Nařízení (EU) 2024/2847 – akt o kybernetické odolnosti (CRA)

Nařízení (EU) 2024/2847 – akt o kybernetické odolnosti (Cyber Resilience Act, CRA) je nové unijní nařízení, které zavádí horizontální požadavky v oblasti kybernetické bezpečnosti pro „produkty s digitálními prvky“. Bylo přijato v říjnu 2024 a po přechodných obdobích začne od konce roku 2027 platit přímo ve všech zemích EU. Pokud působíte jako manažer v průmyslu – ať už odpovídáte za údržbu, nákup nebo compliance – vyplatí se už nyní pochopit, na které produkty se toto nařízení vztahuje, jaké nové povinnosti ukládá výrobcům, dovozcům a distributorům a jak firmu na nadcházející změny připravit. Níže uvádíme klíčové informace v praktickém pojetí, bez právnického žargonu, ale s technickou přesností – tak, aby usnadnily přijetí správných přípravných kroků.

Rozsah působnosti: na které produkty se akt o kybernetické odolnosti vztahuje?

Nařízení (EU) 2024/2847 se týká všech „produktů s digitálními prvky“ uváděných na trh EU, jejichž předpokládané použití zahrnuje připojení k jinému zařízení nebo síti (přímo či nepřímo, fyzicky nebo logicky). Jinými slovy, novým požadavkům podléhá většina zařízení nebo softwaru, které mohou komunikovat s jinými systémy. V praxi půjde mimo jiné o zařízení IoT a spotřební elektroniku (např. chytré hodinky, mobilní telefony, chytré domácí spotřebiče a elektroniku, elektronické chůvičky), nositelná zařízení (např. fitness náramky), průmyslová zařízení se síťovými funkcemi (senzory a průmyslové stroje připojené k síti) a různý software (operační systémy, mobilní a počítačové aplikace, podnikový software apod.). Důležité je, že samostatně prodávaný software (jako produkt) rovněž spadá pod CRA, stejně jako služby vzdáleného zpracování dat, které tvoří nedílnou součást produktu – například cloudová služba ovládající zařízení chytré domácnosti bude považována za součást produktu a musí splňovat bezpečnostní požadavky.

Nařízení má velmi široký záběr, ale zároveň stanoví výjimky pro určité kategorie výrobků, které už podléhají vlastním sektorovým předpisům. CRA se nevztahuje mimo jiné na: zdravotnické prostředky (na které se vztahují nařízení MDR 2017/745 a 2017/746), vozidla a jejich vybavení (na která se vztahuje mimo jiné nařízení 2019/2144 v oblasti schvalování vozidel), letadla (nařízení 2018/1139 pro oblast letectví) ani námořní zařízení (směrnice 2014/90/EU). Tyto produkty mají samostatnou regulaci, která často již obsahuje požadavky přizpůsobené danému odvětví, a proto byly z působnosti CRA vyňaty. Nové předpisy se dále nevztahují na hardware a software určený výhradně pro vojenské účely nebo pro národní bezpečnost (ani na zpracování utajovaných informací). Vyloučeny jsou také náhradní díly dodávané jako náhrada za totožné komponenty – pokud byl původní produkt legálně uveden na trh, nemusí totožný díl samostatně splňovat CRA.

Za zmínku stojí, že tzv. svobodný a open source software nebude pod CRA spadat, pokud není poskytován v rámci obchodní činnosti. Pokud je tedy daný software vyvíjen a zveřejňován bezplatně, mimo tržní oběh, jeho tvůrci (např. open source komunita) nejsou považováni za „výrobce“ ve smyslu nařízení a nevztahují se na ně níže popsané povinnosti. Pokud by však firma použila open source komponentu ve svém komerčním výrobku, odpovědnost za splnění bezpečnostních požadavků nese výrobce finálního produktu. Stručně řečeno, CRA míří především na profesionálně vyvíjené a prodávané digitální produkty, které se dostávají ke koncovým uživatelům na vnitřním trhu EU.

Proč bylo CRA zavedeno? Nové hrozby, regulační mezera a dodavatelský řetězec

Evropská unie rozpoznala naléhavou potřebu posílit kybernetickou odolnost digitálních produktů vůči rostoucím hrozbám. V posledních letech počet i rozmanitost zařízení připojených k internetu prudce vzrostly – od průmyslových systémů IoT ve výrobních závodech až po chytrá zařízení v domácnostech. Bohužel je úroveň kybernetické bezpečnosti těchto produktů často nízká, což se projevuje rozšířenými zranitelnostmi i nedostatečným a nejednotným poskytováním bezpečnostních aktualizací. Mnoho výrobců dosud neupřednostňovalo bezpečnost v celém životním cyklu výrobku a uživatelé často nemají povědomí ani informace o tom, která zařízení jsou bezpečná, jak dlouho budou podporována aktualizacemi a jak je bezpečně používat. Tato kombinace faktorů vede ke zvýšenému riziku kybernetických útoků.

