Aká legislatíva EÚ ovplyvňuje výrobcov hardvéru v roku 2026?
Šesť veľkých nariadení EÚ sa zbieha na výrobcov hardvéru v roku 2026: Zákon o kybernetickej odolnosti (CRA) (hlásenie zraniteľností od septembra 2026), Delegované akty RED (aktívne od augusta 2025), AI Act (vynucovanie od augusta 2026), Ecodesign ESPR s Digitálnym Pasom Produktu (register prevádzkový od júla 2026), Smernica NIS2 (ovplyvňujúca požiadavky dodávateľského reťazca) a EU Chips Act (pretvára polovodičové dodávateľské reťazce). Tento sprievodca mapuje každý termín, povinnosť a akčný bod pre výrobcov dodávajúcich produkty na európsky trh.
Regulačné tsunami 2026
Rok 2026 je najvýznamnejší rok pre európsku reguláciu hardvéru od zavedenia CE značenia. Po prvýkrát bude šesť samostatných nariadení EÚ súčasne ukladať nové povinnosti výrobcom elektronických produktov — od kybernetickej bezpečnosti a governance AI po environmentálnu udržateľnosť a transparentnosť dodávateľského reťazca.
Toto nie je teória. Premeškajte jeden termín a váš produkt nemôže byť legálne predávaný v EÚ. Kombinované potenciálne pokuty presahujú 40 miliónov € za porušenie naprieč rôznymi rámcami.
📌 Zhrnutie pre vedenie (TL;DR)
Hrozba: V roku 2026 sa zbieha šesť veľkých nariadení EÚ. Nesúlad znamená okamžitú stratu CE značenia a tvrdý zákaz na trhu EÚ.
Skrytý náklad: Dodatočné zabezpečenie existujúcich offshore dizajnov stojí 5–10× viac ako ich zabudovanie od prvého dňa. Typický redizajn dosky stojí 50 000 – 200 000 €.
Riešenie: Prežitie vyžaduje Hardvérovú Suverenitu EÚ. Architektúra musí teraz zahŕňať vstavaný Hardware Root of Trust, overiteľné dodávateľské reťazce a Edge AI. Tento sprievodca vysvetľuje presne, čo musí váš R&D tím urobiť dnes.
Tu je kompletný časový plán:
| Dátum | Nariadenie | Čo sa deje |
|---|---|---|
| Už aktívne | RED 2022/30/EÚ | Požiadavky na kybernetickú bezpečnosť pre všetky rádiové zariadenia (od augusta 2025) |
| 2. feb 2025 | AI Act | Zákaz AI systémov s neprijateľným rizikom |
| 11. jún 2026 | CRA | Orgány posudzovania zhody začínajú fungovať |
| 19. júl 2026 | ESPR | Register Digitálneho Pasu Produktu sa stáva prevádzkovým |
| 2. aug 2026 | AI Act | Plné vynucovanie pre vysokorizikové AI systémy (Príloha III) |
| 11. sep 2026 | CRA | Povinné hlásenie zraniteľností do 24 hodín |
| Q3 2026 | CRA | Prvé harmonizované normy uverejnené |
| 11. dec 2026 | CRA | Notifikované orgány plne funkčné v celej EÚ |
| 2. aug 2027 | AI Act | Pravidlá pre AI vstavaný v regulovaných hardvérových produktoch |
| 11. dec 2027 | CRA | Plné vynucovanie — nesúladné produkty zakázané na trhu EÚ |
1. Zákon o kybernetickej odolnosti (CRA)
Nariadenie (EÚ) 2024/2847 — najvplyvnejšie nariadenie pre výrobcov hardvéru.
