EU Cyber Resilience Act (CRA)
EU Cyber Resilience Act (Nariadenie 2024/2847) je prelomov� eur�pska regul�cia, ktor� zav�dza povinn� po�iadavky na kybernetick� bezpecnost pre v�etky produkty s digit�lnymi prvkami � hardv�r aj softv�r � pred�van� na trhu Eur�pskej �nie.
Kl�cov� fakty
| Detail | Inform�cia |
|---|---|
| Nadobudnutie �cinnosti | 10. december 2024 |
| Povinnosti hl�senia | 11. september 2026 |
| Pln� �cinnost | 11. december 2027 |
| Rozsah | V�etky produkty s digit�lnymi prvkami na trhu E� |
| Pokuta za nes�lad | Do 15 mil. � alebo 2,5% celosvetov�ho rocn�ho obratu |
Co CRA vy�aduje?
Pre v�robcov
- Bezpecnost od n�vrhu � Produkty musia byt navrhnut� s kybernetickou bezpecnostou od zaciatku.
- Spr�va zranitelnost� � Akt�vny monitoring a oprava zranitelnost� pocas celej �ivotnosti produktu (min. 5 rokov).
- Bezpecn� aktualiz�cie � Produkty musia podporovat bezpecn� automatick� aktualiz�cie.
- Secure boot � Zariadenia musia zabezpecit integritu firmv�ru kryptografick�m overen�m.
- SBOM � Strojovo citateln� invent�r v�etk�ch softv�rov�ch komponentov.
- Hl�senie incidentov � Akt�vne zneu�it� zranitelnosti musia byt nahl�sen� ENISA do 24 hod�n.
Kateg�rie produktov
| Kateg�ria | Pr�klady | Posudzovanie zhody |
|---|---|---|
| Z�kladn� | Smart TV, hracky, reproduktory | Vlastn� pos�denie v�robca |
| D�le�it� (Trieda I) | Routery, VPN, IoT br�ny | Harmonizovan� �tandard alebo tretia strana |
| D�le�it� (Trieda II) | Firewally, IDS, secure elementy, OS, mikrokontrol�ry | Povinn� audit tretou stranou |
| Kritick� | Smart karty, HSM, smart merace | EU certifik�cia kybernetickej bezpecnosti |
Dopad na hardv�rov� produkty
Pre v�robcov embedded hardv�ru CRA vy�aduje:
- Hardware Root of Trust � Secure boot s hardv�rovo zakotven�mi kl�cmi.
- Ochrana proti manipul�cii � Fyzick� bezpecnostn� opatrenia.
- Bezpecn� provisionovanie � Injekcia kl�cov a identita zariaden� pri v�robe.
- Dlhodob� �dr�ba � Monitoring zranitelnost� pocas celej �ivotnosti produktu.
- Bezpecnost dod�vatelsk�ho retazca � SBOM dokument�cia v�etk�ch firmv�rov�ch komponentov.
CRA vs. in� regul�cie E�
| Regul�cia | Rozsah | Zameranie |
|---|---|---|
| CRA | Produkty (HW + SW) | Bezpecnost produktov pocas �ivotn�ho cyklu |
| Smernica NIS2 | Organiz�cie | Organizacn� kybernetick� bezpecnost |
| ETSI EN 303 645 | Spotrebitelsk� IoT | Bezpecnostn� z�klad (13 ustanoven�) |
| IEC 62443 | Priemyseln� automatiz�cia | Bezpecnost OT syst�mov |
Casov� os pre dosiahnutie s�ladu
- Teraz ? Sep 2026 � Pos�denie portf�lia produktov, implement�cia procesov security-by-design, pr�prava SBOM n�strojov.
- Sep 2026 � Zaciatok povinnost� hl�senia zranitelnost�.
- Dec 2027 � Vy�adovan� pln� s�lad. Produkty bez s�ladu nem��u z�skat oznacenie CE.
S�visiace pojmy
- Secure Boot � Z�kladn� po�iadavka CRA na integritu firmv�ru.
- IoT � Pripojen� zariadenia najviac ovplyvnen� po�iadavkami CRA.
- HSM � Hardv�rov� bezpecnostn� moduly pre spr�vu kl�cov v s�lade s CRA.
- SBOM � Software Bill of Materials, mand�tovan� CRA pre transparentnost dod�vatelsk�ho retazca a sledovanie zranitelnost�.
- ENISA � Agent�ra E� prij�maj�ca hl�senia o zranitelnostiach podla CRA.
Inovasense pon�ka komplexn� pr�pravu na s�lad s CRA � od anal�zy nedostatkov a n�vrhu bezpecnostnej architekt�ry (secure boot, SBOM, spr�va zranitelnost�) po dokument�ciu pre oznacenie CE, aby boli va�e produkty pripraven� pred term�nom december 2027.