Kybernetická Bezpečnost & Růst
Publikováno dne
Legislativa

Cyber Resilience Act: co přinese firmám a vývojářům

Autor

CRA je nové evropské nařízení, které stanovuje bezpečnostní požadavky pro všechny produkty obsahující digitální prvky. Toto nařízení vstoupilo v platnost už v prosinci 2024, přičemž první povinnosti přicházejí v září 2026 a už do roku 2027 musí být dosaženo plného souladu s CRA.

CRA přitom není jen další zbytečná regulace, ale jde o nový standart celého IT trhu. Firmy které začnou s implementací včas získají konkurenční výhodu a pro své zákazníky budou důvěryhodnější. Firmy které budou čekat, budou muset dohánět procesní dluh řešit krizové situace a bojovat s chaosem těsně před termínem (který se neúprosně blíží).

Proto se v tomto článku se podíváme na to, co CRA konkrétně vyžaduje, jaké povinnosti přicházejí jako první a jak se s nimi vypořádat.

Security by Design jako povinnost

CRA zavádí tři základní principy

  • Secure by design,
  • Secure by default,
  • Lifecycle security.

Bezpečnost už nebude možné doplnit po vydání produktu Musí být součástí vývoje od prvního dne.

Co to ale v praxi znamená? Firmy budou muset provádět threat modeling, používat bezpečné programovací postupy a minimalizovat attack surface. Produkty musí vycházet s bezpečným výchozím nastavením a vulnerability management nesmí začínat až po vydání.

Incident reporting

První velká změna přichází už za půl roku. Kdy od 11. září 2026 budou mít firmy povinnost hlásit aktivně exploitované zranitelnosti, reportovat významné bezpečnostní incidenty a spolupracovat s evropskými autoritami (ENISA)

Problém je, že většina firem na to dnes není vůbec připravené a s rozvojem vibe codingu se tato skutečnost jen zhoršuje. Většina společností postrádá vulnerability management, neznají pořádně obsah vlastního softwaru, neumí eivodovat kompenenty a nemají nastavené procesy pro incident response. Bez těchto základních přístupů nejsou schopné garantovat SLA reporting, který CRA striktně vyžaduje.

SBOM se stane standardem

Jedním z největších dopadů CRA bude tlak na transparentnost software supply chainu, aby bylo jasně vidět odkud jaká komponenta pochází a z čeho se software skládá.

Co je tedy SBOM a proč je to důležité?

Software Bill of Materials (SBOM) je seznam všech komponent, knihoven a závislostí, ze kterých je software složen. Bez SBOM firma neví z čeho se přesně jejich produkt skládá a nemůže proto garantovat jeho bezpečnost.

Proto bude potřeba aktivně sledovat komponenty třetích stran, spravovat open-source knihovny a monitorovat nově objevené zranitelnosti (CVE). Pokud tedy nemáte centralizovanou správu závislostí, používáte neauditované open-source knihovny, nebo nemáte přehled o third party softwaru ve vašich produktech tak se tento "nepořádek" projeví v SBOM.

„Ship fast“ kultura končí

CRA zásadně mění mindset produktového vývoje, zatímco dlouhé roky fungoval model rychle vydat produkt a bezpečnost řešit podle potřeby později až se produkt začal více škálovat společně s dalšími aktualizacemi. Tak nyní bude výrobce odpovědný za bezpečnost produktu po celou dobu jeho životního cyklu.

Odpovědnost vzniká konkrétně za bezpečnost produktu v aktuálním stavu, aktualizace, aktivní řešení zranitelností a další podporu během životního cyklu. Z toho vyplývá vyšší tlak na vývojáře, nutnost robustnější governance a užší kooperace mezi vývojářským, bezpečnostním a právním oddělení.

Jaký to bude mít dopad na dodavatelské řetězce?

Nařízení se formálně stahuje jen na výrobce digitálních produktů, ale jeho dopad pocítí i firmy, které přímo pod nařízení nespadají. Velké enterprise firmy už začínají tlačit na dodavatele a tento trend bude jen zesilovat.

Jako běžnou součastí procurementu již budou požadavky na SBOM, důkaz o bezpečnosti softwaru, nastavení bezpečnosti v celém životním cyklu, proces nahlašování zranitelností a auditovatelnost všech procesů. Tlak je tímto nařízením vytvářen shora dolů přes celý trh.

Jaké budou sankce?

Finanční sankce budou vysoké! Pokuty mohou dosahovat výše až 15 milionů EUR, nebo 2,5 % globálního obratu. Kromě toho hrozí zákaz uvádění produktů na trh, nařízení o stažení produktu, reputační škody spojené s narušením dobrého jména firmy a problémy s novými i stálými enterprise zákazníky.

Jak se na to všechno připravit?

Příprava zahrnuje tři fáze, které přesně kopírují legislativní požadavky, přičemž s tou první je potřeba začít ihned.

Prvním krokem je základní orientace ve svých produktech.

Nyní je potřeba:

  • Identifikovat produkty pod CRA
  • Určit roli firmy
  • Provést gap analysis
  • Zmapovat software supply chain

Během roku 2026 je potřeba:

  • Zavést vulnerability management
  • Připravit incident reporting
  • Zavést SBOM
  • Nastavit coordinated vulnerability disclosure
  • Připravit secure SDLC

Už do roku 2027 je potřeba:

  • Automatizovat compliance
  • Vytvořit auditní záznam
  • Nastavit životní cyklus bezpečnostního managementu
  • Připravit shodu s evropskými požadavky

Co si z toho všeho odnést?

CRA zásadně mění pravidla hry pro všechny, kdo vyvíjejí nebo prodávají digitální produkty v Evropě a není to jen regulace, ale nový standard trhu. Bezpečnost prostě přestává být volitelnou součástí softwaru, ale stává se z ní podmínka a firmy které dokáží implementovat tyto nové podmínky rychleji získají jasnou konkurenční výhodu.

Související příspěvky