EU Cyber Resilience Act (CRA)
EU Cyber Resilience Act (Nariadenie 2024/2847) je prelomová európska regulácia, ktorá zavádza povinné požiadavky na kybernetickú bezpečnosť pre všetky produkty s digitálnymi prvkami — hardvér aj softvér — predávané na trhu Európskej únie.
Kľúčové fakty
| Detail | Informácia |
|---|
| Nadobudnutie účinnosti | 10. december 2024 |
| Povinnosti hlásenia | 11. september 2026 |
| Plná účinnosť | 11. december 2027 |
| Rozsah | Všetky produkty s digitálnymi prvkami na trhu EÚ |
| Pokuta za nesúlad | Do 15 mil. € alebo 2,5% celosvetového ročného obratu |
Čo CRA vyžaduje?
Pre výrobcov
- Bezpečnosť od návrhu — Produkty musia byť navrhnuté s kybernetickou bezpečnosťou od začiatku.
- Správa zraniteľností — Aktívny monitoring a oprava zraniteľností počas celej životnosti produktu (min. 5 rokov).
- Bezpečné aktualizácie — Produkty musia podporovať bezpečné automatické aktualizácie.
- Secure boot — Zariadenia musia zabezpečiť integritu firmvéru kryptografickým overením.
- SBOM — Strojovo čitateľný inventár všetkých softvérových komponentov.
- Hlásenie incidentov — Aktívne zneužité zraniteľnosti musia byť nahlásené ENISA do 24 hodín.
Kategórie produktov
| Kategória | Príklady | Posudzovanie zhody |
|---|
| Základná | Smart TV, hračky, reproduktory | Vlastné posúdenie výrobca |
| Dôležitá (Trieda I) | Routery, VPN, IoT brány | Harmonizovaný štandard alebo tretia strana |
| Dôležitá (Trieda II) | Firewally, IDS, secure elementy, OS, mikrokontroléry | Povinný audit treťou stranou |
| Kritická | Smart karty, HSM, smart merače | EU certifikácia kybernetickej bezpečnosti |
Dopad na hardvérové produkty
Pre výrobcov embedded hardvéru CRA vyžaduje:
- Hardvérový koreň dôvery — Secure boot s hardvérovo zakotvenými kľúčmi.
- Ochrana proti manipulácii — Fyzické bezpečnostné opatrenia.
- Bezpečné provisionovanie — Injekcia kľúčov a identita zariadení pri výrobe.
- Dlhodobá údržba — Monitoring zraniteľností počas celej životnosti produktu.
- Bezpečnosť dodávateľského reťazca — SBOM dokumentácia všetkých firmvérových komponentov.
CRA vs. iné regulácie EÚ
| Regulácia | Rozsah | Zameranie |
|---|
| CRA | Produkty (HW + SW) | Bezpečnosť produktov počas životného cyklu |
| Smernica NIS2 | Organizácie | Organizačná kybernetická bezpečnosť |
| ETSI EN 303 645 | Spotrebiteľské IoT | Bezpečnostný základ (13 ustanovení) |
| IEC 62443 | Priemyselná automatizácia | Bezpečnosť OT systémov |
Časová os pre dosiahnutie súladu
- Teraz → Sep 2026 — Posúdenie portfólia produktov, implementácia procesov security-by-design, príprava SBOM nástrojov.
- Sep 2026 — Začiatok povinností hlásenia zraniteľností.
- Dec 2027 — Vyžadovaný plný súlad. Produkty bez súladu nemôžu získať označenie CE.
Súvisiace pojmy
- Secure Boot — Základná požiadavka CRA na integritu firmvéru.
- IoT — Pripojené zariadenia najviac ovplyvnené požiadavkami CRA.
- HSM — Hardvérové bezpečnostné moduly pre správu kľúčov v súlade s CRA.
- SBOM — Software Bill of Materials, mandátovaný CRA pre transparentnosť dodávateľského reťazca a sledovanie zraniteľností.
