Nariadenie (EÚ) 2024/2847 – Akt o kybernetickej odolnosti (CRA)

Nariadenie (EÚ) 2024/2847 – Akt o kybernetickej odolnosti (Cyber Resilience Act, CRA) je nové nariadenie EÚ, ktoré zavádza horizontálne požiadavky na kybernetickú bezpečnosť pre „produkty s digitálnymi prvkami“. Bolo prijaté v októbri 2024 a po prechodných obdobiach sa začne priamo uplatňovať vo všetkých krajinách EÚ od konca roka 2027. Ako manažér v priemysle – či už zodpovedný za údržbu, nákup alebo compliance – je už teraz užitočné pochopiť, ktoré produkty toto nariadenie pokrýva, aké nové povinnosti ukladá výrobcom, dovozcom a distribútorom a ako firmu pripraviť na prichádzajúce zmeny. Nižšie uvádzame kľúčové informácie v praktickom podaní, bez právnického žargónu, no s technickou presnosťou – tak, aby uľahčili prijatie vhodných prípravných krokov.

Rozsah pôsobnosti: ktoré produkty zahŕňa Akt o kybernetickej odolnosti?

Nariadenie (EÚ) 2024/2847 sa vzťahuje na všetky „produkty s digitálnymi prvkami“ sprístupňované na trhu EÚ, ktorých predpokladané použitie zahŕňa pripojenie k inému zariadeniu alebo sieti (priamo alebo nepriamo, fyzicky alebo logicky). Inými slovami, väčšina zariadení alebo softvéru, ktoré dokážu komunikovať s inými systémami, bude podliehať novým požiadavkám. V praxi pôjde okrem iného o IoT zariadenia a spotrebnú elektroniku (napr. smart hodinky, mobilné telefóny, inteligentné domáce spotrebiče/elektroniku, elektronické pestúnky), nositeľné zariadenia (napr. fitness náramky), priemyselné zariadenia so sieťovými funkciami (snímače a priemyselné stroje pripojené do siete) a rôznorodý softvér (operačné systémy, mobilné a počítačové aplikácie, podnikový softvér a pod.). Dôležité je, že softvér predávaný samostatne (ako produkt) tiež spadá pod CRA, rovnako ako vzdialené služby spracúvania údajov tvoriace integrálnu súčasť produktu – napr. cloudová služba riadiaca zariadenie smart home sa bude považovať za súčasť produktu a musí spĺňať bezpečnostné požiadavky.

Nariadenie má veľmi široký záber, zároveň však počíta aj s výnimkami pre určité kategórie výrobkov, ktoré už upravujú vlastné sektorové predpisy. CRA sa nevzťahuje okrem iného na: zdravotnícke pomôcky (upravené nariadeniami MDR 2017/745 a 2017/746), vozidlá a ich vybavenie (upravené okrem iného nariadením 2019/2144 v oblasti typového schvaľovania vozidiel), lietadlá (nariadenie 2018/1139 týkajúce sa letectva) ani námorné zariadenia (smernica 2014/90/EÚ). Tieto produkty majú samostatné pravidlá, často už obsahujúce požiadavky prispôsobené danému odvetviu, preto boli z pôsobnosti CRA vyňaté. Nové predpisy sa navyše nevzťahujú na hardvér a softvér výlučne vojenský alebo určený na národnú bezpečnosť (ani na spracúvanie utajovaných informácií). Vyňaté sú aj náhradné diely dodávané ako náhrady identických komponentov – ak bol pôvodný produkt legálne uvedený na trh, identický diel nemusí samostatne spĺňať CRA.

Za zmienku stojí, že tzv. slobodný a otvorený softvér (open source) nebude spadať pod CRA, pokiaľ nie je sprístupňovaný v rámci komerčnej činnosti. Ak sa teda daný softvér vyvíja a zverejňuje bezodplatne mimo trhového obehu, jeho tvorcovia (napr. open source komunita) sa nepovažujú za „výrobcov“ v zmysle nariadenia a nevzťahujú sa na nich nižšie opísané povinnosti. Ak by však firma použila open source komponent vo svojom komerčnom výrobku, zodpovednosť za splnenie bezpečnostných požiadaviek prechádza na výrobcu finálneho produktu. Zhrnuté: CRA sa zameriava najmä na profesionálne vyvíjané a predávané digitálne produkty, ktoré sa dostávajú ku koncovým používateľom na vnútornom trhu EÚ.

Prečo sa CRA zaviedlo? Nové hrozby, regulačná medzera a dodávateľský reťazec

Európska únia rozpoznala naliehavú potrebu posilniť kybernetickú odolnosť digitálnych produktov voči rastúcim hrozbám. V posledných rokoch explozívne narástol počet aj rozmanitosť zariadení pripojených na internet – od priemyselných IoT systémov vo fabrikách až po inteligentné domáce zariadenia. Žiaľ, úroveň kybernetickej bezpečnosti týchto produktov je často nízka, čo sa prejavuje rozšírenými zraniteľnosťami a nedostatočným aj nejednotným poskytovaním bezpečnostných aktualizácií. Mnohí výrobcovia doteraz neuprednostňovali bezpečnosť počas celého životného cyklu výrobku a používatelia často nemajú ani povedomie, ani informácie o tom, ktoré zariadenia sú bezpečné, ako dlho budú podporované aktualizáciami a ako ich používať bezpečne. Táto kombinácia faktorov vedie k zvýšenému riziku kybernetických útokov.

