Kapitoly 09 Účinné od: 11. prosince 2027 (plné)

Zákon o kybernetické odolnosti

Zákon o kybernetické odolnosti

Přehled

Zákon o kybernetické odolnosti (CRA) zavádí povinné požadavky na kybernetickou bezpečnost pro hardwarové a softwarové produkty s digitálními prvky. Pokrývá celý životní cyklus produktu od návrhu až po ukončení podpory a jeho cílem je řešit rozšíření nezabezpečených IoT a softwarových produktů.[1]

CRA se vztahuje na produkty uváděné na trh EU bez ohledu na místo jejich výroby.

Časový harmonogram uplatnění

DatumMilník
10. prosince 2024Vstup CRA v platnost
11. září 2026Začátek povinností hlášení
11. prosince 2027Plné uplatnění všech požadavků

Produkty v rozsahu

Pokryté produkty

Produkty s digitálními prvky, které:

  • Mají přímé nebo nepřímé logické či fyzické datové připojení k zařízení nebo síti
  • Zahrnují hardwarové a softwarové komponenty

Kategorie

KategoriePožadavkyPříklady
VýchozíVlastní hodnoceníVětšina softwaru, základní IoT
Důležitá třída IHodnocení na základě standardůProhlížeče, správci hesel, VPN, správa sítí
Důležitá třída IIHodnocení třetí stranouOperační systémy, firewally, routery, hypervizory
KritickáHodnocení třetí stranou + certifikaceHardwarové bezpečnostní moduly, chytré měřiče, chytré karty

Výjimky

  • Open source software (nekomerční vývoj)
  • SaaS (pokryto jinými předpisy)
  • Produkty již regulované (lékařské přístroje, vozidla, letectví)
  • Produkty pro obranu a národní bezpečnost

Základní požadavky na kybernetickou bezpečnost[2]

Bezpečnost podle návrhu

Produkty musí být navrženy a vyvinuty tak, aby zajistily:

  1. Vhodnou úroveň bezpečnosti: Na základě předvídatelných rizik
  2. Žádné známé zneužitelné zranitelnosti: V době uvedení na trh
  3. Bezpečnou výchozí konfiguraci: Včetně možnosti obnovení do továrního nastavení
  4. Ochranu důvěrnosti: Pro uložená, přenášená a zpracovávaná data
  5. Ochranu integrity: Proti neoprávněným úpravám
  6. Dostupnost: Odolnost proti útokům typu denial of service
  7. Minimální povrch útoku: Snížení potenciálních vektorů útoku
  8. Omezení dopadů incidentů: Minimalizace následků narušení

Autentizace a řízení přístupu

  • Silné, jedinečné výchozí přihlašovací údaje nebo nastavení uživatelem při prvním použití
  • Ochrana proti útokům hrubou silou
  • Bezpečné autentizační mechanismy

Ochrana dat

  • Šifrované ukládání citlivých dat
  • Bezpečný přenos dat
  • Vymazání nebo anonymizace dat, pokud již nejsou potřeba

Požadavky na řešení zranitelností[3]

Výrobci musí:

  1. Identifikovat zranitelnosti: Prostřednictvím testování a monitorování
  2. Dokumentovat komponenty: Vést seznam softwarových komponent (SBOM)
  3. Řešit zranitelnosti: Poskytovat bezpečnostní aktualizace bez zbytečného odkladu
  4. Oznamovat zranitelnosti: Koordinovat s dotčenými stranami
  5. Bezpečnostní aktualizace: Bezplatné aktualizace po definovanou dobu podpory (minimálně 5 let)

Hlášení zranitelností

Od září 2026 musí výrobci hlásit:

Typ hlášeníČasový rámec
Aktivně zneužívaná zranitelnost24 hodin ENISA
Incident s dopadem na bezpečnost24 hodin ENISA/CSIRT
Oznámení o zranitelnosti72 hodin ENISA

Posuzování shody

KategoriePostup
VýchozíVlastní prohlášení nebo zkouška typu EU
Důležitá třída IHarmonizované normy NEBO hodnocení třetí stranou
Důležitá třída IIPosuzování shody třetí stranou
KritickáZkouška typu EU + zajištění kvality výroby

Produkty musí nést označení CE potvrzující shodu.

Sankce

  • Nedodržení: Až 15 milionů EUR nebo 2,5 % celosvětového obratu
  • Porušení základních požadavků: Až 10 milionů EUR nebo 2 % obratu
  • Jiná porušení: Až 5 milionů EUR nebo 1 % obratu[4]

Úkoly pro vývojáře

Pro výrobce softwaru a hardwaru:

  1. Inventarizace produktů: Určit, které jsou v rozsahu a jejich kategorii
  2. Bezpečnost podle návrhu: Integrovat bezpečnost do vývojových procesů
  3. Řízení zranitelností: Zavést postupy detekce a řešení
  4. Vytvoření SBOM: Dokumentovat softwarové komponenty a závislosti
  5. Plánování podpory: Definovat a komunikovat podpůrné období
  6. Mechanismy aktualizací: Vybudovat bezpečné systémy doručování aktualizací
  7. Příprava na posuzování shody: Připravit technickou dokumentaci

Zdroje a odkazy

[1]
Nařízení (EU) 2024/2847 o požadavcích na kybernetickou bezpečnost produktů. EUR-Lex: Oficiální text CRA
[2]
Příloha I CRA: Základní požadavky na kybernetickou bezpečnost. Portál CRA: Příloha I
[3]
Příloha I část II CRA: Požadavky na řešení zranitelností. Portál CRA: Řešení zranitelností
[4]
Článek 64 CRA: Sankce. Portál CRA: Sankce