Kapitoly 09 Účinné od: 11. december 2027 (plné)

Zákon o kybernetickej odolnosti

Zákon o kybernetickej odolnosti

Prehľad

Zákon o kybernetickej odolnosti (CRA) zavádza povinné požiadavky na kybernetickú bezpečnosť pre hardvérové a softvérové produkty s digitálnymi prvkami. Pokrýva celý životný cyklus produktu od návrhu až po ukončenie podpory a jeho cieľom je riešiť rozšírenie nebezpečných IoT a softvérových produktov.[1]

CRA sa vzťahuje na produkty uvádzané na trh EÚ bez ohľadu na miesto ich výroby.

Časový harmonogram uplatňovania

DátumMedzník
10. december 2024Vstup CRA do platnosti
11. september 2026Začiatok povinností hlásenia
11. december 2027Plné uplatnenie všetkých požiadaviek

Produkty v rozsahu

Pokryté produkty

Produkty s digitálnymi prvkami, ktoré:

  • Majú priamu alebo nepriamu logickú alebo fyzickú dátovú väzbu na zariadenie alebo sieť
  • Zahŕňajú hardvérové a softvérové komponenty

Kategórie

KategóriaPožiadavkyPríklady
PredvolenáSebaocenenieVäčšina softvéru, základné IoT
Dôležitá trieda IHodnotenie na základe štandardovPrehliadače, správcovia hesiel, VPN, správa siete
Dôležitá trieda IIHodnotenie tretími stranamiOperačné systémy, firewally, smerovače, hypervízory
KritickáHodnotenie tretími stranami + certifikáciaHardvérové bezpečnostné moduly, inteligentné merače, inteligentné karty

Výnimky

  • Open source softvér (nekomerčný vývoj)
  • SaaS (pokrývané inými predpismi)
  • Produkty už regulované (lekárske zariadenia, vozidlá, letectvo)
  • Produkty pre obranu a národnú bezpečnosť

Základné požiadavky na kybernetickú bezpečnosť[2]

Bezpečnosť podľa návrhu

Produkty musia byť navrhnuté a vyvinuté tak, aby zabezpečili:

  1. Primeranú úroveň bezpečnosti: Na základe predvídateľných rizík
  2. Žiadne známe zneužiteľné zraniteľnosti: V čase uvedenia na trh
  3. Bezpečnú predvolenú konfiguráciu: Vrátane možnosti obnovenia do továrenských nastavení
  4. Ochranu dôvernosti: Pre uložené, prenášané a spracovávané údaje
  5. Ochranu integrity: Proti neoprávnenej úprave
  6. Dostupnosť: Odolnosť proti odmietnutiu služby
  7. Minimálnu plochu útoku: Zníženie potenciálnych vektorov útoku
  8. Obmedzenie dopadov incidentov: Minimalizácia následkov narušenia

Overovanie a kontrola prístupu

  • Silné, jedinečné predvolené prihlasovacie údaje alebo nastavené používateľom pri prvom použití
  • Ochrana proti útokom hrubou silou
  • Bezpečné autentifikačné mechanizmy

Ochrana údajov

  • Šifrované uloženie citlivých údajov
  • Bezpečný prenos údajov
  • Vymazanie alebo anonymizácia údajov, keď už nie sú potrebné

Požiadavky na riešenie zraniteľností[3]

Výrobcovia musia:

  1. Identifikovať zraniteľnosti: Prostredníctvom testovania a monitorovania
  2. Dokumentovať komponenty: Viesť zoznam softvérových súčastí (SBOM)
  3. Riešiť zraniteľnosti: Poskytovať bezpečnostné aktualizácie bez zbytočného odkladu
  4. Zverejňovať zraniteľnosti: Koordinovať s dotknutými stranami
  5. Bezpečnostné aktualizácie: Bezplatné aktualizácie počas definovaného obdobia podpory (minimálne 5 rokov)

Hlásenie zraniteľností

Od septembra 2026 musia výrobcovia hlásiť:

Typ hláseniaLehota
Aktívne zneužívaná zraniteľnosť24 hodín ENISA
Incident s bezpečnostným dopadom24 hodín ENISA/CSIRT
Oznámenie o zraniteľnosti72 hodín ENISA

Posudzovanie zhody

KategóriaPostup
PredvolenáSebačestné vyhlásenie alebo skúška typu EÚ
Dôležitá trieda IZharmonizované normy ALEBO hodnotenie tretími stranami
Dôležitá trieda IIPosudzovanie zhody tretími stranami
KritickáSkúška typu EÚ + zabezpečenie kvality výroby

Produkty musia niesť označenie CE potvrdzujúce súlad.

Pokuty

  • Nesplnenie požiadaviek: Až do 15 miliónov € alebo 2,5 % celosvetového obratu
  • Porušenie základných požiadaviek: Až do 10 miliónov € alebo 2 % obratu
  • Iné porušenia: Až do 5 miliónov € alebo 1 % obratu[4]

Úlohy pre vývojárov

Pre výrobcov softvéru a hardvéru:

  1. Zoznam produktov: Určiť, ktoré sú v rozsahu a ich kategóriu
  2. Bezpečnosť podľa návrhu: Integrovať bezpečnosť do vývojových procesov
  3. Správa zraniteľností: Zaviesť postupy detekcie a riešenia
  4. Vytvorenie SBOM: Dokumentovať softvérové komponenty a závislosti
  5. Plánovanie podpory: Definovať a komunikovať obdobia podpory
  6. Mechanizmy aktualizácií: Vybudovať bezpečné systémy doručovania aktualizácií
  7. Príprava zhody: Pripraviť technickú dokumentáciu

Zdroje a odkazy

[1]
Nariadenie (EÚ) 2024/2847 o požiadavkách na kybernetickú bezpečnosť produktov. EUR-Lex: Oficiálny text CRA
[2]
Príloha I CRA: Základné požiadavky na kybernetickú bezpečnosť. Portál CRA: Príloha I
[3]
Časť II prílohy I CRA: Požiadavky na riešenie zraniteľností. Portál CRA: Riešenie zraniteľností
[4]
Článok 64 CRA: Pokuty. Portál CRA: Pokuty