Akt o kybernetickej odolnosti: Čo to konkrétne znamená pre vaše podnikanie?

Prečo sa to týka práve vás

Predstavte si, že predávate smart zariadenie - termostat, bezpečnostnú kameru alebo priemyselný senzor. Doposiaľ stačilo, aby produkt fungoval. O bezpečnostné aktualizácie po predaji sa nikto nestaral systematicky. Zákazník kúpil, zákazník si poradil.

Tento model skončil. Cyber Resilience Act (CRA) mení základnú premisu trhu. Bezpečnosť digitálnych produktov sa stáva zákonnou povinnosťou. Platí to pre výrobcov, importérov aj distribútorov, teda pre každého, kto sa podieľa na dodávateľskom reťazci produktu s digitálnymi prvkami.

Bezpečnosť od prvej čiarky kódu

CRA zavádza princíp security by design, čo znamená, že bezpečnosť musí byť integrovaná do celého procesu návrhu a vývoja. Konkrétne to znamená:

• žiadne predvolené slabé heslá - produkty musia mať bezpečnú konfiguráciu hneď po vybalení,
• minimalizácia útočnej plochy - len nevyhnutné porty, služby a funkcie,
• ochrana pred neoprávneným prístupom a šifrovaná komunikácia,
• dokumentovaný vývoj - technická dokumentácia musí preukázať splnenie požiadaviek.

Právna poznámka Povinnosti sa vzťahujú nielen na samotný hardvér alebo softvér, ale aj na každý integrovaný komponent tretej strany. Ak váš produkt obsahuje open-source knižnice, zodpovednosť za ich bezpečnosť nesie výrobca, nie autor knižnice.

Minimálne 5 rokov podpory po predaji

CRA stanovuje prísnu spodnú hranicu. Výrobca musí zabezpečiť bezpečnostné záplaty a riešenie zraniteľností počas celého predpokladaného obdobia používania produktu, minimálne však päť rokov. Čo to v praxi znamená? Náklady na patch management musia byť zakalkulované do ceny produktu od prvého dňa. Model "predaj a zabudni" je právne neudržateľný. A ak produkt dosahuje koniec podpory skôr, zákazník musí byť o tom jasne informovaný ešte pred kúpou.

Rýchle nahlasovanie incidentov

Ak dôjde k aktívnemu zneužitiu zraniteľnosti alebo závažnému bezpečnostnému incidentu, platia tieto záväzné lehoty bez výnimiek:

• do 24 hodín - včasné varovanie agentúre ENISA a príslušnej jednotke CSIRT;
• do 72 hodín - oznámenie s podrobným hodnotením a zmierňujúcimi opatreniami a
• do 14 dní / 1 mesiaca - záverečná správa po sprístupnení nápravného opatrenia.

Pozor na termín Ohlasovacie povinnosti nadobúdajú účinnosť už 11. septembra 2026, tzn. výrazne skôr než zvyšok nariadenia. Aj keď váš produkt príde na trh o rok, procesy notifikácie musíte mať nastavené teraz.

SBOM – softvérový zoznam ingrediencií

Rovnako ako potravinársky výrobok musí mať zoznam ingrediencií, digitálny produkt musí mať zdokumentovaný obsah svojho softvéru. Software Bill of Materials (SBOM) nie je formalita, je to aktívny nástroj riadenia rizík.

Aké sú podmienky?

• Musí obsahovať všetky softvérové komponenty, ich verzie, závislosti a pôvod, vrátane open-source prvkov;
• Umožňuje rýchlu identifikáciu, keď sa objaví zraniteľnosť v niektorom komponente.
• Musíte požadovať rovnakú transparentnosť od svojich softvérových dodávateľov.
• Integrácia open-source komponentu neznamená prenesenie zodpovednosti na jeho autora.

Označenie CE a certifikačné kategórie

Bez splnenia požiadaviek CRA nebude možné legálne predávať digitálne produkty na trhu EÚ. Nariadenie rozlišuje tri úrovne prísnosti podľa rizikovosti produktu:

1. Bežné produkty - výrobca môže vyhlásiť zhodu sám prostredníctvom vnútornej kontroly.
2. Dôležité produkty (trieda I a II) - vyžadujú EÚ skúšku typu alebo audit tretej strany.
3. Kritické produkty - povinná európska certifikácia.

Sankcie, ktoré prinútia konať aj board

Pokuty sú nastavené pomerne vysoko.

• Nesúlad so základnými bezpečnostnými požiadavkami a povinnosťami výrobcov - do 15 000 000 EUR alebo 2,5 % obratu.
• Neplnenie ostatných povinností - do 10 000 000 EUR alebo 2 % obratu.
• Poskytnutie nesprávnych alebo zavádzajúcich informácií orgánom dohľadu - do 5 000 000 EUR alebo 1 % obratu.

Kľúčové dátumy, ktoré treba sledovať

11. sept. 2026 - nadobudnutie účinnosti ohlasovacích povinností 11. dec. 2027 - plné uplatňovanie nariadenia CRA

Záver:

Ak váš produkt príde na trh v roku 2026 alebo neskôr, jeho vývoj sa musí riadiť požiadavkami CRA už dnes. Výrobné cykly neumožňujú čakať na poslednú chvíľu.

Nie ste si istí, čo CRA znamená pre váš konkrétny produkt?

Pomôžeme vám vyhodnotiť, do ktorej kategórie váš produkt patrí, nastaviť compliance procesy a pripraviť potrebnú dokumentáciu skôr, než príde pokuta.

Dohodnúť konzultáciu si môžete u našich špecialistov na kybernetickú bezpečnosť alebo tu: +421 232 609 451, office@semancin.sk