Čo vyžaduje
Každý produkt s digitálnymi prvkami — akýkoľvek hardvér obsahujúci softvér alebo sieťové pripojenie — musí spĺňať povinné požiadavky na kybernetickú bezpečnosť:
- Bezpečné bootovanie s Hardware Root of Trust
- Autentifikované OTA aktualizácie s ochranou proti rollbacku
- Manažment zraniteľností po celý životný cyklus produktu (minimálne 5 rokov)
- Softvérový zápis materiálov (SBOM) vo formáte SPDX alebo CycloneDX
- Hlásenie incidentov ENISA do 24 hodín od zistenia aktívne zneužívaných zraniteľností
Termíny 2026
| Míľnik | Dátum | Dopad |
|---|---|---|
| Orgány posudzovania zhody aktivované | 11. júna 2026 | Audítori tretích strán začínajú prijímať prihlášky |
| Prvé harmonizované normy (Typ A/B) | Q3 2026 | Normy pre riadenie rizík a spracovanie zraniteľností uverejnené |
| Povinné hlásenie zraniteľností | 11. septembra 2026 | Všetci výrobcovia digitálnych produktov musia hlásiť zraniteľnosti ENISA do 24 hodín |
| Normy Typ C a vertikálne | Q4 2026 | Produktovo špecifické normy (IEC 62443 pre OT) uverejnené |
| Notifikované orgány plne funkčné | 11. decembra 2026 | Dostatočná kapacita posudzovania v členských štátoch EÚ |
Čo robiť TERAZ
- Klasifikujte svoj produkt — Default, Important (Trieda I/II) alebo Critical. Toto určuje, či potrebujete samohodnotenie alebo audit treťou stranou
- Implementujte generovanie SBOM — integrujte do svojho build pipeline dnes, nie šesť mesiacov pred termínom
- Zaveďte monitoring zraniteľností — pred septembrom 2026 potrebujete proces na detekciu zraniteľností vo vašich závislostiach
- Zabezpečte, aby váš hardvér podporoval bezpečné bootovanie — ak váš aktuálny MCU nepodporuje Hardware Root of Trust, potrebujete redizajn dosky. Toto sa nedá opraviť softvérovou aktualizáciou
Cena odkladu: Dodatočné zabezpečenie existujúceho hardvérového dizajnu stojí 5–10× viac ako jeho zabudovanie od fázy architektúry. Redizajn dosky spustený nesúladom s CRA typicky stojí 50 000 – 200 000 €.
Pre kompletný technický checklist pozrite náš CRA Checklist Súladu pre Hardvér.
🛡️ Výhoda Inovasense: Hardware Root of Trust
Softvérová bezpečnosť už na CE certifikáciu nestačí. V Inovasense dosahujeme CRA súlad priamo dizajnom. Integrujeme dedikované Bezpečnostné Elementy (napr. STSAFE, OPTIGA s EAL6+ certifikáciou) priamo do architektúry vášho PCB od prvého dňa. Toto garantuje matematicky dokázané Bezpečné Bootovanie a autentifikované OTA aktualizácie dávno predtým, než notifikované orgány začnú svoje audity.
Náš tím Embedded Security & IoT navrhol CRA-ready architektúry pre priemyselný IoT, smart metering a pripojené senzory — takže váš produkt expedujete s CE súladom zabudovaným, nie prilepeným.
2. Delegované akty RED (2022/30/EÚ)
Aktívne od 1. augusta 2025 — toto nie je nadchádzajúce, je to tu.
Čo vyžaduje
Všetky rádiové zariadenia (akékoľvek zariadenie s bezdrôtovým pripojením — Wi-Fi, Bluetooth, NB-IoT, LoRaWAN, celulárne, Zigbee, Thread) umiestnené na trh EÚ musia spĺňať tri nové základné požiadavky:
| Článok | Požiadavka | Platí pre |
|---|---|---|
| 3.3(d) | Ochrana siete — zariadenie nesmie poškodiť sieť ani zhoršiť jej fungovanie | Všetky rádiové zariadenia pripojené k internetu |
| 3.3(e) | Ochrana súkromia — ochrana osobných údajov a súkromia | Rádiové zariadenia spracúvajúce osobné údaje |
| 3.3(f) | Ochrana pred podvodom — funkcie minimalizujúce riziko finančného podvodu | Rádiové zariadenia používané pri peňažných transakciách |
Prečo je to dôležité pre 2026
Produkty navrhnuté a certifikované pred augustom 2025 podľa starého rámca RED môžu byť ešte v pipeline alebo v rannej výrobe. Ak expedujete nový hardvérový variant alebo aktualizujete certifikát typového skúšania, nové Delegované akty platia.
Navyše, požiadavky RED na kybernetickú bezpečnosť sa výrazne prekrývajú s CRA. Produkty vyhovujúce základným požiadavkám CRA budú z veľkej časti spĺňať aj RED čl. 3.3(d/e/f).
Čo robiť TERAZ
- Overte si Vyhlásenie o zhode — či odkazuje na správne harmonizované normy (EN 18031-1, EN 18031-2, EN 18031-3)
- Skontrolujte technický spis CE — ak bol pripravený podľa starého rámca RED, pravdepodobne potrebuje aktualizáciu
- Plánujte zosúladenie s CRA — navrhujte architektúru kybernetickej bezpečnosti tak, aby súčasne vyhovela obom rámcom
Pre úplné mapovanie regulácií pozrite náš Sprievodca Súladom Elektroniky v EÚ.
3. EU AI Act (Nariadenie (EÚ) 2024/1689)
Prvé komplexné nariadenie o AI na svete — a platí pre hardvér, nie len pre softvér.