Akt o kybernetické odolnosti má zaplnit regulační mezeru – dosud na úrovni EU chyběly jednotné a závazné požadavky na digitální bezpečnost produktů. Existovaly sice iniciativy, jako jsou certifikace bezpečnosti ICT (na základě Aktu o kybernetické bezpečnosti 2019/881) nebo požadavky směrnice NIS2 pro kritická odvětví, žádný právní předpis však přímo neukládal povinnost „kybernetické bezpečnosti již od návrhu“ pro všechna zařízení a software uváděné na trh. CRA právě takový univerzální rámec vytváří – vyžaduje, aby hardware i software byly navrhovány, vyráběny a udržovány s ohledem na účinná ochranná opatření po celý životní cyklus. Cílem je, aby se na trh dostávaly produkty s menším počtem zranitelností a aby výrobci zajišťovali rychlé odstraňování nových hrozeb (např. bezpečnostními záplatami), místo toho, aby uživatele nechávali s děravými zařízeními.

Otázka kybernetické odolnosti má také rozměr dodavatelského řetězce a přeshraniční dopad. V době, kdy je vše propojeno se vším, se incident v jednom, zdánlivě nevýznamném zařízení může stát vektorem útoku na celou organizaci nebo obchodní partnery. Jeden infikovaný IoT senzor ve výrobní hale může otevřít cestu do podnikové sítě; zranitelnost v rozšířené aplikaci může být během několika minut zneužita globálně. Jak bylo zdůrazněno v odůvodnění nařízení, kybernetický incident v jednom produktu se může v dodavatelském řetězci rozšířit za hranice jedné země během několika minut. Náklady takových útoků nenesou jen výrobci a uživatelé, ale i celá společnost – narušení kritické infrastruktury, finanční ztráty, ohrožení veřejné bezpečnosti. Společná a závazná pravidla v celé EU mají zvýšit celkovou úroveň ochrany a zabránit situaci, kdy nejslabší článek (neodolný produkt) ohrožuje všechny.

Dalším motivem je posílení důvěry v digitální produkty a vyrovnání podmínek hospodářské soutěže. V současnosti výrobci, kteří investují do bezpečnosti již od návrhu, často cenově prohrávají s těmi, kteří tyto otázky ignorují. CRA má zajistit, aby se kybernetická bezpečnost stala standardem kvality – všichni budou muset splnit minimální požadavky, což vyrovná podmínky a sníží společenské náklady útoků (které jsou dnes přenášeny na oběti). Výsledkem má být vyšší odolnost celého trhu EU a větší důvěra zákazníků v moderní zařízení s digitálními prvky. Akt zároveň zapadá do širší strategie EU (spolu s GDPR, NIS2, DORA apod.), jejímž cílem je posílit kybernetickou bezpečnost služeb a produktů jako základ digitální ekonomiky.

Nařízení (EU) 2024/2847: Hlavní povinnosti výrobců, dovozců a distributorů

Nové nařízení zavádí řadu konkrétních povinností pro hospodářské subjekty zapojené do dodavatelského řetězce produktů s digitálními prvky. Rozsah odpovědnosti závisí na roli – nejvíce požadavků se vztahuje na výrobce, ale důležité úkoly mají také dovozci a distributoři. Níže shrnujeme klíčové povinnosti z pohledu manažera, který odpovídá za soulad produktů firmy s předpisy.

Povinnosti výrobců

Výrobce (stejně jako subjekt, který uvádí produkt na trh pod vlastní značkou nebo jej upravuje – i ten je považován za výrobce) nese hlavní odpovědnost za splnění požadavků CRA. Mezi jeho nejdůležitější úkoly patří:

