Zajištění souladu s NIS2: Více informací ZDE

232 000 330

TEAMVIEWER

HELPDESK

Sdílejte:

Akt o kybernetické odolnosti

Podpora kybernetické odolnosti digitálních produktů

Publikováno: 30. 06. 2026
Eu,Cyber,Resilience,Act,-,Cra,,Representing,European,Cybersecurity,Regulations

Akt o kybernetické odolnosti (CRA) není jen další administrativa, je to zásadní změna evropského práva, která staví bezpečnost na úroveň technické kvality a funkčnosti. Pokud vyvíjíte software, integrujete systémy nebo prodáváte digitální produkty na trhu EU, toto nařízení se vás bezprostředně týká.

1. Proč je CRA pro IT sektor tak zásadní?

CRA zavádí koncept „zodpovědnosti za produkt po celou dobu životnosti“. Výrobce softwaru už nemůže po vydání verze 1.0 dát od produktu ruce pryč Nařízení vynucuje, aby produkty byly bezpečné už od fáze návrhu (Security by Design) a aby výrobce aktivně reagoval na nově objevené zranitelnosti.

Klíčové termíny z pohledu CRA:

  • Od 11. září 2026: Startuje povinnost hlásit závažné incidenty a aktivně zneužívané zranitelnosti (tzv. zero-day exploity) v rámci EU.
  • Od 11. prosince 2027: Produkty, které nesplňují požadavky CRA, nebudou moci být legálně na trhu EU.
Close-up,Of,Blue,Circuit,Board,With,Traces,And,Components,For
Software,Development,Concept.,Hands,Typing,On,Laptop,With,Programming,Code

2. Jste „Výrobce“ digitálních produktů?

Mnoho IT firem, které se považují za integrátory, se při bližším pohledu na definice CRA stávají i výrobci. Jde o tyto případy:

  • Pokud vyvíjíte vlastní aplikaci, nadstavbu nad CRM, nebo pokud spojíte hardware a software třetích stran do jednoho funkčního celku.
  • Pokud v rámci svého řešení využíváte open source a je součástí komerčního řešení, přebíráte odpovědnost za jeho bezpečnost. Obsahuje-li open source chybu, za dopady v rámci vašeho řešení odpovídáte vy a musíte chyby záplatovat.

3. Klasifikace digitálních produktů

Podle nařízení o kybernetické odolnosti (CRA) se digitální produkty s digitálními prvky dělí do kategorií podle míry rizika, což určuje, jak přísným procesem posouzení shody musí produkt projít. Zde je přehled této klasifikace:

  • Produkty se standardními požadavky: Většina digitálních produktů spadá do této základní kategorie. U nich výrobce provádí posouzení shody sám (tzv. samoposouzení) a vystavuje EU prohlášení o shodě.

  • Produkty třídy I: Jde o produkty s vyšším rizikem (například prohlížeče, antivirové programy, firewally nebo systémy pro správu identit). Tyto produkty vyžadují přísnější posouzení, které může zahrnovat zapojení oznámeného subjektu (tzv. notifikované osoby) nebo uplatnění harmonizovaných norem.

  • Produkty třídy II: Jde o kritické produkty (například operační systémy pro servery a desktopy, průmyslové řídicí systémy, routery nebo mikrokontroléry). U těchto produktů je posouzení shody oznámeným subjektem povinné, protože představují vysoké riziko z hlediska kybernetické bezpečnosti.

Důležité upozornění: Pokud váš produkt spadá do třídy I nebo II, proces přípravy na CRA je mnohem náročnější a vyžaduje spolupráci s externími auditními orgány (v ČR pod dohledem NÚKIB), což je proces, který byste měli zahájit s velkým předstihem před prosincem 2027.