Čo vyžaduje od výrobcov hardvéru
Ak váš produkt obsahuje AI komponent — aj jednoduchý edge ML model pre detekciu anomálií, rozpoznávanie hlasu alebo prediktívnu údržbu — môže spadať pod AI Act:
| Úroveň rizika | Príklady (hardvér) | Kľúčové povinnosti |
|---|---|---|
| Neprijateľné (zakázané) | Systémy sociálneho hodnotenia, zariadenia na podprahovú manipuláciu | Nemožno umiestniť na trh |
| Vysoké riziko | AI v medicínskych zariadeniach, bezpečnostných komponentoch, kritickej infraštruktúre, biometrickej identifikácii | Plné posúdenie zhody, riadenie rizík, ľudský dohľad, technická dokumentácia |
| Obmedzené riziko | Chatboty, rozpoznávanie emócií (spotrebiteľské) | Povinnosti transparentnosti (užívateľ musí vedieť, že interaguje s AI) |
| Minimálne riziko | Spam filtre, AI-vylepšené spracovanie obrazu (nie bezpečnostné) | Žiadne povinné požiadavky (kódexy postupov sa odporúčajú) |
Termíny 2026
| Míľnik | Dátum |
|---|---|
| Všeobecné povinnosti pre vysokorizikový AI | 2. augusta 2026 |
| Vysokorizikový AI v regulovaných produktoch (vstavaný HW) | 2. augusta 2027 |
Problém “Dvojitého zámku”
Ak vaše rádiové zariadenie používa AI pre funkciu vyžadovanú RED (napr. ochrana siete pomocou detekcie anomálií, ochrana súkromia pomocou on-device ML), musí vyhovovať súčasne RED čl. 3.3(d) aj AI Act. To vytvára kumulované požiadavky na posúdenie zhody.
🧠 Výhoda Edge AI: Regulačný Hack
Posielanie surových senzorových, audio alebo obrazových dát do cloudu vystavuje váš produkt prísnemu dohľadu AI Act a GDPR. Riešenie? Edge AI a TinyML. Spracovaním dát lokálne — priamo na mikročipe alebo vlastnom FPGA — žiadne surové osobné údaje nikdy neopustia zariadenie. Toto drasticky znižuje klasifikáciu rizika podľa AI Act a obchádza nočnú moru cloudového súladu.
Inovasense sa špecializuje na Edge AI inferenciu na MCU a FPGA — od TinyML detekcie anomálií na Cortex-M po vlastné akcelerátory neurónových sietí na Lattice a AMD FPGA. Vaše dáta zostávajú na zariadení. Váš súlad zostáva jednoduchý.
Čo robiť TERAZ
- Auditujte svoje AI komponenty — aj jednoduché ML modely na Cortex-M MCU môžu byť klasifikované ako vysokorizikové, ak sú použité pre bezpečnostné funkcie
- Dokumentujte tréningové dáta — AI Act vyžaduje detailnú dokumentáciu datasetov, tréningových metodológií a zmiernenia zaujatosti
- Implementujte ľudský dohľad — vysokorizikové AI systémy musia umožniť zmysluplný ľudský dohľad
- Plánujte s rozšíreným harmonogramom — AI v regulovaných produktoch má čas do augusta 2027, ale ak je váš produktový cyklus 12-18 mesiacov, musíte začať TERAZ
4. Ecodesign (ESPR) a Digitálny Pas Produktu
Nariadenie (EÚ) 2024/1781 — revolúcia udržateľnosti zasahuje elektroniku.
Čo vyžaduje
Nariadenie o ecodizajne udržateľných produktov nahrádza starú smernicu Ecodesign a masívne rozširuje jej rozsah. Elektronika a ICT produkty sú kategórie s vysokou prioritou:
- Digitálny Pas Produktu (DPP) — digitálny záznam prístupný cez QR kód obsahujúci materiálové zloženie, uhlíkovú stopu, skóre opraviteľnosti, recyklovaný obsah a dáta dodávateľského reťazca
- Požiadavky na trvácnosť — minimálna prevádzková životnosť, dostupnosť náhradných dielov
- Skóre opraviteľnosti — štandardizovaný hodnotiaci systém jednoduchosti opravy produktu
- Mandáty na recyklovaný obsah — minimálne percento recyklovaných materiálov vo výrobe
- Zákaz ničenia — veľké podniky majú zakázané ničiť nepredané produkty
Termíny 2026
| Míľnik | Dátum |
|---|---|
| Register DPP prevádzkový | 19. júla 2026 |
| Batériový DPP povinný (>2 kWh) | 2026-2027 |
| Požiadavky DPP pre elektroniku prijaté | 2027 (očakávané) |
Čo robiť TERAZ
- Začnite zbierať dáta dodávateľského reťazca — materiálové zloženie, krajina pôvodu, percentá recyklovaného obsahu. Zbieranie týchto dát je najťažšia časť a trvá mesiace
- Navrhujte pre opraviteľnosť — modulárne konektory, prístupné komponenty, minimalizujte proprietárne spojovacie prvky. Toto ovplyvňuje vaše rozhodnutia o layoute PCB a mechanickom dizajne UŽ DNES
- Vyhodnoťte svoj BOM z hľadiska udržateľnosti — môžete získať recyklované plasty pre kryty? Môžete znížiť vzácne zeminy vo vašom dizajne?