• Zajištění souladu výrobku se základními požadavky na kybernetickou bezpečnost stanovenými v příloze I nařízení. V praxi to znamená, že výrobek už ve fázi návrhu a konstrukce musí mít vlastnosti zajišťující odpovídající úroveň digitální bezpečnosti, přiměřenou riziku spojenému s daným výrobkem. Nařízení uvádí řadu konkrétních technických požadavků – mimo jiné neexistenci známých zranitelností v okamžiku uvedení na trh, používání bezpečného výchozího nastavení (např. vyhnout se výchozím heslům), šifrování tam, kde je to vhodné, ochranu před neoprávněným přístupem, ochranu osobních údajů uživatele, odolnost vůči útokům narušujícím funkce (např. útokům DoS) a možnost provést obnovení továrního nastavení. Výrobek by měl být navržen tak, aby co nejvíce omezoval svůj „povrch útoku“ – např. aby neměl zbytečně otevřené porty nebo služby, které zvyšují vystavení kybernetickým hrozbám. Tyto základní požadavky (část I přílohy I CRA) představují kontrolní seznam bezpečnostních vlastností, které musí splňovat každý digitální výrobek.
• Zavedení procesu řešení zranitelností a incidentů – výrobce musí aktivně pečovat o bezpečnost výrobku i po jeho prodeji, po celou deklarovanou dobu podpory. V části II přílohy I jsou stanoveny požadavky na proces řešení zranitelností (vulnerability handling): pravidelné testování a monitorování z hlediska nových slabin, přijímání hlášení o zranitelnostech (např. od výzkumníků nebo uživatelů) a rychlé odstraňování/záplatování zjištěných zranitelností prostřednictvím poskytování bezpečnostních aktualizací. Výrobce musí mít politiku koordinovaného zveřejňování zranitelností (coordinated disclosure) – tedy určené kontaktní místo, kam lze problémy hlásit, a postupy, jak na tato hlášení reagovat. Důležité je, aby aktualizace odstraňovaly zranitelnosti bez zbytečného odkladu a byly distribuovány bezpečným způsobem (např. digitálně podepsané). Podstatné je také to, že výrobce je povinen zajistit podporu a bezpečnostní aktualizace po dobu odpovídající předpokládanému životnímu cyklu výrobku, minimálně 5 let (ledaže povaha výrobku odůvodňuje kratší dobu). Jinými slovy, pokud má naše zařízení zákazníkům běžně sloužit přibližně 5+ let, nemůžeme po roce nebo dvou přestat vydávat záplaty – bude vyžadována několikaletá poprodejní podpora, aby uživatel nezůstal s děravým zařízením.
• Provádění posouzení rizik kybernetické bezpečnosti – před uvedením výrobku s digitálními prvky na trh musí výrobce provést systematickou analýzu rizik souvisejících s kybernetickými hrozbami pro tento výrobek. Posouzení rizik by mělo být součástí procesu návrhu (security by design) a zohledňovat mimo jiné předpokládané použití výrobku, možné nesprávné použití, podmínky používání (IT prostředí, síť, typ dat, která zařízení zpracovává). Na základě této analýzy je třeba naplánovat vhodná ochranná opatření a zohlednit je v konstrukci. Dokumentace k posouzení rizik v kyberprostoru se stává součástí technické dokumentace výrobku a musí být aktualizována, pokud se objeví nové hrozby. Výrobce je povinen uchovávat dokumentaci nejméně 10 let od uvedení výrobku na trh (a pokud je deklarovaná doba podpory delší než 10 let, pak odpovídajícím způsobem déle). Posouzení rizik není jednorázová činnost – mělo by být ověřováno a aktualizováno podle potřeby, zejména pokud jsou zjištěny nové zranitelnosti nebo se změní kontext používání výrobku.
• Dohled nad externími komponentami – výrobce musí při používání komponent třetích stran, včetně open source knihoven, postupovat s náležitou péčí. Je nutné zajistit, aby externí komponenty (softwarové i hardwarové) nenarušovaly kybernetickou bezpečnost celého výrobku. V praxi to znamená nutnost kontrolovat verze a aktualizace použitých knihoven, sledovat známé zranitelnosti (např. zveřejněné v CVE) v těchto komponentách a při výskytu slabin je aktualizovat nebo nahradit. Pokud byl ve výrobku použit open source software a je v něm zjištěna zranitelnost, výrobce má povinnost informovat subjekt odpovědný za údržbu tohoto open source (např. open source projekt) o vzniklém problému, a pokud zranitelnost odstraní vlastními silami – předat komunitě informace o provedené opravě. Cílem je zapojit výrobce do ekosystému koordinovaného záplatování zranitelností i v open source komponentách.
• Formální posouzení shody a dokumentace – než se výrobek dostane na trh, musí výrobce provést postup posouzení shody s požadavky CRA a vypracovat dokumentaci potvrzující splnění požadavků. U většiny „běžných“ výrobků (nezařazených do kategorie zvýšeného rizika) bude postačovat interní ověření (interní posouzení) a příprava technické dokumentace obsahující mimo jiné popis výrobku, výsledky analýzy rizik, seznam použitých bezpečnostních opatření, postupy testování a aktualizací apod. Následně výrobce vystaví EU prohlášení o shodě, ve kterém prohlašuje, že výrobek splňuje všechny použitelné požadavky CRA, a umístí na výrobek označení CE. Pozor: pokud byl daný výrobek z hlediska kybernetické bezpečnosti klasifikován jako „důležitý“ nebo „kritický“ (Annex III a IV CRA), mohou se na něj vztahovat přísnější postupy posouzení shody. U důležitých výrobků třídy II a kritických výrobků bude vyžadována certifikace třetí stranou, tedy zkouška a certifikát vydaný notifikovanou osobou (např. akreditovanou laboratoří). U důležitých výrobků třídy I je samocertifikace přípustná pouze tehdy, pokud existují odpovídající harmonizované normy, které výrobce použije – v opačném případě je rovněž nutná účast třetí strany. Manažer by si proto měl ujasnit, do které kategorie výrobek firmy patří a zda bude nutné naplánovat externí certifikaci (což může ovlivnit harmonogram uvedení výrobku na trh).
• Monitorování bezpečnosti po uvedení na trh a hlášení – novinkou zavedenou CRA je povinnost hlásit závažné bezpečnostní problémy příslušným orgánům. Výrobce musí oznámit každou aktivně zneužívanou zranitelnost svého výrobku a každý závažný incident mající dopad na bezpečnost výrobku národnímu CSIRT (reakčnímu týmu) určenému jako koordinátor a také agentuře ENISA. Lhůta pro oznámení je velmi krátká – činí 24 hodin od zjištění zranitelnosti/události (obdobně jako u požadavků GDPR nebo NIS2). Hlášení budou probíhat prostřednictvím jednotné evropské platformy provozované agenturou ENISA. Povinnost reportování začne platit dříve než ostatní požadavky (září 2026 – viz termíny níže) a od tohoto okamžiku se bude týkat všech výrobků na trhu. Výrobce proto musí mít interní postupy schopné odhalit incident nebo zranitelnost a do 24 hodin předat informace požadované nařízením. Cílem je poskytnout dozorovým orgánům přehled o vznikajících hrozbách a koordinovat reakci (např. varovat ostatní uživatele, pokud má daný výrobek kritickou zranitelnost).

