Cyber Resilience Act: Nové povinnosti pre digitálne produkty od septembra 2026

Cyber Resilience Act: Nové povinnosti pre digitálne produkty od septembra 2026

Čo je Cyber Resilience Act

Nariadenie EÚ 2024/2847, známe ako Cyber Resilience Act (CRA), stanovuje povinné požiadavky na kybernetickú bezpečnosť pre hardvérové a softvérové produkty s digitálnymi prvkami — teda prakticky všetko, čo sa pripája na sieť. Od IoT zariadení cez firemný softvér až po sieťové komponenty a zabudované systémy.

CRA vstúpilo do platnosti 10. decembra 2024. Väčšina povinností sa začne uplatňovať 11. decembra 2027, no prvá kľúčová povinnosť prichádza už o štyri mesiace — 11. septembra 2026.

Čo sa mení od septembra 2026

Od 11. septembra 2026 musia výrobcovia digitálnych produktov hlásiť aktívne zneužívané zraniteľnosti a závažné incidenty prostredníctvom jednotnej reportovacej platformy agentúry ENISA. Lehoty sú prísne:

  • 24 hodín na prvotné varovanie
  • 72 hodín na hlavné hlásenie
  • 14 dní na záverečnú správu po dostupnosti nápravného opatrenia

Povinnosť hlásenia sa vzťahuje aj na produkty, ktoré boli na trh uvedené pred nadobudnutím plnej účinnosti nariadenia. Ak výrobca predal softvér v roku 2020 a v roku 2026 sa objaví aktívne zneužívaná zraniteľnosť, musí ju nahlásiť.

Kategórie produktov

CRA rozlišuje štyri kategórie podľa miery rizika:

  • Predvolené produkty — sebahodnotenie výrobcom (modul A)
  • Dôležité produkty triedy I — sebahodnotenie iba pri použití harmonizovaných noriem, inak hodnotenie treťou stranou
  • Dôležité produkty triedy II — povinné hodnotenie treťou stranou
  • Kritické produkty — povinné hodnotenie treťou stranou alebo certifikačná schéma EÚ

Konkrétne zaradenie produktov definuje vykonávacie nariadenie EÚ 2025/2392.

Čo to znamená pre IT oddelenia

CRA primárne zaväzuje výrobcov, importérov a distribútorov. No pre IT oddelenia, ktoré tieto produkty nakupujú a prevádzkujú, prináša zásadnú zmenu — CE označenie bude po novom potvrdzovať aj kybernetickú bezpečnosť produktu.

V praxi to znamená:

  • Revíziu dodávateľských zmlúv — požadovať od dodávateľov preukázanie CRA súladu, najmä pre kritické komponenty
  • Aktualizáciu due diligence — zaradiť CRA compliance medzi kritériá výberu dodávateľov
  • Sledovanie podporných lehôt — výrobcovia musia uviesť koniec podpory vrátane mesiaca a roka; bezpečnostné aktualizácie musia byť dostupné minimálne 10 rokov
  • Monitorovanie hlásení dodávateľov — overiť, že dodávatelia plnia ohlasovaciu povinnosť voči ENISA

Ako sa pripraviť

Do septembra 2026 odporúčame:

  1. Zmapovať portfólio digitálnych produktov a identifikovať dodávateľov v rozsahu CRA
  2. Začať dialóg s dodávateľmi o ich pripravenosti na plnenie reportovacích povinností
  3. Zakomponovať CRA požiadavky do interných nákupných smerníc
  4. Prepojiť CRA s existujúcimi procesmi NIS2 — nariadenie dopĺňa rámec, ktorý NIS2 vytvára na úrovni organizácií

CRA je ďalší stavebný kameň kybernetickej bezpečnosti EÚ. Pre organizácie, ktoré už pracujú na NIS2 súlade, je prirodzeným rozšírením — tentoraz smerom k dodávateľskému reťazcu a produktom, na ktorých ich služby závisia.

Potrebujete pomôcť s touto témou?

Kontakt