Akt o kybernetickej odolnosti má zaplniť regulačnú medzeru – doteraz chýbali jednotné, záväzné požiadavky na digitálnu bezpečnosť produktov na úrovni EÚ. Hoci existovali iniciatívy, ako sú certifikácie bezpečnosti IKT (na základe Aktu o kybernetickej bezpečnosti 2019/881) či požiadavky smernice NIS2 pre kritické sektory, žiadny právny predpis priamo neukladal povinnosť „kybernetickej bezpečnosti by design“ pre všetky zariadenia a softvér uvádzané na trh. CRA vytvára práve takýto univerzálny rámec – vyžaduje, aby hardvér aj softvér boli navrhované, vyrábané a udržiavané so zohľadnením robustných ochranných opatrení počas celého životného cyklu. Cieľom je, aby sa na trh dostávali produkty s menším počtom zraniteľností a aby výrobcovia zabezpečovali rýchle odstraňovanie nových hrozieb (napr. bezpečnostnými záplatami), namiesto toho, aby používateľov nechávali s deravými zariadeniami.

Téma kybernetickej odolnosti má aj rozmer dodávateľského reťazca a cezhraničný rozmer. V ére všeobecného prepojenia všetkého so všetkým sa incident v jednom, zdanlivo nepodstatnom zariadení môže stať vektorom útoku na celú organizáciu alebo obchodných partnerov. Jeden infikovaný IoT senzor vo výrobnej hale môže otvoriť bránu do podnikovej siete; zraniteľnosť v populárnej aplikácii môže byť v priebehu minút zneužitá globálne. Ako sa zdôrazňuje v odôvodnení nariadenia, kybernetický incident v jednom produkte sa môže v dodávateľskom reťazci rozšíriť za hranice jednej krajiny v priebehu niekoľkých minút. Náklady takýchto útokov nenesú len výrobcovia a používatelia, ale aj celá spoločnosť – narušenia kritickej infraštruktúry, finančné straty, ohrozenie verejnej bezpečnosti. Spoločné, záväzné pravidlá v celej EÚ majú zvýšiť celkovú úroveň ochrany a predísť situácii, keď najslabší článok (neodolný produkt) ohrozuje všetkých.

Ďalším motívom je posilnenie dôvery v digitálne produkty a vyrovnanie podmienok hospodárskej súťaže. V súčasnosti výrobcovia, ktorí investujú do bezpečnosti by design, neraz cenovo prehrávajú s tými, ktorí tieto otázky ignorujú. CRA má zabezpečiť, aby sa kybernetická bezpečnosť stala kvalitatívnym štandardom – všetci budú musieť spĺňať minimálne požiadavky, čo vyrovná šance a zníži spoločenské náklady útokov (ktoré sa dnes prenášajú na obete). V dôsledku toho sa má zvýšiť odolnosť celého trhu EÚ a dôvera zákazníkov v moderné zariadenia s digitálnymi prvkami. Akt zapadá aj do širšej stratégie EÚ (spolu s RODO, NIS2, DORA atď.) zameranej na posilnenie kybernetickej bezpečnosti služieb a produktov ako základu digitálnej ekonomiky.

Nariadenie (EÚ) 2024/2847: Hlavné povinnosti pre výrobcov, dovozcov a distribútorov

Nové nariadenie zavádza súbor konkrétnych povinností pre hospodárske subjekty zapojené do dodávateľského reťazca produktov s digitálnymi prvkami. Rozsah zodpovednosti závisí od úlohy – najviac sa vyžaduje od výrobcov, no dovozcovia a distribútori majú tiež dôležité úlohy. Nižšie sumarizujeme kľúčové povinnosti z pohľadu manažéra, ktorý dohliada na súlad firemných produktov s predpismi.

Povinnosti výrobcov

Výrobca (a tiež subjekt, ktorý uvádza produkt na trh pod vlastnou značkou alebo ho upravuje – aj ten sa považuje za výrobcu) nesie hlavnú zodpovednosť za splnenie požiadaviek CRA. Medzi jeho najdôležitejšie úlohy patrí:

• Zabezpečenie súladu produktu so základnými požiadavkami kybernetickej bezpečnosti uvedenými v prílohe I k nariadeniu. V praxi to znamená, že už vo fáze návrhu a konštrukcie musí mať produkt vlastnosti, ktoré zaručujú primeranú úroveň digitálnej bezpečnosti, zodpovedajúcu riziku spojenému s daným výrobkom. Nariadenie uvádza viacero konkrétnych technických požiadaviek – okrem iného absenciu známych zraniteľností v čase uvedenia na trh, používanie bezpečných predvolených konfigurácií (napr. vyhýbanie sa predvoleným heslám), šifrovanie tam, kde je to vhodné, ochranu pred neoprávneným prístupom, ochranu osobných údajov používateľa, odolnosť voči útokom narúšajúcim funkcie (napr. DoS útoky) a možnosť vykonať reset do továrenských nastavení. Produkt má byť navrhnutý tak, aby čo najviac obmedzil svoju „útočnú plochu“ – napr. aby nemal zbytočne otvorené porty či služby, ktoré zvyšujú vystavenie kybernetickým hrozbám. Tieto základné požiadavky (časť I prílohy I CRA) predstavujú kontrolný zoznam bezpečnostných vlastností, ktoré musí spĺňať každý digitálny produkt.
• Zavedenie procesu riešenia zraniteľností a incidentov – výrobca musí aktívne dbať o bezpečnosť produktu aj po jeho predaji, počas celého deklarovaného obdobia podpory. V časti II prílohy I sú stanovené požiadavky na proces riešenia zraniteľností (vulnerability handling): pravidelné testovanie a monitorovanie zamerané na nové slabiny, prijímanie hlásení o zraniteľnostiach (napr. od výskumníkov alebo používateľov) a rýchle odstránenie/zaplátanie zistených zraniteľností poskytovaním bezpečnostných aktualizácií. Výrobca musí mať politiku koordinovaného zverejňovania zraniteľností (coordinated disclosure) – t. j. určený kontaktný bod, na ktorý možno nahlasovať problémy, a postupy, ako na tieto hlásenia reagovať. Dôležité je, aby aktualizácie odstraňovali zraniteľnosti bezodkladne a aby sa distribuovali bezpečným spôsobom (napr. digitálne podpísané). Podstatné je, že výrobca je povinný zabezpečiť podporu a bezpečnostné aktualizácie počas obdobia zodpovedajúceho predpokladanému životnému cyklu produktu, minimálne 5 rokov (pokiaľ povaha produktu neodôvodňuje kratšie obdobie). Inými slovami, ak má naše zariadenie typicky slúžiť zákazníkom ~5+ rokov, nemôžeme prestať vydávať záplaty po roku či dvoch – vyžaduje sa viacročná popredajná podpora, aby používateľ nezostal s deravým zariadením.
• Vykonanie posúdenia rizík kybernetickej bezpečnosti – pred uvedením produktu s digitálnymi prvkami na trh výrobca musí vykonať systematickú analýzu rizík súvisiacich s kybernetickými hrozbami pre tento produkt. Posúdenie rizík má byť súčasťou procesu návrhu (security by design) a má zohľadňovať okrem iného predpokladané použitie výrobku, možné nesprávne použitie, podmienky používania (IT prostredie, sieť, typ údajov, ktoré zariadenie spracúva). Na základe tejto analýzy treba naplánovať primerané ochranné opatrenia a zohľadniť ich v konštrukcii. Dokumentácia z posúdenia rizík v kyberpriestore sa stáva súčasťou technickej dokumentácie produktu a musí sa aktualizovať, ak sa objavia nové hrozby. Výrobca je povinný uchovávať dokumentáciu najmenej 10 rokov od uvedenia produktu na trh (a ak je deklarované obdobie podpory dlhšie ako 10 rokov – primerane dlhšie). Posúdenie rizík nie je jednorazové – má sa overovať a aktualizovať podľa potreby, najmä keď sa zistia nové zraniteľnosti alebo sa zmení kontext používania produktu.
• Dohľad nad externými komponentmi – výrobca musí postupovať s náležitou starostlivosťou pri používaní komponentov tretích strán vrátane open source knižníc. Je potrebné zabezpečiť, aby externé komponenty (softvérové aj hardvérové) nekompromitovali kybernetickú bezpečnosť celého produktu. V praxi to znamená potrebu kontrolovať verzie a aktualizácie použitých knižníc, monitorovať známe zraniteľnosti (napr. publikované v CVE) v týchto komponentoch a aktualizovať ich alebo nahrádzať, keď sa objavia slabiny. Ak sa v produkte použil open source softvér a zistí sa v ňom zraniteľnosť, výrobca má povinnosť informovať subjekt zodpovedný za údržbu daného open source (napr. open source projekt) o vzniknutom probléme a ak zraniteľnosť odstráni sám vo vlastnej réžii – poskytnúť komunite informácie o vykonanej oprave. Cieľom je zapojiť výrobcov do ekosystému koordinovaného záplatovania slabín aj v open source komponentoch.
• Formálne posúdenie zhody a dokumenty – pred uvedením produktu na trh musí výrobca vykonať postup posúdenia zhody s požiadavkami CRA a vypracovať dokumentáciu potvrdzujúcu splnenie požiadavok. Pri väčšine „bežných“ produktov (nezaradených do kategórie zvýšeného rizika) bude postačovať interné overenie (interné posúdenie) a príprava technickej dokumentácie obsahujúcej okrem iného opis produktu, výsledky analýzy rizík, zoznam použitých bezpečnostných opatrení, postupy testovania a aktualizácií a pod. Následne výrobca vystaví EÚ vyhlásenie o zhode, v ktorom vyhlási, že výrobok spĺňa všetky uplatniteľné požiadavky CRA, a umiestni na produkt označenie CE. Pozor: ak bol daný produkt z hľadiska kybernetickej bezpečnosti klasifikovaný ako „dôležitý“ alebo „kritický“ (Annex III a IV CRA), môžu sa naň vzťahovať prísnejšie postupy posúdenia zhody. Pre dôležité výrobky triedy II a kritické výrobky sa bude vyžadovať certifikácia treťou stranou, t. j. skúšanie a certifikát vydaný notifikovaným orgánom (napr. akreditovaným laboratóriom). Pre dôležité produkty triedy I je samocertifikácia prípustná len vtedy, ak existujú príslušné harmonizované normy, ktoré výrobca použije – v opačnom prípade je potrebná aj účasť tretej strany. Manažér by si preto mal určiť, do ktorej kategórie patrí produkt firmy a či bude potrebné naplánovať externú certifikáciu (čo môže ovplyvniť harmonogram uvedenia produktu na trh).
• Monitorovanie bezpečnosti po uvedení na trh a reportovanie – novinkou zavedenou CRA je povinnosť nahlasovať závažné bezpečnostné problémy príslušným orgánom. Výrobca musí oznámiť každú aktívne zneužívanú zraniteľnosť svojho produktu a každý závažný incident, ktorý má vplyv na bezpečnosť produktu, národnému CSIRT (reakčnému tímu) určenému ako koordinátor a agentúre ENISA. Lehota na nahlásenie je veľmi krátka – je to 24 hodín od zistenia zraniteľnosti/udalosti (analogicky k prísnym požiadavkám GDPR či NIS2). Hlásenia sa budú podávať prostredníctvom jednotnej európskej platformy prevádzkovanej ENISA. Povinnosť reportovania nadobudne účinnosť skôr než ostatné požiadavky (september 2026 – pozri termíny nižšie) a od tohto momentu sa bude vzťahovať na všetky produkty na trhu. Preto musí mať výrobca interné postupy schopné odhaliť incident/zraniteľnosť a do 24 hodín odovzdať informácie vyžadované nariadením. Cieľom je poskytnúť orgánom dohľadu prehľad o vznikajúcich hrozbách a koordinovať reakciu (napr. varovať ostatných používateľov, keď má daný produkt kritickú zraniteľnosť).