Výše uvedené povinnosti často vyžadují výrazné organizační změny – od zavedení Secure SDLC v oddělení R&D přes nové zásady údržby a podpory produktů až po doplňkovou dokumentaci a školení personálu. Na oplátku firma získá větší jistotu, že se její výrobek nestane zdrojem závažného kybernetického incidentu, a zároveň splní požadavky připravované legislativy, což jí umožní pokračovat v prodeji na trhu EU.

Nařízení (EU) 2024/2847: Povinnosti dovozců a distributorů

Subjekty, které dovážejí produkty s digitálními prvky ze zemí mimo EU (dovozci) nebo je dále prodávají na unijním trhu (distributoři), musí rovněž dbát na soulad těchto výrobků s CRA. Jejich role spočívá především v ověření souladu a reakci na případné neshody.

Dovozce musí před uvedením produktu na trh EU ověřit, zda výrobce splnil své povinnosti – jinými slovy, zda je produkt opatřen požadovaným CE a EU prohlášením o shodě, zda jsou přiloženy návody a bezpečnostní informace a zda výrobce vypracoval požadovanou technickou dokumentaci. Dovozce nemusí sám testovat kybernetickou bezpečnost produktu, ale pokud má odůvodněné pochybnosti o souladu výrobku s požadavky (např. chybí označení CE, informace o době podpory apod.), neměl by takový produkt zpřístupnit na trhu, dokud se neujistí, že byla neshoda odstraněna. Pokud zjistí, že produkt nesplňuje požadavky CRA, je povinen informovat orgány dozoru a přijmout nápravná opatření – zajistit uvedení produktu do souladu, a pokud to není možné, stáhnout jej z oběhu nebo z trhu. Dovozci musí stejně jako výrobci uchovávat kopii prohlášení o shodě a zajistit, aby byla technická dokumentace na vyžádání dostupná příslušným orgánům. Měli by také uvést na produktu (nebo obalu) své kontaktní údaje a zajistit, aby byl produkt řádně označen. V praxi role dovozce funguje jako bezpečnostní brána – má zabránit distribuci produktů v EU, pokud nemají „papíry“ prokazující splnění požadavků CRA.

Distributoři (tuzemští velkoobchodníci, maloobchodní prodejci apod.) jsou v podobné situaci jako dovozci, s tím rozdílem, že ověřují splnění požadavků jak u výrobce, tak případně i u dovozce, pokud produkt pochází ze země mimo EU. Distributor by proto měl před dalším prodejem zkontrolovat, zda je zboží opatřeno značkou CE, zda je přiloženo prohlášení nebo návody vyžadované právními předpisy a zda nebyla veřejně zveřejněna oznámení o tom, že daný model není v souladu s bezpečnostními požadavky. V případě pochybností je rovněž povinen prodej pozastavit, dokud se věc nevyjasní. Pokud usoudí (nebo je informován), že produkt představuje závažné riziko nebo nesplňuje požadavky CRA, měl by o tom informovat výrobce nebo dovozce i orgány dozoru a spolupracovat na nápravných opatřeních (např. při akcích stahování z trhu).

Z pohledu manažera nákupu tato pravidla znamenají nutnost větší obezřetnosti při výběru dodavatelů hardwaru a softwaru. Je třeba se ujistit, že obchodní partneři mimo EU dodávají produkty již v souladu s CRA, protože jinak naše společnost (jako dovozce) ponese odpovědnost za nedostatky. Pro distributora (např. firmu obchodující s průmyslovou automatizací) navíc vzniká povinnost sledovat, zda produkty různých značek v jeho nabídce mají aktuální prohlášení o shodě a splňují požadavky – v praxi to bude vyžadovat úzkou spolupráci s výrobci a rychlou reakci na veškerá bezpečnostní upozornění týkající se prodávaných zařízení.

Za zmínku stojí: pokud dovozce nebo distributor uvádí produkt na trh pod vlastním logem nebo značkou anebo produkt upravuje (např. mění jeho funkčnost, software nebo konfiguraci způsobem podstatným z hlediska kybernetické bezpečnosti), pak se podle nařízení sám stává výrobcem tohoto výrobku. V takovém případě musí převzít veškeré povinnosti výrobce (provést posouzení shody, vystavit vlastní prohlášení atd.). Tato situace se týká například firem integrujících systémy, které prodávají zařízení OEM pod vlastní značkou – musí být velmi obezřetné, protože z formálního hlediska odpovídají za shodu stejně jako původní výrobce.

