Cyber Resilience Act (CRA)
Kybernetická odolnost digitálních produktů
CRA zavádí závazné požadavky na bezpečnost produktů s digitálními prvky uváděných na trh EU. Dopadá na výrobce, dovozce i distributory a vyžaduje systematický přístup k bezpečnosti.
Připravíme vaše produkty a procesy
Zaměřujeme se na skutečnou připravenost, ne na dokumentaci "na papíře"
Pomůžeme vám zjistit, zda se CRA týká vašich produktů, jaké povinnosti z něj pro vás vyplývají a jak nastavit bezpečnost tak, aby obstála technicky, procesně i obchodně.
Proč CRA řešit už teď
Zvyšuje
bezpečnost produktů
Přesná konfigurace na míru vašim potřebám.
Závazné požadavky EU
Jednotná pravidla pro výrobce, dovozce i distributory.
Snižuje
kybernetická rizika
Méně zranitelností, incidentů a výpadků.
Posiluje důvěru a
konkurenceschopnost
Bezpečné produkty jsou výhodou v tendrech i u zákazníků.
Koho se CRA týká
Výrobci, dovozci a distributoři
CRA se může týkat firem, které vyvíjejí, vyrábějí, dovážejí, distribuují nebo prodávají produkty s digitálními prvky. Dopadá tedy nejen na samotné výrobce, ale i na další subjekty v dodavatelském řetězci.
Software, hardware i digitální komponenty
Typicky jde o software, aplikace, SaaS řešení, IoT zařízení, průmyslové technologie, síťové prvky, embedded systémy nebo digitální komponenty integrované do dalších produktů.
Dopad podle vaší role a produktu
Povinnosti se liší podle toho, jaké produkty dodáváte, komu je dodáváte, jak jsou používány a jaká rizika představují. Pomůžeme vám rozlišit, které části vašeho portfolia do CRA spadají a kde vzniká největší regulatorní i technické riziko.
Co CRA od firem vyžaduje
CRA zavádí požadavky na bezpečnost produktů s digitálními prvky napříč jejich životním cyklem. Nejde jen o jednorázovou kontrolu před uvedením produktu na trh. Firmy musí řešit bezpečný návrh, vývoj, testování, zranitelnosti, aktualizace, dokumentaci i reakci na bezpečnostní incidenty.
V praxi se zaměřujeme zejména na:
posouzení dopadu CRA na konkrétní produkt nebo portfolio
bezpečnostní analýzu produktu a souvisejících procesů
řízení zranitelností a bezpečnostních aktualizací
nastavení bezpečného vývoje
přípravu technické a bezpečnostní dokumentace
vyhodnocení dodavatelů a používaných komponent
návrh opatření pro splnění požadavků CRA
Cílem není vytvořit další sadu formálních dokumentů. Cílem je nastavit bezpečnost tak, aby byla funkční, ověřitelná a dlouhodobě udržitelná.
Jak vám s CRA pomůžeme
Převádíme CRA do konkrétních opatření, která fungují v reálném provozu
Naše podpora není postavená na obecném výkladu regulace. Zaměřujeme se na to, jak se požadavky CRA promítnou do vašich produktů, týmů, procesů, dokumentace a každodenního rozhodování.
01
Posouzení dopadu
02
Gap analýza
03
Implementační roadmapa
04
Secure by design
05
Vulnerability management
06
Security updates & lifecycle
07
Dokumentace a soulad
08
Governance a odpovědnosti
Posouzení dopadu CRA na produkty a portfolio
Pomáháme organizacím pochopit, zda a jak se CRA vztahuje na jejich konkrétní produkty, služby a obchodní model.
Zmapování produktového portfolia z pohledu CRA
Posouzení, zda produkty spadají do kategorie produktů s digitálními prvky
Vyhodnocení role organizace v dodavatelském řetězci
Identifikace produktových kategorií a úrovně rizika
Posouzení dopadu na obchodní model, distribuce a partnerské vztahy
Přehled regulatorních povinností relevantních pro daný typ produktu
Vstupní podklady pro rozhodování managementu
Získáte jasný přehled, které produkty spadají do působnosti CRA, jaké povinnosti z toho vyplývají a kde má smysl začít.