Close-up,Of,Blue,Circuit,Board,With,Traces,And,Components,For
Analýza rizik

4. Co od vás CRA vyžaduje?

Abyste splnili požadavky na bezpečnost, je nutné splnit několik procesních kroků:

  1. Analýza rizik (Threat Modeling): Musíte mít zdokumentovanou úvahu o tom, jaká jsou největší rizika vašeho řešení (např. únik dat zákazníka, neoprávněné API volání).
  2. SBOM (Software Bill of Materials): Toto je úplná novinka – musíte vést „soupisku“ všech komponent, ze kterých se váš software skládá (včetně verzí knihoven). Dozorový orgán (NÚKIB) může chtít vidět, z čeho je váš software „sestaven“.
  3. Povinné aktualizace: Musíte mít definovanou dobu podpory (např. 5 let) a proces, jak uživatelům doručovat bezpečnostní záplaty.
  4. Bezpečná výchozí konfigurace: Výchozí nastavení musí být „bezpečné na první dobrou“ – žádná defaultní hesla typu admin/admin nebo otevřené porty.

5. Role dozorového orgánu a certifikace v ČR

V České republice bude hlavním hráčem NÚKIB. Pro firmy to znamená:

  • U kritičtějších produktů (Třída I a II) budete potřebovat audit od tzv. oznámeného subjektu. NÚKIB bude dohlížet na to, aby tyto subjekty byly kompetentní.
  • Pokud úřad zjistí, že prodáváte nebezpečný produkt, má pravomoc jej zakázat. Představte si situaci, kdy máte 100 zákazníků běžících na vašem softwaru a úřad vám nařídí „zastavit distribuci a provoz“. To je významné obchodní riziko, kterému lze předejít jedině včasnou přípravou.
  • Váš software bude muset mít prohlášení o shodě, že produkt splňuje základní požadavky na kybernetickou bezpečnost.
Dozorový orgán CRA
A,Person,Works,On,A,Laptop,In,A,Bright,Office,

6. Jak se na cra připravit?

Nečekejte na rok 2027. Příprava na CRA je běh na dlouhou trať:

  1. Analýza: Identifikujte všechny vlastní softwarové produkty a moduly. Zjistěte, které jsou „vlastní vývoj“ a které „třetí strana“.
  2. Audit dodavatelského řetězce: Zkontrolujte, jaké knihovny používáte a jak je udržujete. Pokud váš kód závisí na zastaralých a neudržovaných knihovnách, máte problém.
  3. Security by Design: Zaveďte do svého vývoje automatizované testování bezpečnosti (SAST/DAST) a pravidelné skenování zranitelností (v rámci CI/CD).
  4. Kontrola smluv: Aktualizujte své smlouvy se zákazníky a subdodavateli. Jasně definujte, kdo nese odpovědnost za aktualizace a kdo za bezpečnostní incidenty.
  5. Evidence incidentů: Začněte budovat procesy pro záznam bezpečnostních incidentů – od září 2026 už to bude zákonná povinnost, ne jen dobrá praxe.

Závěr: Bezpečnost jako konkurenční výhoda

CRA můžeme vnímat jako další administrativní zátěž, představuje ale také obrovskou příležitost. Až budou klienti vybírat dodavatele, certifikovaný a „CRA-compliant“ software bude mít obrovský náskok před konkurencí, která bude „záplatovat za pochodu“ a bát se kontrol NÚKIBu. My v ARIONu jdeme rozhodně cestou zajištění bezpečnosti našich řešení ve spojení s dodržením všech potřebných zákonných požadavků. Rádi v tomto ohledu budeme nápomocni i našim zákazníkům a se zajištěním souladu s nařízením CRA jsme připraveni pomoci. Kontaktovat nás můžete zde.