Uvedené povinnosti si často vyžadujú výrazné organizačné zmeny – od zavedenia Secure SDLC v oddelení R&D, cez nové politiky údržby a podpory produktov, až po doplnenie dokumentácie a školenia zamestnancov. Na oplátku firma získa väčšiu istotu, že jej výrobok sa nestane zdrojom závažného kybernetického incidentu, a zároveň súlad s pripravovanou legislatívou, čo umožní pokračovať v predaji na trhu EÚ.

Nariadenie (EÚ) 2024/2847: Povinnosti dovozcov a distribútorov

Subjekty, ktoré dovážajú produkty s digitálnymi prvkami z krajín mimo EÚ (dovozcovia) alebo ich ďalej predávajú na trhu Únie (distribútori), musia takisto dbať na to, aby tieto výrobky spĺňali CRA. Ich úloha spočíva najmä v overovaní a reagovaní na prípadné nesúlady.

Dovozca musí pred uvedením produktu na trh EÚ overiť, či si výrobca splnil svoje povinnosti – inými slovami, či má produkt požadované CE a vyhlásenie o zhode EÚ, či sú priložené návody a bezpečnostné informácie a či výrobca vypracoval požadovanú technickú dokumentáciu. Dovozca nemusí sám testovať kybernetickú bezpečnosť produktu, no ak má odôvodnené pochybnosti o tom, či výrobok spĺňa požiadavky (napr. chýba označenie CE, chýba informácia o období podpory a pod.), nemal by takýto produkt sprístupniť na trhu, kým sa nepresvedčí, že nesúlad bol odstránený. Ak sa zistí, že produkt nespĺňa požiadavky CRA, dovozca je povinný informovať orgány dohľadu a prijať nápravné opatrenia – zabezpečiť uvedenie produktu do súladu, a ak to nie je možné, stiahnuť ho z obehu alebo z trhu. Dovozcovia, podobne ako výrobcovia, musia uchovávať kópiu vyhlásenia o zhode a dbať na to, aby technická dokumentácia bola na požiadanie dostupná orgánom. Mali by tiež uviesť na produkte (alebo obale) svoje kontaktné údaje a zabezpečiť, že produkt je riadne označený. V praxi sa úloha dovozcu redukuje na bezpečnostnú bránu – má zabrániť distribúcii v EÚ produktov, ktoré nemajú „papierové“ doklady o splnení CRA.

Distribútori (domáci veľkoobchodníci, maloobchodní predajcovia a pod.) sú v podobnej situácii ako dovozcovia, s tým rozdielom, že overujú splnenie požiadaviek zo strany výrobcu aj prípadného dovozcu, ak produkt pochádza z krajín mimo EÚ. Distribútor by si preto pred ďalším predajom mal skontrolovať, či má tovar umiestnenú značku CE, priložené vyhlásenie alebo návody vyžadované právnymi predpismi a či neboli verejne vydané oznámenia, že daný model nie je v súlade s bezpečnostnými požiadavkami. V prípade pochybností má tiež povinnosť pozastaviť predaj, kým sa vec nevyjasní. Ak usúdi (alebo je informovaný), že produkt predstavuje vážne riziko alebo nespĺňa požiadavky CRA, mal by o tom upovedomiť výrobcu alebo dovozcu, ako aj orgány dohľadu, a spolupracovať pri nápravných opatreniach (napr. pri akciách stiahnutia z trhu).

Z pohľadu manažéra nákupu tieto pravidlá znamenajú potrebu vyššej obozretnosti pri výbere dodávateľov hardvéru/softvéru. Treba sa uistiť, že partneri mimo EÚ dodávajú produkty už v súlade s CRA, inak bude naše podnikanie (ako dovozca) niesť zodpovednosť za nedostatky. Pre distribútora (napr. firmu obchodujúcu s automatizáciou) navyše pribúda povinnosť monitorovať, či produkty rôznych značiek v ponuke majú aktuálne vyhlásenia o zhode a spĺňajú požiadavky – v praxi si to vyžiada úzku spoluprácu s výrobcami a rýchlu reakciu na všetky bezpečnostné upozornenia týkajúce sa predávaných zariadení.

Stojí za zmienku: ak dovozca alebo distribútor uvádza produkt pod vlastným logom/značkou alebo produkt upravuje (napr. mení jeho funkčnosť, softvér alebo konfiguráciu spôsobom, ktorý je podstatný z hľadiska kybernetickej bezpečnosti), podľa nariadenia sa sám stáva výrobcom daného výrobku. V takom prípade musí prevziať všetky povinnosti výrobcu (vykonať posúdenie zhody, vydať vlastné vyhlásenie atď.). Táto situácia sa týka napr. firiem integrujúcich systémy, ktoré predávajú OEM zariadenia pod vlastnou značkou – musia byť veľmi opatrné, pretože formálne zodpovedajú za súlad rovnako ako pôvodný výrobca.