Termíny vstupu v platnost a přechodná období

Nařízení (EU) 2024/2847 bylo zveřejněno v Úředním věstníku 20. listopadu 2024. V platnost vstoupilo 10. prosince 2024 (20 dní od zveřejnění), avšak hlavní povinnosti začnou platit až po 36 měsících od tohoto data. Zákonodárce totiž stanovil dlouhé přechodné období, aby měl obor dostatek času na přizpůsobení. Klíčová data jsou následující:

• 11. září 2026 – od tohoto dne začnou platit povinnosti hlášení zranitelností a incidentů. Výrobce každého produktu s digitálními prvky, který je na trhu EU, bude muset příslušným orgánům oznamovat všechny aktivně zneužívané zranitelnosti i závažné bezpečnostní incidenty týkající se jeho výrobku. Toto datum připadá na 21 měsíců od vstupu CRA v platnost a znamená, že už v roce 2026 musí mít firmy zavedené postupy pro monitorování bezpečnosti a hlášení problémů. Nezáleží přitom na tom, kdy byl produkt uveden na trh – týká se to i výrobků prodaných před rokem 2026, které se stále používají. Jinými slovy, i když bylo zařízení uvedeno na trh například v roce 2025 (ještě před použitelností nařízení) a v září 2026 se u něj odhalí kritická zranitelnost, výrobce má povinnost ji nahlásit a odstranit.
• 11. června 2026 – od tohoto dne mají začít platit ustanovení týkající se notifikovaných osob a subjektů posuzování shody. Členské státy do poloviny roku 2026 připraví systém určování a notifikace subjektů, které budou oprávněny certifikovat produkty (důležité a kritické) z hlediska splnění požadavků CRA. Pro výrobce je podstatné, aby ve druhé polovině roku 2026 už byla k dispozici infrastruktura pro provádění požadovaných zkoušek a certifikace.
• 11. prosince 2027 – plná použitelnost nařízení CRA. Od tohoto dne nesmí být na území EU legálně uveden na trh žádný produkt s digitálními prvky, který nesplňuje požadavky CRA. Tento termín (3 roky od vstupu v platnost) je krajním datem pro přizpůsobení produktů a procesů. Po 11. 12. 2027 musí být všechna nová zařízení a software prodávané v EU navrženy, vyrobeny a udržovány v souladu s CRA – jinak se firma vystavuje závažným sankcím. Je vhodné zdůraznit, že předpisy počítají s určitou úlevou pro výrobky, které už jsou na trhu: pokud byl daný produkt (konkrétní kus) již dodán na trh před 11. prosincem 2027, může zůstat v oběhu i bez splnění CRA. To se však týká pouze jednotlivých kusů – typ produktu navržený před CRA tím automaticky nezískává výjimku. Každá nová série, každý nový kus uváděný do prodeje po tomto datu musí být v souladu s CRA, ledaže se již fyzicky nacházel v oběhu dříve (což v praxi znamená například sklad u distributora, který zboží nakoupil ještě před tímto termínem). Pravidla tedy nelze obejít tím, že se bude vyrábět „do zásoby“ a prodávat až po roce 2027 – každý produkt v okamžiku uvedení na trh podléhá aktuálním požadavkům. Výjimkou jsou ještě platné certifikáty EU přezkoušení typu vydané před tímto datem podle jiných předpisů – zůstanou platné do června 2028, pokud nebyla stanovena kratší lhůta.

Pro firmy z toho prakticky vyplývá, že skutečný deadline je konec roku 2027. Od roku 2028 už nebude možné v EU prodávat zařízení, která nesplňují požadavky CRA. Už v roce 2026 však musí být podniky připraveny na nové povinnosti v oblasti hlášení incidentů. Zbývající čas je potřeba využít k analýze a úpravě produktů. Ačkoli se 3 roky mohou na první pohled zdát jako dlouhá doba, změny mohou být zásadní – je lepší začít s přípravou s předstihem. Níže uvádíme kontrolní seznam kroků, které by měl manažer zvážit při přípravě své organizace na splnění požadavků aktu o kybernetické odolnosti.

Nařízení (EU) 2024/2847: Jak se připravit na roky 2026/2027 – checklist pro manažera

