Nařízení (EU) 2024/2847, známé jako Nařízení o kybernetické bezpečnosti výrobků s digitálními prvky (Cyber Resilience Act – CRA), je legislativní akt Evropské unie, který byl přijat za účelem zajištění jednotných kybernetických požadavků pro hardwarové a softwarové produkty v EU.
Bylo:
přijato dne 23. října 2024,
uveřejněno v Úředním věstníku EU dne 20. listopadu 2024,
v platnost vstoupilo 10. prosince 2024.
🔐 Hlavní cíle nařízení
Zajistit, aby byly digitální produkty (např. routery, chytré domácnosti, aplikace) bezpečně navrhovány a vyráběny.
Zajistit, aby měly tyto produkty zabudované mechanismy pro správu zranitelností (např. automatické aktualizace).
Zvýšit důvěru uživatelů a ochranu spotřebitelů před kybernetickými hrozbami.
Zamezit roztříštěnosti trhu díky jednotným pravidlům napříč EU.
📦 Na koho se vztahuje
Výrobce digitálních zařízení a softwaru.
Dovozce a distributory těchto produktů.
Bude se týkat jak spotřebitelských produktů (např. smart televize), tak průmyslových zařízení (např. síťové prvky).
🧾 Klíčové povinnosti výrobců
Zajistit výchozí bezpečné nastavení zařízení.
Zajistit, aby produkt neobsahoval známé zranitelnosti.
Zavést systém sledování a oznamování zranitelností.
Poskytovat bezpečnostní aktualizace minimálně po dobu očekávaného používání produktu.
Vést technickou dokumentaci a prohlášení o shodě.
🗓️ Kdy začne platit
Nařízení je účinné od 10. prosince 2024.
Použitelnost bude postupná:
11. června 2026: začínají platit pravidla pro oznamování zranitelností.
11. září 2026: začnou platit další části týkající se dohledu a prosazování.
11. prosince 2027: nařízení bude plně účinné pro všechny povinné subjekty.