Termíny nadobudnutia účinnosti a prechodné obdobia

Nariadenie (EÚ) 2024/2847 bolo uverejnené v Úradnom vestníku 20. novembra 2024. Nadobudlo účinnosť 10. decembra 2024 (20 dní od uverejnenia), avšak hlavné povinnosti sa začnú uplatňovať až po 36 mesiacoch od tohto dátumu. Zákonodarca totiž stanovil dlhé prechodné obdobie, aby poskytol odvetviu čas na prispôsobenie. Tu sú kľúčové dátumy:

• 11. septembra 2026 – od tohto dňa začnú platiť povinnosti nahlasovania zraniteľností a incidentov. Výrobca každého produktu s digitálnymi prvkami uvedeného na trhu EÚ bude musieť príslušným orgánom oznamovať všetky aktívne zneužívané zraniteľnosti aj závažné bezpečnostné incidenty týkajúce sa jeho výrobku. Tento dátum je 21 mesiacov od nadobudnutia účinnosti CRA a znamená, že už v roku 2026 musia mať firmy zavedené postupy na monitorovanie bezpečnosti a nahlasovanie problémov. Nezávisí to od toho, kedy bol produkt uvedený na trh – týka sa to aj produktov predaných pred rokom 2026, ktoré sa stále používajú. Inými slovami, aj keď sa zariadenie dostalo do obehu napr. v roku 2025 (pred uplatňovaním nariadenia) a v septembri 2026 sa v ňom odhalí kritická zraniteľnosť, výrobca má povinnosť ju nahlásiť a odstrániť.
• 11. júna 2026 – od tohto dňa sa majú uplatňovať predpisy týkajúce sa notifikovaných osôb a orgánov posudzovania zhody. Členské štáty do polovice roka 2026 pripravia systém určovania a notifikácie subjektov, ktoré budú oprávnené certifikovať produkty (dôležité a kritické) z hľadiska splnenia požiadaviek CRA. Pre výrobcov je dôležité, aby bola v druhej polovici roka 2026 už dostupná infraštruktúra na vykonávanie požadovaných skúšok a certifikácie.
• 11. decembra 2027 – plné uplatňovanie nariadenia CRA. Od tohto dňa žiadny produkt s digitálnymi prvkami, ktorý nespĺňa požiadavky CRA, nebude možné legálne uviesť na trh na území EÚ. Tento termín (3 roky od nadobudnutia účinnosti) je hraničným dátumom na prispôsobenie produktov a procesov. Po 11.12.2027 musia byť všetky nové zariadenia a softvér predávané v EÚ navrhnuté, vyrobené a udržiavané v súlade s CRA – inak sa firma vystavuje vážnym sankciám. Treba zdôrazniť, že predpisy počítajú s určitou úľavou pre výrobky, ktoré sa už nachádzajú na trhu: ak bol daný produkt (konkrétny kus) už sprístupnený na trhu pred 11. decembrom 2027, môže zostať v obehu aj bez splnenia CRA. Týka sa to však len jednotlivých kusov – typ produktu navrhnutý pred CRA nezískava automaticky výnimku. Každá nová séria, každý nový kus uvedený do predaja po tomto dátume musí byť v súlade s CRA, pokiaľ sa fyzicky nenachádzal v obehu už skôr (čo v praxi znamená napr. sklad u distribútora, ktorý tovar nakúpil pred termínom). Predpisy teda nemožno obísť výrobou „do zásoby“ a predajom po roku 2027 – každý produkt v momente uvedenia na trh podlieha aktuálnym požiadavkám. Výnimkou sú ešte platné certifikáty EÚ skúšky typu vydané pred týmto dátumom na základe iných predpisov – zostanú platné do júna 2028, pokiaľ nebol určený kratší termín.

Pre firmy z toho prakticky vyplýva, že reálny deadline je koniec roka 2027. Od roku 2028 už v EÚ nepredáme zariadenia, ktoré nespĺňajú požiadavky CRA. Zároveň však už v roku 2026 treba byť pripravený na nové povinnosti nahlasovania incidentov. Zostávajúci čas je potrebné využiť na analýzu a prispôsobenie produktov. Hoci 3 roky sa môžu zdať ako veľa, zmeny môžu byť zásadné – je lepšie začať s prácami v predstihu. Nižšie uvádzame kontrolný zoznam krokov, ktoré by mal manažér zvážiť pri príprave organizácie na splnenie požiadaviek aktu o kybernetickej odolnosti.