• Identifikujte produkty spadající pod CRA – Sestavte seznam firemních výrobků, které jsou „produkty s digitálními prvky“ (hardware nebo software připojující se k síti či k jiným zařízením). U každého určete, zda může být podle nařízení považován za důležitý nebo kritický ve smyslu nařízení (Annex III/IV) – např. zda plní zásadní bezpečnostní funkce nebo zda jeho kompromitace může způsobit rozsáhlé škody. Na této klasifikaci mimo jiné závisí požadovaný postup posouzení shody (tedy i to, zda bude nutné zapojení třetí strany).
• Seznamte se s požadavky a normami – Projděte si základní požadavky na kybernetickou bezpečnost z přílohy I CRA a vztáhněte je na své produkty. Ověřte, zda již existují odpovídající harmonizované normy nebo oborové standardy, které mohou splnění požadavků usnadnit (např. normy z řady IEC 62443 pro zabezpečení systémů průmyslové automatizace mohou být užitečné při návrhu zabezpečení strojů). Sledujte také vývoj v oblasti normalizace – mohou se objevit pokyny, které usnadní zavedení požadavků CRA ve vašem oboru.
• Proveďte analýzu mezer (gap analysis) – Porovnejte aktuální stav svých produktů a procesů s novými požadavky. Posuďte, do jaké míry současná úroveň zabezpečení splňuje požadavky (např. zda zařízení mají mechanismy autentizace, šifrování, bezpečné aktualizace apod.). Analyzujte také proces vývoje softwaru ve firmě – zda se uplatňují zásady secure coding, zda se provádějí penetrační testy a jak rychle reagujete na nahlášené zranitelnosti. Identifikujte nedostatky a oblasti ke zlepšení v organizaci (postupy) i v technologiích (bezpečnostní funkce).
• Přizpůsobte návrh a vývoj produktů – Pokud analýza mezer odhalí nedostatky, naplánujte zavedení chybějících mechanismů a postupů. Může to zahrnovat změny v architektuře produktu (např. doplnění šifrovacího modulu, zabezpečení komunikačních rozhraní), rozšíření procesu SDLC (Software Development Life Cycle) o prvky threat modelingu, bezpečnostně zaměřeného code review, fuzzing testy apod., stejně jako zavedení nových politik bezpečnosti produktu. Ujistěte se, že tým R&D vnímá kybernetickou bezpečnost jako návrhový požadavek na stejné úrovni jako funkčnost – nařízení vyžaduje přístup „security by design/default“.
• Naplánujte systém aktualizací a podpory – Prověřte, zda je vaše firma připravena poskytovat podporu produktům po odpovídající dobu. Možná bude nutné vytvořit harmonogram a vyčlenit zdroje pro vydávání pravidelných aktualizací firmwaru po několik let od prodeje. Ověřte, zda produkty mají technické možnosti aktualizace (vzdálené nebo lokální) – pokud ne, jde o závažný problém, protože CRA vyžaduje možnost odstraňovat zranitelnosti i po prodeji. Stanovte realistickou dobu podpory (minimálně 5 let) a sdělte ji uživatelům. Připravte také plán technické podpory pro řešení bezpečnostních hlášení od zákazníků.
• Připravte požadovanou dokumentaci – Ujistěte se, že pro každý produkt vznikne úplná technická dokumentace z pohledu kybernetické bezpečnosti. Měla by obsahovat mimo jiné zprávu z posouzení rizik, popis architektury zabezpečení, seznam použitých opatření (např. šifrování, autorizace), výsledky bezpečnostních testů, postupy aktualizací, politiku zveřejňování zranitelností apod. Tato dokumentace bude základem pro prokázání shody při kontrole (a případně i pro předložení certifikačnímu orgánu). Zajistěte také proces její archivace po požadovanou dobu (10 let nebo déle). Kromě toho připravte vzory EU prohlášení o shodě pro své produkty – s tím, že musí obsahovat nové znění potvrzující splnění všech požadavků nařízení.
• Věnujte pozornost dodavatelskému řetězci – Spojte se s dodavateli komponentů (zejména softwaru, IoT modulů apod.) a projednejte s nimi otázky souladu s CRA. Aktualizujte smlouvy s dodavateli a doplňte do nich ustanovení o požadované úrovni kybernetické bezpečnosti komponent a o povinnosti informovat o zjištěných zranitelnostech. Ujistěte se, že máte přístup k informacím o původu a verzích komponent (veďte pro produkty SBOM – Software Bill of Materials, což usnadní sledování zranitelností v závislých knihovnách). Pokud využíváte externí cloudové služby související s produktem, prověřte jejich zabezpečení a soulad s NIS2 (protože SaaS může spadat pod NIS2 namísto CRA). Kybernetická bezpečnost produktu znamená také bezpečnost všech stavebních prvků, ze kterých se skládá – dodavatelé musí táhnout za jeden provaz.
• Proškolte personál a informujte zákazníky – Nové povinnosti znamenají, že základní znalost CRA musí mít různá oddělení firmy. Zajistěte školení pro konstrukci, kvalitu, IT a servis zaměřená na požadavky nařízení a interní postupy (např. jak reagovat na nahlášení zranitelnosti nebo jak dokumentovat změny z hlediska shody). Je vhodné informovat také nákup a obchod, aby si byli vědomi nových označení a prohlášení (např. nutnosti ověřit, zda dodavatel mimo EU poskytl prohlášení o shodě). Zvažte také přípravu informací pro zákazníky o bezpečnostní politice vašich produktů – transparentnost v této oblasti se může stát obchodní výhodou (uživatelé začnou sledovat, zda daný výrobek splňuje požadavky na kybernetickou bezpečnost a zda má zajištěné aktualizace).
• Sledujte pokyny a termíny – Sledujte sdělení Evropské komise a vnitrostátních orgánů týkající se Cyber Resilience Act (CRA). Mohou se objevovat akty v přenesené pravomoci nebo prováděcí akty, které některé otázky upřesní (např. sektorové výjimky – Komise může rozhodnout o vyloučení produktů z působnosti CRA, pokud se na ně vztahují rovnocenné sektorové požadavky). Sledujte také proces zveřejňování harmonizovaných norem – použití normy bude nejjednodušší cestou k předpokladu shody. Dohlédněte na dodržení uvedených termínů: září 2026 (připravenost na hlášení incidentů) a prosinec 2027 (plná shoda všech nových produktů). Nejlepší je stanovit si interní milníky s velkým předstihem – např. dokončení předběžné analýzy rizik do poloviny 2025, přizpůsobení vývojového procesu do konce 2025, testy shody a předcertifikace v roce 2026 apod., abyste do roku 2027 vstupovali s téměř hotovým splněním požadavků. Nepříjemné překvapení na poslední chvíli může znamenat pozastavení prodeje, proto je proaktivní přístup zásadní.