Proč Revolution/IT pro vaši CRA připravenost
Kybernetickou bezpečnost řešíme prakticky. Propojujeme technickou expertizu, provozní zkušenost a schopnost dodat konkrétní opatření, která dávají smysl pro byznys.
Zkušenosti
napříč obory
Rozumíme požadavkům regulací i provozní realitě firem
Technologie
pod kontrolou
Pomáháme vám nastavit bezpečné prostředí, které skutečně funguje
Komplexní
přístup
Od analýzy přes návrh po implementaci a provoz
Důraz
na výsledek
Nezajímá nás formální soulad, ale reálná připravenost
Často kladené dotazy (FAQ)
Co je Cyber Resilience Act (CRA)?
Cyber Resilience Act, zkráceně CRA, je evropské nařízení zaměřené na kybernetickou bezpečnost produktů s digitálními prvky. Dopadá na software, hardware, aplikace, zařízení, IoT produkty a další digitální produkty uváděné na trh EU. Cílem CRA je zajistit, aby byly digitální produkty bezpečné už od návrhu, pravidelně aktualizované a odolné vůči kybernetickým hrozbám po celou dobu svého životního cyklu.
Na koho se Cyber Resilience Act vztahuje?
CRA se týká zejména výrobců, vývojářů, dovozců a distributorů produktů s digitálními prvky. V praxi může dopadat na firmy, které vyvíjejí software, dodávají SaaS řešení, vyrábějí IoT zařízení, integrují digitální komponenty nebo uvádějí technologické produkty na evropský trh. Povinnosti se liší podle role organizace v dodavatelském řetězci a podle rizikovosti konkrétního produktu.
Kdy začne CRA platit a dokdy se musí firmy připravit?
Cyber Resilience Act je již přijaté evropské nařízení. Plně použitelné bude od 11. prosince 2027, některé povinnosti však začnou platit dříve. Pravidla pro oznamování subjektů posuzování shody se použijí od 11. června 2026 a oznamovací povinnosti podle CRA od 11. září 2026. Firmy by proto neměly čekat až na rok 2027, protože příprava často vyžaduje změny ve vývoji, dokumentaci, řízení zranitelností, bezpečnostním testování i procesech incident response.
Jaké hlavní povinnosti CRA přináší firmám?
CRA zavádí požadavky na bezpečný návrh a vývoj digitálních produktů, řízení kybernetických rizik, správu zranitelností, bezpečnostní aktualizace, technickou dokumentaci, posuzování shody a označení CE. Výrobci budou muset prokázat, že jejich produkt splňuje základní kyberbezpečnostní požadavky a že existují procesy pro jeho bezpečnou údržbu po dobu životního cyklu. Součástí přípravy na CRA je proto nejen právní analýza, ale především technické a procesní nastavení kybernetické bezpečnosti.
Jak souvisí CRA s NIS2?
CRA a NIS2 se doplňují, ale neřeší totéž. NIS2 se zaměřuje hlavně na kybernetickou bezpečnost organizací a služeb v regulovaných odvětvích. CRA se zaměřuje na kybernetickou bezpečnost digitálních produktů, které jsou uváděny na trh EU. Firma tak může řešit NIS2 kvůli své činnosti jako organizace a zároveň CRA kvůli softwaru, hardwaru nebo digitálním produktům, které vyvíjí, prodává nebo distribuuje. Pro B2B dodavatele technologií může být soulad s CRA důležitý i obchodně, protože zákazníci budou čím dál častěji požadovat prokazatelnou bezpečnost produktu.
Co znamená CRA pro výrobce softwaru, SaaS a technologické firmy?
Pro výrobce softwaru a technologické firmy znamená CRA nutnost zavést bezpečnost do celého vývojového cyklu produktu. Nestačí řešit kybernetickou bezpečnost až po uvedení produktu na trh. Firmy budou potřebovat bezpečný vývoj, řízení zranitelností, evidenci komponent, pravidelné bezpečnostní testování, proces vydávání aktualizací, dokumentaci a schopnost reagovat na incidenty. U B2B softwaru může být připravenost na CRA také konkurenční výhodou při výběrových řízeních, auditech dodavatelů a jednáních s velkými zákazníky.