Nariadenie (EÚ) 2024/2847: Ako sa pripraviť na roky 2026/2027 – kontrolný zoznam pre manažéra

• Identifikujte produkty, na ktoré sa vzťahuje CRA – Vypracujte zoznam výrobkov firmy, ktoré sú „produktmi s digitálnymi prvkami“ (hardvér alebo softvér pripájajúci sa k sieti/iným zariadeniam). Pri každom určte, či môže byť podľa nariadenia považovaný za dôležitý alebo kritický (Annex III/IV) – napr. či plní podstatné bezpečnostné funkcie, alebo či jeho kompromitovanie môže spôsobiť rozsiahlu škodu. Od tejto klasifikácie závisí okrem iného požadovaný postup posudzovania zhody (či bude potrebná účasť tretej strany).
• Oboznámte sa s požiadavkami a normami – Analyzujte základné požiadavky kybernetickej bezpečnosti z prílohy I CRA a vzťahujte ich na svoje produkty. Overte si, či už existujú vhodné harmonizované normy alebo odvetvové štandardy, ktoré môžu uľahčiť splnenie požiadaviek (napr. normy z rodiny IEC 62443 pre zabezpečenie systémov priemyselnej automatizácie môžu byť nápomocné pri návrhu zabezpečenia strojov). Sledujte vývoj v normalizácii – môžu sa objaviť usmernenia, ktoré uľahčia implementáciu požiadaviek CRA vo vašej oblasti.
• Vykonajte analýzu medzier (gap analysis) – Porovnajte aktuálny stav svojich produktov a procesov s novými požiadavkami. Zhodnoťte, do akej miery súčasná úroveň zabezpečenia spĺňa požiadavky (napr. či zariadenia majú mechanizmy autentifikácie, šifrovania, bezpečné aktualizácie a pod.). Preskúmajte proces vývoja softvéru vo firme – či sa uplatňujú zásady secure coding, či sa vykonávajú penetračné testy, ako rýchlo reagujete na nahlásené zraniteľnosti. Identifikujte nedostatky a oblasti na zlepšenie v rámci organizácie (postupy) aj technológií (bezpečnostné funkcie).
• Prispôsobte návrh a vývoj produktov – Ak analýza medzier odhalí nedostatky, naplánujte zavedenie chýbajúcich mechanizmov a postupov. Môže to zahŕňať zmeny v architektúre produktu (napr. doplnenie šifrovacieho modulu, zabezpečenie komunikačných rozhraní), zlepšenie procesu SDLC (Software Development Life Cycle) o prvky threat modeling, bezpečnostne zameraný code review, fuzzing testy a pod., ako aj zavedenie nových politík bezpečnosti produktu. Uistite sa, že tím R&D považuje kybernetickú bezpečnosť za návrhovú požiadavku rovnocennú funkčnosti – nariadenie vyžaduje prístup „security by design/default“.
• Naplánujte systém aktualizácií a podpory – Zhodnoťte, či je vaša firma pripravená poskytovať podporu produktom dostatočne dlhý čas. Možno bude potrebné vytvoriť harmonogram a vyčleniť zdroje na vydávanie pravidelných aktualizácií softvéru/firmvéru počas niekoľkých rokov od predaja. Overte, či produkty majú technické možnosti aktualizácie (na diaľku alebo lokálne) – ak nie, ide o vážny problém, pretože CRA vyžaduje možnosť odstraňovať zraniteľnosti aj po predaji. Stanovte realistické obdobie podpory (minimum 5 rokov) a komunikujte ho používateľom. Pripravte aj plán technickej obsluhy bezpečnostných hlásení od zákazníkov.
• Pripravte požadovanú dokumentáciu – Uistite sa, že pre každý produkt vznikne kompletná technická dokumentácia z pohľadu kybernetickej bezpečnosti. Mala by obsahovať okrem iného správu z posúdenia rizika, opis architektúry zabezpečenia, zoznam použitých opatrení (napr. šifrovanie, autorizácia), výsledky bezpečnostných testov, postupy aktualizácií, politiku zverejňovania zraniteľností a pod. Táto dokumentácia bude základom na preukázanie zhody pri kontrole (a prípadne aj na predloženie certifikačnému orgánu). Zabezpečte aj proces jej archivácie počas požadovaného obdobia (10 rokov alebo viac). Navyše pripravte vzory vyhlásenia o zhode EÚ pre svoje produkty – s tým, že v nich musí byť nové znenie potvrdzujúce splnenie všetkých požiadaviek nariadenia.
• Postarajte sa o dodávateľský reťazec – Kontaktujte dodávateľov komponentov (najmä softvéru, IoT modulov a pod.), aby ste prebrali otázky zhody s CRA. Aktualizujte zmluvy s dodávateľmi doplnením klauzúl o požadovanej úrovni kybernetickej bezpečnosti komponentov a o povinnosti informovať o zistených zraniteľnostiach. Uistite sa, že máte prístup k informáciám o pôvode a verziách komponentov (udržiavajte pre produkty SBOM – Software Bill of Materials, čo uľahčí sledovanie zraniteľností v závislých knižniciach). Ak využívate externé cloudové služby prepojené s produktom, overte ich zabezpečenie a súlad s NIS2 (pretože SaaS môže spadať pod NIS2 namiesto CRA). Kybernetická bezpečnosť produktu je aj bezpečnosť všetkých „stavebných blokov“, z ktorých sa skladá – dodávatelia musia ťahať za jeden povraz.
• Vyškolte personál a informujte zákazníkov – Nové povinnosti znamenajú, že rôzne oddelenia firmy musia mať základné znalosti o CRA. Zabezpečte školenia pre konštrukciu/vývoj, kvalitu, IT a servis o požiadavkách nariadenia a interných postupoch (napr. ako reagovať na nahlásenie zraniteľnosti, ako dokumentovať zmeny z pohľadu zhody). Oplatí sa informovať aj nákup a predaj, aby si uvedomovali nové označenia a vyhlásenia (napr. potrebu overiť, či dodávateľ mimo EÚ poskytol vyhlásenie o zhode). Zvážte prípravu informácií pre zákazníkov o politike bezpečnosti vašich produktov – transparentnosť v tejto oblasti sa môže stať obchodnou výhodou (používatelia si začnú všímať, či daný výrobok spĺňa kyberpožiadavky a či má garantované aktualizácie).
• Sledujte usmernenia a termíny – Monitorujte oznámenia Európskej komisie a národných orgánov týkajúce sa CRA. Môžu sa objaviť delegované alebo vykonávacie akty, ktoré spresnia niektoré otázky (napr. sektorové výnimky – Komisia môže rozhodnúť o vyňatí spod CRA produktov, na ktoré sa vzťahujú rovnocenné sektorové požiadavky). Sledujte aj proces zverejňovania harmonizovaných noriem – uplatnenie normy bude najjednoduchšou cestou k domnienke zhody. Dohliadnite na dodržanie uvedených termínov: september 2026 (pripravenosť na hlásenie incidentov) a december 2027 (plná zhoda všetkých nových produktov). Najlepšie je určiť interné míľniky výrazne skôr – napr. dokončenie predbežnej analýzy rizika do polovice 2025, prispôsobenie procesu vývoja do konca 2025, testy zhody a pre-certyfikácie v roku 2026 a pod., aby ste do roku 2027 vstúpili s takmer splnenými požiadavkami. Prekvapenie na poslednú chvíľu môže znamenať zastavenie predaja, preto je proaktívny prístup kľúčový.

