávajícím produktu rozsáhlejší zásah (například přidá novou funkcionalitu, změní architekturu nebo aktualizuje jádro systému), je takový produkt považován za nový a musí okamžitě splňovat všechny požadavky CRA. Běžné bezpečnostní aktualizace a opravy chyb se však za podstatnou úpravu nepovažují a u starších produktů je lze provádět bez nové certifikace.
Jaké jsou postihy za nedodržení?
Za nedodržení povinností hrozí v rámci EU vysoké finanční postihy vymáhané národními orgány:
Kromě finančních sankcí hrozí také zákaz prodeje produktů, které nesplňují požadavky, na celém trhu EU.
CRA obsahuje speciální ochranné pravidlo pro mikro, malé a střední podniky (včetně startupů). Pokud pravidla poruší menší firma, národní dozorový orgán je při stanovování výše pokuty ze zákona povinen prioritně přihlédnout k velikosti podniku, jeho tržnímu podílu a hospodářské síle. Procentuální stropy z obratu tak u nich slouží jako absolutní teoretické maximum, nikoliv jako běžný standard pro vyměřování pokut.
Shrnutí: Co udělat teď?
Přípravu na CRA se vyplatí rozdělit do dvou fází podle toho, jak budou nová pravidla nabývat účinnosti:
Fáze 1: Do září 2026 (Povinné hlášení)
Fáze 2: Do prosince 2027 (Bezpečný produkt a certifikace)
CRA není jen formalita – jde o zásadní posun v tom, jak EU přistupuje ke kybernetické bezpečnosti produktů. Firmy, které začnou s přípravami včas, se vyhnou nejen pokutám, ale také reputačnímu poškození.