Cyber Resilience Act (CRA) – nový evropský rámec kybernetické bezpečnosti digitálních produktů

09.02.2026

Evropská unie přijala dne 23. října 2024 nařízení o kybernetické odolnosti (Cyber Resilience Act – CRA, EU 2024/2847), které zásadně mění přístup k zajištění kybernetické bezpečnosti digitálních produktů.

Nařízení zavádí povinné požadavky pro všechny výrobky s digitálním prvkem – tedy hardware a software, které mohou být připojeny k síti nebo zpracovávat data. Cílem je, aby byly bezpečné již od návrhu (security by design) a udržovaly si odolnost vůči kybernetickým hrozbám po celý svůj životní cyklus.

Co CRA stanovuje

Nařízení představuje horizontální právní rámec – vztahuje se na široké spektrum zařízení, od počítačů a mobilních telefonů až po chytrá zařízení, řídicí jednotky a softwarová řešení. Týká se také komponent, které jsou uváděny na trh samostatně.

Naopak se nevztahuje na:

  • nekomerční (hobby) produkty,
  • čistě poskytované služby (např. SaaS, webové aplikace),
  • a některé regulované sektory, jako je automobilový, zdravotnický, lodní či letecký průmysl

Kategorizace produktů podle CRA

Nařízení CRA rozděluje produkty s digitálním prvkem do tří základních kategorií, podle míry jejich dopadu na kybernetickou bezpečnost a rizika, které mohou představovat.

1) Základní (default / general / residual) produkty

Tato kategorie zahrnuje běžné spotřebitelské a kancelářské produkty, u nichž se předpokládá nízké riziko dopadu na bezpečnost sítě nebo uživatelů.

Typicky půjde o:

  • osobní počítače a notebooky,
  • chytré domácí spotřebiče (např. smart TV, IoT senzory),
  • kancelářský software, mobilní aplikace, běžné firemní aplikace.

2) Důležité (important) produkty

Produkty, jejichž selhání nebo zneužití by mohlo ovlivnit více systémů nebo uživatelů.

Typicky půjde o:

  • síťová zařízení (např. routery, brány firewall, Wi-Fi přístupové body),
  • servery, virtualizační a cloudové platformy,
  • vývojářské nástroje, které se používají při tvorbě softwaru.

3) Kritické (critical) produkty

Produkty s klíčovým dopadem na infrastrukturu, bezpečnost a odolnost systémů.

Typicky půjde o:

  • průmyslové řídicí systémy (ICS, SCADA),
  • systémy pro energetiku, dopravu, zdravotnictví,
  • prvky kritické komunikační infrastruktury a síťové řízení.

Doplňkově CRA uznává také zvláštní kategorii FOSS (Free and Open-Source Software), která má odlišný režim, pokud není vyvíjena či distribuována v rámci komerční činnosti.

Kdo ponese odpovědnost a nové povinnosti

Nařízení CRA ukládá jasně definované povinnosti všem subjektům dodavatelského řetězce – výrobcům, dovozcům, distributorům i samotným členským státům.

Výrobci

Výrobci ponesou hlavní odpovědnost za to, že jejich produkty s digitálním prvkem budou bezpečné po celou dobu životního cyklu.

Budou muset zejména:

  • zajistit, aby produkty splňovaly všechny požadavky CRA,
  • připravit a udržovat technickou dokumentaci prokazující shodu,
  • zavést procesy pro řízení zranitelností, vydávání a distribuci bezpečnostních aktualizací,
  • vystavit EU prohlášení o shodě a opatřit výrobky označením CE,
  • zajistit, že i po uvedení na trh budou produkty nadále v souladu s požadavky CRA.

Dovozci a distributoři

Dovozci a distributoři budou odpovědní za to, že na trh EU budou uváděny pouze produkty splňující CRA.

Budou muset zejména:

  • ověřit, že produkt nese značku CE a je doplněn o potřebnou dokumentaci,
  • kontrolovat, že výrobce splnil své povinnosti včetně informování o zranitelnostech a poskytování aktualizací,
  • zajistit, aby skladování, přeprava a distribuce produktů neohrozila jejich bezpečnostní vlastnosti.

Členské státy

Každý členský stát EU, včetně České republiky, bude muset:

  • určit orgán dozoru nad trhem a oznamující orgán odpovědný za jmenování notifikovaných osob,
  • přenést nezbytná ustanovení CRA do národní legislativy,
  • zajistit připravenost národních subjektů posuzování shody, zkušeben a laboratoří,
  • podporovat průmysl a výrobce při zavádění nových pravidel prostřednictvím metodických pokynů a konzultací. 

