Čo je CRA alebo aj Cyber Resilience Act? 

Ide o právnu normu, ktorá sa vzťahuje na produkty s digitálnymi prvkami, konkrétne o normu, ktorá stanovuje minimálne požiadavky na úroveň ich kybernetickej bezpečnosti.

Koho sa CRA týka?

✅ výrobcov (ak vyvíjate softvér alebo aplikácie)

✅ dovozcov (dovozca IoT riešenia alebo smart hodiniek do EÚ)

✅ distribútorov produktov s digitálnymi prvkami na trhu EÚ (napríklad e-shop nakupujúci smart hodinky od ich slovenského dovozcu)

Aké povinnosti CRA stanovuje?

CRA hovorí, že zodpovednosť za kybernetickú bezpečnosť digitálnych produktov, najmä softvéru, majú mať tí, ktorí ho uvádzajú na trh Európskej únie.

Inak povedané, softvér, ktorý nebude podmienky CRA spĺňať, nebude môcť byť uvedený na európsky trh.

Povinnosti podľa CRA

secure by design & by default – stanovuje povinnosť vyvíjať softvér bezpečne, teda v súlade s princípmi bezpečného vývoja.

riadenie zraniteľností a aktualizácie – zraniteľnosti majú byť priebežne monitrované a ohlasované počas celého životného cyklu digitálnych produktov.

CE označenie pre digitálne produkty a softvér, ktoré bude znamenať, že digitálny produkt spĺňa požiadavky na bezpečnosť podľa CRA.

povinné oznamovanie incidentov a zraniteľností v stanovených lehotách.

Kedy začne platiť?

Nariadenie už je účinné od 10. 12. 2024.

Hlavné povinnosti sa začnú uplatňovať od 11. 12. 2027 avšak POZOR, – niektoré oznamovacie povinnosti vám vzniknú už v roku 2026.

Ako splniť CRA?

Firmy majú niekoľko rokov na prípravu, ale z pohľadu vývoja softvéru to nie je veľa času.

CRA totiž neznamená iba „papierovú“ bezpečnosť ale predovšetkým znamená bezpečnosť pri vývoji softvéru.

To sa bude týkať všetkých produktov na trhu, aj takých ktoré ste už vyvinuli a poskytujete zákazníkom.

Súhrne povedaná príprava na CRA znamená zmenu prístupu k bezpečnosti (i.) pri dizajnovaní, (ii.) programovaní, (iii.) testovaní či (iii.) dokumentovaní softvéru.  Dotkne sa taktiež poskytovania poskytovania aktualizácií alebo servisných či SLA služieb.

V nasledujúcich postoch sa pozrieme detailnejšie na:

1️⃣ ktoré digitálne produkty budú podliehať najprísnejšiemu režimu,
2️⃣ čo presne bude musieť výrobca z pohľadu bezpečnosti preukázať,
3️⃣ ako si začať robiť „inventúru“ portfólia a pripraviť roadmapu do roku 2027.

Ak vyvíjate alebo predávate digitálne riešenia do EÚ, Cyber Resilience Act sa vás veľmi pravdepodobne týka. Teraz je ten správny čas začať sa o ňom rozprávať.

 

Menu