5. Smernica NIS2 (Smernica (EÚ) 2022/2555)
NIS2 primárne cieli na prevádzkovateľov základnej a dôležitej infraštruktúry — energetika, doprava, zdravotníctvo, digitálna infraštruktúra, výroba. Ale vytvára nepriame povinnosti pre výrobcov hardvéru cez dodávateľský reťazec.
Ako ovplyvňuje výrobcov hardvéru
Entity regulované NIS2 sú povinné implementovať opatrenia bezpečnosti dodávateľského reťazca. To znamená:
- Vaši zákazníci v kritických sektoroch budú požadovať dôkazy o vašich postupoch kybernetickej bezpečnosti
- Požiadavky na obstarávanie budú čoraz viac zahŕňať súlad s CRA, dostupnosť SBOM a záväzky manažmentu zraniteľností
- Vaše produkty musia podporovať bezpečnostné architektúry, ktoré sú vaši zákazníci povinní implementovať
Čo robiť TERAZ
- Pripravte dotazníky kybernetickej bezpečnosti — vaši B2B zákazníci ich budú posielať. Majte pripravenú dokumentáciu súladu s CRA
- Publikujte svoju politiku zverejňovania zraniteľností — entity NIS2 si musia overiť, že ich dodávatelia majú štruktúrované procesy
- Ponúknite SBOM ako štandard — toto sa stane konkurenčným diferenciátorom v B2B predaji v sektoroch kritickej infraštruktúry
🇪🇺 Suverénna výhoda: 100% dodávateľský reťazec EÚ
Sledovanie pôvodu komponentov, uhlíkových stôp a zraniteľností firmvéru (SBOM) cez fragmentovaný, nízkonákladový offshore dodávateľský reťazec je takmer nemožné. Inovasense garantuje plne európsky dodávateľský reťazec a R&D proces. Poskytujeme kompletnú BOM trasovateľnosť, nekompromisné IP ochranu a bezproblémové dáta pre vaše Digitálne Pasy Produktov (DPP) a NIS2 audity dodávateľov.
Keď váš tím obstarávania položí otázku „Vieme sledovať každý komponent späť k jeho pôvodu?" — s Inovasense je odpoveď vždy áno. Prečítajte si viac o našom prístupe k Hardvérovej Suverenite EÚ.
6. EU Chips Act (Nariadenie (EÚ) 2023/1781)
EU Chips Act zaväzuje 43 miliárd € na posilnenie európskych polovodičových kapacít. Hoci neukladá priame povinnosti súladu väčšine výrobcov hardvéru, pretvára prostredie:
- Stimuly na diverzifikáciu dodávateľského reťazca — financovanie EÚ pre spoločnosti znižujúce závislosť na ázijských polovodičových dodávateľských reťazcoch
- Suverenita dizajnu — podpora európsky navrhnutých čipov a IP blokov (vrátane ekosystému RISC-V)
- Mechanizmus krízovej reakcie — EÚ môže prioritizovať prideľovanie čipov počas nedostatku
Čo to znamená pre vašu stratégiu 2026
- Vyhodnoťte alternatívy z EÚ — štátne stimuly môžu urobiť európskych dodávateľov čipov cenovo konkurenčnými
- Zvážte RISC-V — otvorená ISA je v súlade s cieľmi suverenity EÚ a prijíma dedikované financovanie
- Monitorujte riziká prideľovania čipov — krízový mechanizmus môže ovplyvniť váš dodávateľský reťazec počas nedostatku
Pre našu analýzu príležitostí RISC-V pozrite RISC-V vs ARM: Sprievodca Embedded Architektúrou.