Urobenie tejto „domácej úlohy“ vopred pomôže vyhnúť sa nervóznemu zhonu v roku 2027 a s tým súvisiacim rizikám. Namiesto toho, aby ste CRA vnímali len ako povinnosť, oplatí sa pozerať naň ako na príležitosť zvýšiť celkovú úroveň bezpečnosti produktov – čo chráni firmu aj zákazníkov pred nákladnými incidentmi.

CRA a nariadenie o strojových zariadeniach (EÚ) 2023/1230 – čo podlieha čomu?

Mnohí manažéri v priemysle sa zamýšľajú nad tým, ako sa nové predpisy o kybernetickej odolnosti vzťahujú k už známemu Nariadeniu o strojových zariadeniach (EÚ) 2023/1230 (ktoré nahradí Smernicu o strojových zariadeniach). Dochádza k prekrývaniu požiadaviek, alebo sa tieto nariadenia navzájom dopĺňajú? Kľúčové je pochopiť, ktoré aspekty produktu upravujú jednotlivé právne akty.

Nariadenie o strojových zariadeniach 2023/1230 pokrýva bezpečnosť strojov v tradičnom zmysle – zameriava sa na ochranu zdravia a bezpečnosti používateľov strojov. Stanovuje tzv. základné požiadavky na bezpečnosť a ochranu zdravia (EHSR), ktoré sa týkajú okrem iného mechanických a elektrických aspektov, ergonómie, hluku, EMC a pod. Nové nariadenie o strojových zariadeniach síce zaviedlo aj požiadavku zohľadňovať hrozby súvisiace s prístupom na internet a kybernetickými útokmi ako potenciálne riziko pre bezpečnosť. To znamená, že výrobca stroja musí pri posudzovaní rizika zvážiť scenáre, v ktorých by napr. vzdialený zásah do riadiaceho systému stroja mohol spôsobiť úraz. Musí preto navrhnúť opatrenia, ktoré takým situáciám zabránia (napr. sieťové zabezpečenia znemožňujúce prevzatie kontroly nad strojom neoprávnenou osobou). Nariadenie o strojových zariadeniach však upravuje kybernetickú bezpečnosť len v rozsahu, v akom ovplyvňuje fyzickú bezpečnosť ľudí obsluhujúcich stroje. Ide o jednu z mnohých súčastí posudzovania zhody stroja, no nejde do detailných požiadaviek typických pre IT – nenájdeme v ňom zoznam kryptografických mechanizmov ani povinnosť aktualizovať softvér stroja po jeho predaji. Dá sa to zhrnúť tak, že Nariadenie o strojových zariadeniach dohliada na to, aby stroj neohrozoval život/zdravie (aj v dôsledku kybernetického incidentu), zatiaľ čo CRA sa stará o celkovú kybernetickú bezpečnosť produktu (vrátane dôvernosti údajov, odolnosti služieb a celého životného cyklu).

Akt o kybernetickej odolnosti pokrýva výrazne širší okruh IT tém než nariadenie o strojových zariadeniach. Aj pri priemyselných strojoch CRA napr. ukladá požiadavky na nahlasovanie zraniteľností, zabezpečenie aktualizácií počas X rokov, ochranu pred stratou údajov – teda oblasti, ktoré priamo nesúvisia s bezpečnosťou používateľa stroja, ale s kybernetickou bezpečnosťou ako takou. V praxi to znamená, že stroj, ktorý je produktom s digitálnymi prvkami, bude podliehať súčasne predpisom oboch nariadení. Výrobca takéhoto stroja musí splniť požiadavky jedného aj druhého právneho aktu – jednak tie, ktoré sa týkajú bezpečnej konštrukcie napr. z hľadiska mechaniky (nariadenie o strojových zariadeniach), a zároveň tie, ktoré sa týkajú zabezpečenia softvéru, sietí a údajov (CRA). Splnenie požiadaviek jedného nariadenia automaticky neznamená zhodu s druhým, pretože kritériá posudzovania sú odlišné.