Pokud si tento „domácí úkol“ uděláte s předstihem, vyhnete se v roce 2027 hektickému dohánění povinností i souvisejícím rizikům. Místo toho, abyste CRA vnímali jen jako další povinnost, je vhodné chápat jej jako příležitost zvýšit celkovou úroveň bezpečnosti produktů – a tím chránit firmu i zákazníky před nákladnými incidenty.

CRA a Nařízení o strojních zařízeních (EU) 2023/1230 – co spadá pod který předpis?

Mnoho manažerů v průmyslu si klade otázku, jak se nové předpisy o kybernetické odolnosti vztahují k již známému Nařízení o strojních zařízeních (EU) 2023/1230 (které nahradí směrnici o strojních zařízeních). Dochází ke zdvojování požadavků, nebo se tato nařízení vzájemně doplňují? Klíčové je pochopit, které aspekty výrobku upravují jednotlivé právní předpisy.

Nařízení o strojních zařízeních 2023/1230 se týká bezpečnosti strojních zařízení v tradičním smyslu – zaměřuje se na ochranu zdraví a bezpečnosti uživatelů strojů. Stanovuje tzv. základní požadavky na bezpečnost a ochranu zdraví (EHSR), které se týkají mimo jiné mechanických a elektrických aspektů, ergonomie, hluku, EMC apod. Nové nařízení o strojních zařízeních sice nově zavedlo také požadavek zohlednit rizika spojená s přístupem k internetu a kybernetickými útoky jako potenciální ohrožení bezpečnosti. To znamená, že výrobce stroje musí při posouzení rizik zvažovat scénáře, kdy by například vzdálený zásah do řídicího systému stroje mohl způsobit nehodu. Musí proto navrhnout opatření, která takovým situacím zabrání (např. síťová zabezpečení znemožňující převzetí kontroly nad strojem neoprávněnou osobou). Nařízení o strojních zařízeních však upravuje kybernetickou bezpečnost pouze v rozsahu, v jakém ovlivňuje fyzickou bezpečnost osob obsluhujících stroje. Jde o jednu z mnoha součástí posuzování shody stroje, nezachází však do podrobných požadavků IT typu – nenajdeme v něm seznam kryptografických mechanismů ani povinnost aktualizovat software stroje po prodeji. Lze to shrnout tak, že Nařízení o strojních zařízeních dbá na to, aby stroj nepředstavoval ohrožení života nebo zdraví (ani v důsledku kybernetického incidentu), zatímco CRA řeší celkovou kybernetickou bezpečnost výrobku (včetně důvěrnosti dat, odolnosti služeb a celého životního cyklu).

Akt o kybernetické odolnosti pokrývá výrazně širší okruh IT témat než nařízení o strojních zařízeních. I u průmyslových strojů CRA ukládá například požadavky na hlášení zranitelností, zajištění aktualizací po X let nebo ochranu před ztrátou dat – tedy oblasti, které přímo nesouvisejí s bezpečností uživatele stroje, ale s kybernetickou bezpečností jako takovou. V praxi to znamená, že stroj, který je výrobkem s digitálními prvky, bude podléhat současně oběma nařízením. Výrobce takového stroje musí splnit požadavky obou právních předpisů – jak ty, které se týkají bezpečné konstrukce z hlediska například mechaniky (Nařízení o strojních zařízeních), tak ty, které se vztahují k zabezpečení softwaru, sítí a dat (CRA). Splnění požadavků jednoho nařízení automaticky neznamená shodu s druhým, protože hodnoticí kritéria jsou odlišná.