Matica súladu: Ako sa regulácie prekrývajú
Ak vyrábate pripojený elektronický produkt, pravdepodobne čelíte viacerým súčasným povinnostiam:
| Váš produkt | CRA | RED | AI Act | ESPR/DPP | NIS2 (nepriamo) |
|---|---|---|---|---|---|
| IoT senzor (NB-IoT) | ✅ | ✅ | ❌ | 🟡 | ✅ (ak predávaný kritickej infraštruktúre) |
| Smart home hub (Wi-Fi) | ✅ | ✅ | 🟡 (ak AI funkcie) | 🟡 | ❌ |
| Priemyselný gateway (Ethernet + LTE) | ✅ | ✅ | 🟡 | 🟡 | ✅ |
| AI kamera (edge ML + Wi-Fi) | ✅ | ✅ | ✅ | 🟡 | ✅ |
| Medicínsky wearable (BLE) | ✅* | ✅ | ✅ (ak diagnostická AI) | 🟡 | ✅ |
| FPGA vývojová doska | ✅ | ❌ (ak bez rádio) | ❌ | 🟡 | ❌ |
✅ = Povinné | 🟡 = Očakávané/Pravdepodobné | ❌ = Neaplikovateľné | * = Odvetvové pravidlá môžu mať prednosť
Časový plán: Čo robiť a kedy
Q1 2026 (Teraz)
- Dokončiť klasifikáciu produktu podľa CRA (Default / Important / Critical)
- Auditovať existujúce produkty na súlad s RED 2022/30/EÚ
- Začať generovanie SBOM a monitoring zraniteľností
- Auditovať AI komponenty podľa kategórií rizika AI Act
- Začať zbierať dáta udržateľnosti dodávateľského reťazca pre ESPR
Q2 2026 (Apríl – Jún)
- Vytvoriť infraštruktúru hlásenia zraniteľností (integrácia CSIRT)
- Podať žiadosť na orgán posudzovania zhody, ak je to potrebné (Important Trieda II / Critical)
- Pripraviť dátovú štruktúru Digitálneho Pasu Produktu
- Aktualizovať technickú dokumentáciu pre zosúladenie CRA + RED
Q3 2026 (Júl – September)
- ⚠️ 11. septembra: Povinnosti hlásenia zraniteľností nadobúdajú účinnosť
- Zosúladiť sa s prvými uverejnenými harmonizovanými normami CRA
- Implementovať riadenie rizík AI Act pre vysokorizikové AI produkty
- Pripraviť odpovede na dotazníky dodávateľského reťazca NIS2
Q4 2026 (Október – December)
- Preskúmať normy Typ C a vertikálne (IEC 62443 pre OT)
- Začať posúdenie zhody pre spustenie produktov v roku 2027
- Overiť úplnosť dát ESPR/DPP pre nadchádzajúce požiadavky na elektroniku
- Finálna analýza medzier pred plným vynucovaním CRA (december 2027)
Skutočná cena nesúladu
| Nariadenie | Maximálna pokuta | Dodatočné riziko |
|---|---|---|
| CRA | 15M € alebo 2,5 % globálneho obratu | Stiahnutie produktu, zákaz na trhu EÚ |
| AI Act | 35M € alebo 7 % globálneho obratu | Zákaz produktu |
| RED | Závisí od členského štátu | Odňatie CE značenia |
| ESPR | Závisí od členského štátu | Zamietnutie prístupu na trh |
| NIS2 | 10M € alebo 2 % globálneho obratu | Vylúčenie z dodávateľského reťazca |
Finančná expozícia naprieč všetkými reguláciami môže teoreticky presiahnuť 75 miliónov € pre jednu produktovú radu. Ale väčšie riziko je prístup na trh — nesúladný produkt jednoducho nemôže byť predávaný v Európskej únii.
Prestaňte hádať. Začnite navrhovať pre súlad.
Čakanie na fázu prototypu s premýšľaním o Zákone o kybernetickej odolnosti alebo RED je najrýchlejší spôsob, ako stratiť CE značenie a spáliť 50 000+ € na redizajne dosky.
Nedovoľte, aby súlad zabil váš produktový plán. Rezervujte si Revíziu Hardvérovej Architektúry a Súladu s Inovasense.
V cielenej 45-minútovej technickej konzultácii s našimi seniorovými embedded inžiniermi:
- Analyzujeme váš aktuálny alebo plánovaný hardvérový blokový diagram — výber MCU, konektivita, bezpečnostná architektúra
- Identifikujeme kritické medzery v súlade, ktoré zablokujú váš vstup na trh EÚ v rokoch 2026/2027
- Poskytneme jasnú roadmapu pre implementáciu Bezpečnostných Elementov, Edge AI a suverénneho dodávateľského reťazca EÚ
Váš produktový plán beží proti času. September 2026 je bližšie ako vaša ďalšia revízia PCB.