Jak se bude shoda prokazovat

Posuzování shody bude vycházet z harmonizovaných norem, které jsou v aktuálně ve fázi přípravy.

V rámci Evropského výboru pro normalizaci (CEN) a Evropského výboru pro elektrotechnickou normalizaci (CENELEC) se připravuje přibližně čtyřicet nových standardů, které budou k CRA harmonizovány a umožní výrobcům prokazovat splnění požadavků jednotným způsobem v rámci celé EU.

Tyto normy mají poskytnout jednotný rámec pro dokazování souladu s požadavky CRA napříč EU.

Mezi harmonizované standardy bude patřit také soubor norem IEC 62443, zaměřený na kybernetickou bezpečnost systémů průmyslové automatizace a řízení, který bude hrát klíčovou roli zejména u průmyslových a síťových produktů.

Prokazování shody bude probíhat podle Nového legislativního rámce EU (NLF) prostřednictvím různých modulů:

  • Modul A (interní kontrola výrobce) – určený pro většinu produktů základní kategorie, kdy výrobce sám prokáže splnění požadavků pomocí interní dokumentace a harmonizovaných norem.
  • Moduly B, C nebo Hpro důležité a kritické produkty, kde se vyžaduje zapojení notifikované osoby nebo certifikačního orgánu, který provede nezávislé posouzení shody.
  • U vysoce rizikových produktů se předpokládá možnost využití certifikace podle Aktu o kybernetické bezpečnosti (CSA). 

Klíčové termíny CRA

  1. září 2026 – od tohoto data vstupuje v platnost povinnost výrobců hlásit aktivně zneužívané zranitelnosti a závažné kybernetické incidenty.

To znamená, že jakmile výrobce zjistí, že v jeho produktu existuje zranitelnost, která je v praxi aktivně využívána k útoku, nebo že došlo k bezpečnostnímu incidentu s významným dopadem na bezpečnost či důvěrnost dat, musí tuto skutečnost bez zbytečného odkladu nahlásit příslušnému orgánu.

V praxi to bude:

  • v České republice pravděpodobně Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB),
  • na úrovni EU pak Evropské centrum pro kybernetickou bezpečnost (ECCC) nebo další určený evropský koordinátor.

Výrobce musí současně:

  • informovat uživatele o zranitelnosti a poskytnout jim doporučení nebo bezpečnostní aktualizaci,
  • vést interní záznamy o všech nahlášených incidentech a přijatých nápravných opatřeních,
  • zajistit, že tyto procesy jsou integrovány do jeho systému řízení zranitelností (Vulnerability Handling Process).

Povinnost hlášení se vztahuje na všechny produkty s digitálním prvkem, které jsou uvedeny na trh EU, bez ohledu na jejich kategorii (základní, důležité, kritické).

  1. prosince 2027 – od tohoto data bude nařízení CRA plně použitelné.

To znamená, že všechny nové produkty uváděné na trh Evropské unie budou muset být v plném souladu s požadavky CRA – včetně prokazatelné implementace bezpečnostních opatření, procesů řízení zranitelností, technické dokumentace a označení CE.

Proč začít s přípravou už nyní

Nařízení Cyber Resilience Act (CRA) představuje největší legislativní změnu v oblasti kybernetické bezpečnosti produktů za poslední dekádu. Dopad bude plošný – dotkne se výrobců, dovozců, distributorů i poskytovatelů služeb souvisejících s digitálními produkty.

Zkušenosti z implementace předchozích evropských regulací (např. MDR či RED) ukazují, že příprava na nové povinnosti je časově náročný proces, který vyžaduje přehodnocení interních procesů, vytvoření nové dokumentace a často i úpravy produktového vývoje.

Výrobci, dovozci a distributoři by proto měli s přípravou začít bezodkladně protože CRA bude mít zásadní vliv na možnost uvádět produkty na trh Evropské unie. Od 11. prosince 2027 nebude možné uvést na trh žádný produkt s digitálním prvkem, který nebude splňovat požadavky nařízení – v opačném případě hrozí zákaz distribuce a sankce.

Včasná příprava proto není pouze administrativní nutností, ale i strategickou investicí do konkurenceschopnosti a důvěryhodnosti výrobce na evropském trhu.