Z hlediska postupu posuzování shody platí, že výrobek, na který se vztahuje více než jedno nařízení EU, musí před označením CE splňovat všechny použitelné předpisy. Například výrobce, který uvádí na trh kolaborativního průmyslového robota s funkcí vzdáleného monitorování, se musí ujistit, že robot splňuje základní požadavky na bezpečnost strojních zařízení (nař. 2023/1230) a zároveň základní požadavky kybernetické bezpečnosti (Nařízení (EU) 2024/2847). EU prohlášení o shodě takového stroje by mělo uvádět oba právní předpisy. Ředitel údržby, který takové zařízení pořizuje, pak musí ověřit jak shodu z hlediska „strojního CE“, tak i „kybernetického CE“. V praxi je označení CE jen jedno – dokumentace však musí prokazovat shodu se všemi předpisy nového přístupu, které se na daný výrobek vztahují.

Za zmínku stojí několik příkladů toho, co spadá pod které nařízení:

• Čistě elektronická IT zařízení (bez strojních funkcí) – např. routery, smartphony nebo IP kamery – nespadají pod nařízení o strojních zařízeních (protože nejde o stroje), ale vztahuje se na ně CRA, pokud obsahují digitální prvky a komunikují po síti. V jejich případě je rozhodující především kybernetická bezpečnost, zatímco otázky fyzické bezpečnosti uživatele nehrají zásadní roli (kromě obecných předpisů o bezpečnosti práce/EMC).
• Tradiční stroje bez digitálního připojení – např. hydraulický lis s čistě analogovým řízením – spadají pod nařízení o strojních zařízeních (je nutné splnit požadavky na konstrukci, kryty, bezpečnostní obvody atd.), ale přímo se na ně CRA nevztahuje, protože neobsahují digitální prvky komunikující navenek. Samozřejmě pokud je ve stroji řídicí elektronika, může být sama o sobě považována za digitální zařízení – dokud však nemá konektivitu (např. chybí síťové porty a vzdálený přístup), nesplňuje definici „produktu s digitálními prvky“ ve smyslu CRA.
• Moderní stroje s digitálními funkcemi – např. roboty, výrobní linky s IoT nebo AGV vozíky komunikující se systémem řízení – spadají pod oba předpisy. V tomto případě nařízení o strojních zařízeních vyžaduje mimo jiné klasické posouzení rizik (aby stroj nepředstavoval mechanická ani elektrická nebezpečí) a také to, aby například vzdálený přístup k robotu nemohl vyvolat nebezpečnou situaci (tedy zohlednění kybernetických hrozeb z hlediska bezpečnosti). CRA pak navíc ukládá povinnost, aby měl takový robot obecně zabezpečený software (např. šifrovaný přenos dat, jedinečná hesla), aby jej výrobce aktualizoval a aby v případě zjištění zranitelnosti byla opravena a nahlášena příslušným orgánům. Výrobce takového zařízení tedy musí zajistit odolnost vůči kybernetickým útokům jak z hlediska bezpečnosti osob, tak z hlediska kontinuity provozu, důvěrnosti dat apod.

Stručně řečeno, nařízení o strojních zařízeních a CRA si nekonkurují, ale vzájemně se doplňují. První se zaměřuje na funkční bezpečnost strojů (včetně minimálních požadavků na kybernetickou bezpečnost, aby byl stroj bezpečný), druhé řeší širší kybernetickou bezpečnost produktu v celém jeho životním cyklu. Pro manažery to znamená potřebu víceúrovňové shody: inteligentní produkt musí být zároveň konstrukčně bezpečný i kyberneticky bezpečný. Je proto nutné sledovat požadavky obou regulací. Výhodou je, že termíny jejich použitelnosti jsou si blízké – nařízení o strojních zařízeních se také začne v praxi uplatňovat od ledna 2027 (a nahradí směrnici) a CRA od konce roku 2027. Proto lze přípravu na oba předpisy spojit do jednoho uceleného compliance programu. Například při návrhu nového stroje zohlednit hned od začátku jak požadavky na bezpečnost strojních zařízení, tak IT zabezpečení; při testování prototypu ověřovat nejen soulad s normami typu ISO 13849 (safety), ale také například penetrační testy řídicího systému. Díky takovému přístupu si firma zajistí komplexní shodu a vyhne se situaci, kdy splní jeden právní požadavek za cenu ignorování druhého.

Nařízení (EU) 2024/2847 je pro výrobce a dodavatele bezpochyby výzvou, ale zároveň představuje nezbytnou reakci na současnou realitu. Stroje a zařízení jsou stále inteligentnější a propojenější – a právní předpisy s tím musí držet krok. Manažeři, kteří začnou s přípravou už nyní, získají výhodu: jejich firmy nejen plynule vstoupí do nového právního rámce, ale také zvýší konkurenceschopnost a důvěryhodnost svých produktů v očích zákazníků, pro které se digitální bezpečnost stává stejně důležitou jako cena nebo funkčnost. Při vhodné podpoře odborníků na bezpečnost strojních zařízení a IT lze zavedení požadavků CRA pojmout jako součást průběžného zlepšování, nikoli jen jako regulatorní povinnost. Ve výsledku z toho bude těžit podnik, koncoví uživatelé i celý digitální ekosystém. Bezpečnější produkty znamenají menší riziko prostojů, útoků a ztrát – a to je cíl, který sleduje jak zákonodárce, tak odpovědní účastníci trhu.