01Co je CRA
Akt o kybernetické odolnosti je prvním celounijním zákonem, který stanoví povinné požadavky na kybernetickou bezpečnost pro produkty s digitálními prvky; hardware a software; po celý jejich životní cyklus. Přenáší odpovědnost za bezpečnost na organizace, které tyto produkty uvádějí na trh, místo aby ji ponechával na uživatelích. Art. 1
V praxi smí být produkt dodán na trh EU pouze tehdy, splňuje-li základní požadavky stanovené v příloze I a splnil-li výrobce povinnosti s ním spojené. Soulad je signalizován Označení CE.
Pokud má váš produkt digitální prvky a dostává se na trh EU, musí být navržen, sestaven a udržován podle stanoveného standardu kybernetické bezpečnosti; a musíte to být schopni prokázat.
02Na koho se vztahuje
Nařízení se vztahuje na produkty s digitálními prvky, jejichž zamýšlené nebo důvodně předvídatelné použití zahrnuje přímé nebo nepřímé datové připojení. Povinnosti jsou rozděleny v rámci dodavatelského řetězce: Art. 13–28
- Výrobci; nesou hlavní povinnosti: návrh, dokumentaci, posuzování shody a řešení zranitelností.
- Dovozci; smějí uvádět na trh pouze produkty splňující požadavky a musí ověřit, že byly splněny povinnosti výrobce.
- Distributoři; musí jednat s náležitou péčí a ověřit, že je přítomno označení CE a dokumentace.
Produkty, na něž se již vztahují odvětvová pravidla; jako jsou zdravotnické prostředky, motorová vozidla a civilní letectví; jsou vyloučeny, stejně jako nekomerční open-source komponenty.
03Třídy produktů
Požadovaný postup posuzování shody závisí na tom, jak kritický produkt je. Většina produktů provádí samoposouzení; na kategorie s vyšším rizikem uvedené v přílohách se vztahují přísnější postupy. Art. 6–7 · Annex III–IV
| Třída | Příklady | Postup posuzování shody |
|---|---|---|
| Výchozí | Většina produktů s digitálními prvky | Samoposouzení |
| Významný; I | Správci hesel, správa sítě, VPN | Normy nebo třetí strana |
| Významný; II | Operační systémy, firewally, mikroprocesory | Posouzení třetí stranou |
| Kritický | Inteligentní měřiče, čipové karty, bezpečnostní prvky | Povinná certifikace |
04Klíčové povinnosti
Základní požadavky v příloze I se dělí do dvou skupin; vlastnosti, které produkt musí mít, a procesy, které výrobce musí provozovat. Příloha I
- Bezpečnost v návrhu a ve výchozím nastavení; dodávaný s bezpečnou konfigurací a minimalizovaným prostorem pro útok.
- Žádné známé zneužitelné zranitelnosti; dodávaný bez známých zneužitelných nedostatků.
- Řešení zranitelností; proces k identifikaci, dokumentaci, nápravě a zveřejnění problémů.
- Bezpečnostní aktualizace; bezplatné a včasné aktualizace po celé stanovené období podpory.
- Soupis materiálů softwaru; udržovat SBOM zahrnující komponenty produktu.
- Oznamování; oznamovat aktivně zneužívané zranitelnosti a závažné incidenty agentuře ENISA a příslušnému CSIRT, s včasným varováním do 24 hodin.
05Harmonogram a sankce
Akt je již v platnosti; jeho povinnosti se postupně zavádějí v následujících letech. Art. 71
- Říjen 2024Přijato a podepsáno do podoby zákona.
- Prosinec 2024Vstoupilo v platnost.
- Září 2026Uplatní se oznamovací povinnosti (21 měsíců po vstupu v platnost).
- Prosinec 2027Plná použitelnost; uplatní se většina ustanovení (36 měsíců).
Nesoulad se základními požadavky může vést k pokutám až do výše 15 milionů € nebo 2,5 % celkového celosvětového ročního obratu, podle toho, která hodnota je vyšší.
06Co dělat dál
Začněte ověřením, zda se akt na váš produkt vztahuje, a poté postupujte podle pokynů určených pro vaši roli.