Z pohľadu postupu posudzovania zhody platí, že produkt, na ktorý sa vzťahuje viac než jedno nariadenie EÚ, musí pred označením CE spĺňať všetky uplatniteľné predpisy. Napríklad výrobca, ktorý uvádza na trh kolaboratívneho priemyselného robota s funkciou vzdialeného monitorovania, musí zabezpečiť, aby robot spĺňal základné požiadavky na bezpečnosť strojov (nariadenie 2023/1230) aj základné požiadavky na kybernetickú bezpečnosť (Nariadenie (EÚ) 2024/2847). EÚ vyhlásenie o zhode pre takýto stroj by malo uvádzať oba právne akty. Na druhej strane riaditeľ údržby, ktorý takéto zariadenie kupuje, musí overiť zhodu s „strojovým CE“ aj „kyber CE“. V praxi je označenie CE len jedno – dokumentácia však musí preukazovať zhodu so všetkými predpismi nového prístupu, ktoré sa na daný výrobok vzťahujú.

Je vhodné uviesť niekoľko príkladov, čo spadá pod ktoré nariadenie:

• Čisto elektronické IT zariadenia (bez strojových funkcií) – napr. routery, smartfóny, IP kamery – nespadajú pod Nariadenie o strojových zariadeniach (keďže nie sú strojmi), ale spadajú pod CRA, ak obsahujú digitálne prvky a komunikujú cez sieť. V ich prípade je rozhodujúca najmä kybernetická bezpečnosť a otázky fyzickej bezpečnosti používateľa nie sú podstatné (okrem všeobecných predpisov BOZP/EMC).
• Tradičné stroje bez digitálneho pripojenia – napr. hydraulický lis s čisto analógovým riadením – spadajú pod Nariadenie o strojových zariadeniach (treba splniť požiadavky na konštrukciu, kryty, bezpečnostné obvody atď.), ale priamo nespadajú pod CRA, pretože neobsahujú digitálne prvky komunikujúce smerom navonok. Samozrejme, ak je v stroji riadiaca elektronika, sama osebe môže byť považovaná za digitálne zariadenie – avšak pokiaľ nemá konektivitu (napr. bez sieťových portov, bez vzdialeného prístupu), nespĺňa definíciu „produkt s digitálnymi prvkami“ v zmysle CRA.
• Moderné stroje s digitálnymi funkciami – napr. roboty, výrobné linky s IoT, AGV vozíky komunikujúce so systémom riadenia – spadajú pod oba akty. Tu Nariadenie o strojových zariadeniach okrem iného vyžaduje tradičné posúdenie rizika (aby stroj nevytváral mechanické/elektrické nebezpečenstvá) a tiež požiadavku, aby napr. vzdialený prístup k robotu nemohol vyvolať nebezpečnú situáciu (t. j. zohľadnenie kybernetických hrozieb pre bezpečnosť). CRA zároveň uloží dodatočnú povinnosť, aby mal tento robot všeobecne zabezpečený softvér (napr. šifrované prenosy dát, jedinečné heslá), aby ho výrobca aktualizoval a aby sa v prípade zistenia zraniteľnosti vykonala oprava a nahlásenie orgánom. Výrobca takéhoto zariadenia teda musí zabezpečiť odolnosť voči kybernetickému útoku tak v kontexte bezpečnosti ľudí, ako aj kontinuity prevádzky, dôvernosti údajov a pod.

Zhrnuté, Nariadenie o strojových zariadeniach a CRA si nekonkurujú, ale navzájom sa dopĺňajú. Prvé sa stará o funkčnú bezpečnosť strojov (vrátane minimálnych kybernetických požiadaviek, aby bol stroj bezpečný), druhé sa stará o širšiu kybernetickú bezpečnosť produktu počas celého životného cyklu. Pre manažérov to znamená potrebu viacrozmernej zhody: inteligentný produkt musí byť zároveň konštrukčne bezpečný aj kyberneticky bezpečný. Preto je potrebné sledovať požiadavky oboch regulácií. Našťastie termíny ich uplatňovania sú si blízke – Nariadenie o strojových zariadeniach sa tiež začne v praxi uplatňovať od januára 2027 (nahradí smernicu) a CRA od konca roka 2027. Preto možno prípravy na obe spojiť do jednotného programu compliance. Napríklad pri návrhu nového stroja hneď zohľadniť požiadavky na bezpečnosť strojov aj IT zabezpečenia; počas testovania prototypu overovať nielen zhodu s normami typu ISO 13849 (safety), ale aj napr. penetračné testy riadiaceho systému. Vďaka takémuto prístupu si firma zabezpečí komplexnú zhodu a vyhne sa situácii, keď spĺňa jeden právny predpis za cenu ignorovania druhého.

Nariadenie (EÚ) 2024/2847 je nepochybne výzvou pre výrobcov a dodávateľov, no zároveň nevyhnutnou odpoveďou na súčasnú realitu. Stroje a zariadenia sú čoraz inteligentnejšie a prepojenejšie – predpisy s tým musia držať krok. Manažéri, ktorí už teraz podniknú prípravné kroky, získajú výhodu: ich firmy nielen bezbolestne vstúpia do nového právneho rámca, ale aj zvýšia konkurencieschopnosť a dôveryhodnosť svojich produktov v očiach zákazníkov, pre ktorých je digitálna bezpečnosť čoraz rovnako dôležitá ako cena či funkčnosť. Pri vhodnej podpore expertov na bezpečnosť strojov a IT možno zavedenie požiadaviek CRA vnímať ako súčasť neustáleho zlepšovania, a nie iba ako regulačnú povinnosť. V konečnom dôsledku z toho bude profitovať podnik, koncoví používatelia aj celý digitálny ekosystém. Bezpečnejšie produkty znamenajú menšie riziko prestojov, útokov a strát – a to je cieľ, ktorý sleduje tak zákonodarca, ako aj zodpovední účastníci trhu.