Akt o kybernetické odolnosti (CRA): Úvod do nové regulace a základní pojmy

24. 4. 2026 Aktuálně

První díl seriálu o kybernetické bezpečnosti produktů

Evropská unie přijala předpis, který má zásadně změnit pohled na kybernetickou bezpečnost produktů: Cyber Resilience Act (CRA). Pro mnoho firem – výrobců hardwaru, softwarových vývojářů, integrátorů i distributorů – půjde o jednu z nejvýznamnějších regulatorních změn následujících let.

V tomto článku zahajujeme seriál věnovaný CRA, jeho praktickým dopadům a tomu, jak se na nové povinnosti připravit. Na úvod se zaměříme na to nejzákladnější: co je CRA, kdy začne platit a jak poznat, zda se týká právě vašich produktů. Pokud chcete vědět víc, zaregistrujte se bezplatně na náš webinář 12. května: Akt o kybernetické odolnosti: přehledně a prakticky.

Co je Akt o kybernetické odolnosti (Cyber Resilience Act) a kdy začne platit

Akt o kybernetické odolnosti je evropské nařízení, které zavádí jednotné požadavky na kybernetickou bezpečnost produktů s digitálními prvky uváděných na trh EU.

vstoupilo v platnost 10. prosince 2024,
hlavní povinnosti se začnou uplatňovat od 11. prosince 2027,
některé oznamovací povinnosti (např. hlášení zranitelností a incidentů) již od 11. září 2026.

To znamená dvě věci:

Času na přípravu se může zdát dost,
ale úpravy vývoje, dokumentace a procesů je potřeba začít řešit včas.

Základní pojem CRA: „produkt s digitálními prvky“

Základní otázka, kterou si dnes firmy musí položit, zní: Jsme výrobcem nebo dodavatelem produktu s digitálními prvky? CRA tento pojem definuje velmi široce.

Produktem s digitálními prvky (Product with Digital Elements, PDE) je: jakýkoliv softwarový nebo hardwarový produkt – včetně jeho komponent a řešení pro vzdálené zpracování dat – jehož zamýšlené nebo rozumně předvídatelné použití zahrnuje přímé nebo nepřímé logické či fyzické datové připojení k zařízení nebo síti.

Jednoduše řečeno: pokud váš produkt nějakým způsobem digitálně komunikuje, je velmi pravděpodobné, že pod CRA spadá.

Jak poznat, že produkt spadá pod CRA

Při posuzování, zda se na produkt CRA vztahuje, jsou klíčové tři otázky:

Je to software nebo hardware?
Je produkt určen k prodeji na trh EU?
Zahrnuje jeho zamýšlené nebo předvídatelné použití datové připojení k zařízení nebo síti?

Pokud si tento článek čtete na notebooku, produktem s digitálními prvky není jen samotný notebook, ale také:

operační systém,
aplikace,
ovladače,
firmware jednotlivých komponent.

Co se v CRA rozumí „datovým připojením“

Právě pojem datové připojení je zásadní pro vymezení působnosti CRA – a zároveň nejčastějším zdrojem nejasností.

Nařízení samo o sobě nedefinuje „digitální data“ ani „datové připojení“. Evropská komise proto poskytla výklad ve svých FAQ.

Zjednodušeně platí:

datové připojení znamená přenos digitálně zakódovaných informací (0 a 1),
nestačí pouhé zapnutí/vypnutí signálu,
musí existovat odesílatel i příjemce, kteří data umí kódovat a dekódovat.

Pokud jsou elektrické nebo elektronické signály využívány pouze:

k napájení,
ke spuštění funkce,
bez přenosu interpretovatelných digitálních informací,

pak se nejedná o datové připojení ve smyslu CRA.

Přímé a nepřímé fyzické a logické připojení

CRA rozlišuje několik typů připojení – a výrobek může mít více z nich současně.

Fyzické datové připojení

Například:

USB kabel (tiskárna ↔ notebook),
Ethernet (počítač ↔ router),
optické a měděné kabely (např. průmyslové sběrnice),
bezdrátově: Wi‑Fi, Bluetooth, NFC.

Logické datové připojení

přímé: produkt sám zahajuje komunikaci (např. webový prohlížeč, e‑mailový klient),
nepřímé: produkt komunikuje prostřednictvím hostitelského systému (např. offline aplikace běžící na operačním systému připojeném k internetu).

Kdy produkt naopak pod CRA nespadá

Za produkt s digitálními prvky se nepovažuje takový výrobek, jehož:

zamýšlené ani rozumně předvídatelné použití nezahrnuje žádné datové připojení.

Typickými příklady jsou:

elektronické hračky přehrávající předem nahrané efekty,
spotřebiče s izolovaným firmwarem bez konektivity,
zařízení, která využívají elektroniku pouze k řízení funkce, nikoliv ke komunikaci.

Typické příklady produktů s digitálními prvky

Pod CRA velmi pravděpodobně spadá:

samostatný software ke stažení (aplikace, desktopový software),
firmware a software dodávaný samostatně k integraci,
software dodávaný spolu s hardwarem (OS, ovladače),
široké spektrum hardwaru – od čipů a senzorů až po IoT a průmyslová zařízení.

Součástí produktu s digitálními prvky mohou být také komponenty a řešení pro vzdálené zpracování dat – těm se budeme věnovat v některém z dalších dílů.

Co CRA výslovně nepokrývá

Mezi nejdůležitější výjimky patří:

produkty regulované sektorovou legislativou (např. zdravotnické prostředky, motorová vozidla),
produkty vyvíjené výhradně pro obranu a národní bezpečnost,
cloudové služby a SaaS jako takové (pokud nejsou součástí produktu),
nekomerční open‑source software (s určitými výjimkami).

Co bude dál

Evropská komise připravuje další výkladová doporučení k CRA, která budou upřesňovat nejasné pojmy a praktickou aplikaci nařízení. Konzultace k návrhu těchto pokynů již proběhla a jejich finální podoba bude důležitá zejména pro výrobce a vývojáře.

V dalším díle seriálu se zaměříme na:

role výrobců, dovozců a distributorů,
základní požadavky na produkty spadající pod CRA,
první praktické kroky, které by firmy měly začít řešit už dnes.

Přihlaste se k odběru newsletteru a nic vám neunikne.

Webinář 12. května ‎| Akt o kybernetické odolnosti: přehledně a prakticky

Pokud chcete jít do hloubky hned a ptát se odborníků, zveme vás 12. května od 14:00 na náš bezplatný webinář, kde se na CRA podíváme detailně a prakticky.

Více zde

Bezplatná registrace

Podpořeno v rámci finanční podpory třetím stranám (FSTP) v rámci projektu Building Testing and Certification Capabilities in the Czech Republic (TEST-CERT-CZ, č. 101127940), financovaného z programu Digitální Evropa. Financováno Evropskou unií. Vyjádřené názory a stanoviska představují pouze názory a stanoviska autorů a nemusí nutně odrážet názory a stanoviska Evropské unie nebo ECCC. Evropská unie ani poskytovatel za ně nenesou odpovědnost.