Starší příspěvky:

Wooden,Blocks,With,Words,'cyber,Hygiene'.,Business,Concept

Kyberhygiena

Stejně jako dbáme na vlastní hygienu, měli bychom pečovat i o „čistotu“ svého digitálního prostředí. Kyberhygiena je soubor jednoduchých návyků, které snižují

Číst více
Black,And,White,Hand,Pressing,A,Switch,Button,Which,Starts

Copilot Studio v praxi

Když se řekne umělá inteligence ve firmě, většina lidí si představí generování textů, tvorbu prezentací nebo shrnutí schůzek. To je

Číst více
Arion_2025_Nahled-newsletter-web

ARION News – Květen 2026

Číst více

Akt o kybernetické odolnosti

Eu,Cyber,Resilience,Act,-,Cra,,Representing,European,Cybersecurity,Regulations

Akt o kybernetické odolnosti (CRA) není jen další administrativa, je to zásadní změna evropského práva, která staví bezpečnost na úroveň technické kvality a funkčnosti. Pokud vyvíjíte software, integrujete systémy nebo prodáváte digitální produkty na trhu EU, toto nařízení se vás bezprostředně týká.

1. Proč je CRA pro IT sektor tak zásadní?

CRA zavádí koncept „zodpovědnosti za produkt po celou dobu životnosti“. Výrobce softwaru už nemůže po vydání verze 1.0 dát od produktu ruce pryč Nařízení vynucuje, aby produkty byly bezpečné už od fáze návrhu (Security by Design) a aby výrobce aktivně reagoval na nově objevené zranitelnosti.

Klíčové termíny z pohledu CRA:

  • Od 11. září 2026: Startuje povinnost hlásit závažné incidenty a aktivně zneužívané zranitelnosti (tzv. zero-day exploity) v rámci EU.
  • Od 11. prosince 2027: Produkty, které nesplňují požadavky CRA, nebudou moci být legálně na trhu EU.
Close-up,Of,Blue,Circuit,Board,With,Traces,And,Components,For
Software,Development,Concept.,Hands,Typing,On,Laptop,With,Programming,Code

2. Jste „Výrobce“ digitálních produktů?

Mnoho IT firem, které se považují za integrátory, se při bližším pohledu na definice CRA stávají i výrobci. Jde o tyto případy:

  • Pokud vyvíjíte vlastní aplikaci, nadstavbu nad CRM, nebo pokud spojíte hardware a software třetích stran do jednoho funkčního celku.
  • Pokud v rámci svého řešení využíváte open source a je součástí komerčního řešení, přebíráte odpovědnost za jeho bezpečnost. Obsahuje-li open source chybu, za dopady v rámci vašeho řešení odpovídáte vy a musíte chyby záplatovat.

3. Klasifikace digitálních produktů

Podle nařízení o kybernetické odolnosti (CRA) se digitální produkty s digitálními prvky dělí do kategorií podle míry rizika, což určuje, jak přísným procesem posouzení shody musí produkt projít. Zde je přehled této klasifikace:

  • Produkty se standardními požadavky: Většina digitálních produktů spadá do této základní kategorie. U nich výrobce provádí posouzení shody sám (tzv. samoposouzení) a vystavuje EU prohlášení o shodě.

  • Produkty třídy I: Jde o produkty s vyšším rizikem (například prohlížeče, antivirové programy, firewally nebo systémy pro správu identit). Tyto produkty vyžadují přísnější posouzení, které může zahrnovat zapojení oznámeného subjektu (tzv. notifikované osoby) nebo uplatnění harmonizovaných norem.

  • Produkty třídy II: Jde o kritické produkty (například operační systémy pro servery a desktopy, průmyslové řídicí systémy, routery nebo mikrokontroléry). U těchto produktů je posouzení shody oznámeným subjektem povinné, protože představují vysoké riziko z hlediska kybernetické bezpečnosti.

Důležité upozornění: Pokud váš produkt spadá do třídy I nebo II, proces přípravy na CRA je mnohem náročnější a vyžaduje spolupráci s externími auditními orgány (v ČR pod dohledem NÚKIB), což je proces, který byste měli zahájit s velkým předstihem před prosincem 2027.

Close-up,Of,Blue,Circuit,Board,With,Traces,And,Components,For
Analýza rizik

4. Co od vás CRA vyžaduje?

Abyste splnili požadavky na bezpečnost, je nutné splnit několik procesních kroků:

  1. Analýza rizik (Threat Modeling): Musíte mít zdokumentovanou úvahu o tom, jaká jsou největší rizika vašeho řešení (např. únik dat zákazníka, neoprávněné API volání).
  2. SBOM (Software Bill of Materials): Toto je úplná novinka – musíte vést „soupisku“ všech komponent, ze kterých se váš software skládá (včetně verzí knihoven). Dozorový orgán (NÚKIB) může chtít vidět, z čeho je váš software „sestaven“.
  3. Povinné aktualizace: Musíte mít definovanou dobu podpory (např. 5 let) a proces, jak uživatelům doručovat bezpečnostní záplaty.
  4. Bezpečná výchozí konfigurace: Výchozí nastavení musí být „bezpečné na první dobrou“ – žádná defaultní hesla typu admin/admin nebo otevřené porty.

5. Role dozorového orgánu a certifikace v ČR

V České republice bude hlavním hráčem NÚKIB. Pro firmy to znamená:

  • U kritičtějších produktů (Třída I a II) budete potřebovat audit od tzv. oznámeného subjektu. NÚKIB bude dohlížet na to, aby tyto subjekty byly kompetentní.
  • Pokud úřad zjistí, že prodáváte nebezpečný produkt, má pravomoc jej zakázat. Představte si situaci, kdy máte 100 zákazníků běžících na vašem softwaru a úřad vám nařídí „zastavit distribuci a provoz“. To je významné obchodní riziko, kterému lze předejít jedině včasnou přípravou.
  • Váš software bude muset mít prohlášení o shodě, že produkt splňuje základní požadavky na kybernetickou bezpečnost.
Dozorový orgán CRA
A,Person,Works,On,A,Laptop,In,A,Bright,Office,

6. Jak se na cra připravit?

Nečekejte na rok 2027. Příprava na CRA je běh na dlouhou trať:

  1. Analýza: Identifikujte všechny vlastní softwarové produkty a moduly. Zjistěte, které jsou „vlastní vývoj“ a které „třetí strana“.
  2. Audit dodavatelského řetězce: Zkontrolujte, jaké knihovny používáte a jak je udržujete. Pokud váš kód závisí na zastaralých a neudržovaných knihovnách, máte problém.
  3. Security by Design: Zaveďte do svého vývoje automatizované testování bezpečnosti (SAST/DAST) a pravidelné skenování zranitelností (v rámci CI/CD).
  4. Kontrola smluv: Aktualizujte své smlouvy se zákazníky a subdodavateli. Jasně definujte, kdo nese odpovědnost za aktualizace a kdo za bezpečnostní incidenty.
  5. Evidence incidentů: Začněte budovat procesy pro záznam bezpečnostních incidentů – od září 2026 už to bude zákonná povinnost, ne jen dobrá praxe.

Závěr: Bezpečnost jako konkurenční výhoda

CRA můžeme vnímat jako další administrativní zátěž, představuje ale také obrovskou příležitost. Až budou klienti vybírat dodavatele, certifikovaný a „CRA-compliant“ software bude mít obrovský náskok před konkurencí, která bude „záplatovat za pochodu“ a bát se kontrol NÚKIBu. My v ARIONu jdeme rozhodně cestou zajištění bezpečnosti našich řešení ve spojení s dodržením všech potřebných zákonných požadavků. Rádi v tomto ohledu budeme nápomocni i našim zákazníkům a se zajištěním souladu s nařízením CRA jsme připraveni pomoci. Kontaktovat nás můžete zde.

Sdílet aktualitu:

Nejnovější příspěvky

Nezmeškejte novinky

Neodkládejte řešení technologických problémů.
Spojte se se zkušeným partnerem, který je vyřeší za vás.
REGISTROVAT NEWSLETTER