Digitální štít Evropy: Výrobci i prodejci se připravují na další dílek evropské obrany proti kyberútokům

Odpovědnost se vrací k výrobcům

Podstata CRA spočívá v zásadní změně paradigmatu: odpovědnost za kybernetickou bezpečnost se přesouvá z koncového uživatele na výrobce, dovozce a distributory. V praxi to znamená, že každý produkt s digitálním prvkem – od chytrých hodinek přes routery až po složité průmyslové řídicí systémy – bude muset splňovat striktní bezpečnostní standardy, aby mohl být uveden na trh EU.

Kybernetická válka v éře AI se zrychlila na minuty. Firmy ale stále šetří na základech

18. 6. 2026 ▪ 6 min. čtení

„Cyber Resilience Act doplňuje evropskou směrnici NIS 2, která je v Česku implementována skrze Nový zákon o kybernetické bezpečnosti a cílí na bezpečnost infrastruktury a klíčových služeb. CRA má ale jiné zaměření: zatímco NIS 2 řeší bezpečnost organizací, CRA se soustředí na bezpečnost produktů,“ říká Jakub Höll, expert na kybernetickou bezpečnost a partner ve společnosti Deloitte. Produkty, které projdou přísným sítem, ponesou označení CE, které dnes známe například z elektroniky nebo hraček.

Regulace zavádí princip tzv. „security by design“. Tedy požadavek, aby byla bezpečnost integrální součástí produktu již od jeho prvního návrhu, nikoliv jen dodatečně lepenou záplatou. Výrobci budou muset po celou dobu předpokládané životnosti produktu (minimálně pět let) bezplatně poskytovat bezpečnostní aktualizace a aktivně monitorovat veškeré zranitelnosti.

Proč se o CRA mluví právě teď?

Ačkoliv nařízení formálně vstoupilo v platnost již v prosinci 2024, firmy nyní procházejí kritickým přechodným obdobím. Důvodem, proč se debata o CRA v posledních měsících zintenzivnila, je blížící se termín prvních ostrých povinností.

Podle Jakuba Neščivery, mluvčího Národního úřadu pro kybernetickou a informační bezpečnost (NÚKIB), začne být regulace v praxi viditelná ve třech fázích. „V červnu 2026 nabývají účinnosti ustanovení týkající se oznamování subjektů posuzování shody. Následně v září nabude účinnosti ustanovení ohledně povinnosti hlásit aktivně zneužívané zranitelnosti a závažné incidenty,“ upřesňuje Neščivera s tím, že plná účinnost CRA nastane v prosinci příštího roku.

Zájem firem o téma roste úměrně s tím, jak si uvědomují komplexnost požadavků. „Přibližně od počátku roku se zájem společností o tuto problematiku začal zvyšovat. Subjekty se na nás obracejí zejména s dotazy ohledně výkladu jednotlivých pojmů a povinností,“ potvrzuje zvýšenou aktivitu byznysu Neščivera.

Změna výrobních linek i dodavatelských řetězců

Dosah CRA je v Česku velmi široký. Na rozdíl od jiných předpisů se působnost neurčuje velikostí firmy, ale povahou produktu. Dopadne tak na malé softwarové domy i nadnárodní koncerny. Typickými zástupci jsou výrobci chytrých domácích spotřebičů, průmyslových senzorů, ale i mobilních aplikací a videoher. Výjimku mají pouze sektory s vlastní přísnou regulací, jako je automotive, zdravotnictví či letectví.

Pro řadu firem půjde o zásadní zásah do fungování. Budou muset vést tzv. SBOM (Software Bill of Materials). To je jakýsi detailní „seznam ingrediencí“ veškerého použitého softwaru, podle kterého je možné identifikovat, kde se v případě útoku nachází slabé místo.

„Zásah do výroby a vývoje produktu může být pro řadu firem výrazný, zvlášť pokud dosud řešily kybernetickou bezpečnost spíše neformálně. Budou muset upravit procesy vývoje a testování a nastavit správu zranitelností,“ říká Kateřina Hůtová, manažerka kybernetické bezpečnosti a jednatelka společnosti Cybrela.

Specifickou výzvu CRA představuje pro velké prodejce a distributory, kteří se u vlastních značek stávají výrobci. Jakub Lasch, IT Director ve skupině HP Tronic vlastnící prodejce elektroniky Datart, k tomu uvádí: „Nařízení pro nás představuje výzvu ve dvou rovinách. Jako velký distributor budeme muset hlídat shodu u tisíců položek od různých dodavatelů. Druhou výzvou jsou naše privátní značky, například ETA. Zde budeme v roli výrobce a neseme odpovědnost za security by design a následné řízení zranitelností.“

NIS 2, DORA a riziko fragmentace

CRA nepřichází do prázdného prostoru. Je součástí komplexního legislativního balíku, který zahrnuje i směrnici CER (odolnost kritických subjektů), NIS 2 nebo sektorovou regulaci DORA pro finance. Právě tato provázanost je pro firmy dvojsečnou zbraní. Zatímco některé povinnosti se překrývají a usnadňují přípravu, jiné vytvářejí administrativní chaos.

Bankovní sektor se díky nařízení DORA cítí být na CRA připraven, přesto varuje před duplicitami. „Většinu povinností máme pokrytou v rámci DORA. CRA pro nás nepředstavuje drastické dopady, věříme, že povinnosti stihneme naplnit,“ říká Tereza Ryšanová, mluvčí Moneta Money Bank.

Kritičtější pohled na rostoucí počet regulací nabízí Jiří Raška, ředitel technologického rozvoje Partners Banky. „Problém není CRA, ale překryv pravidel. Jeden incident dnes musí banky hlásit do ČNB podle DORA, do NÚKIB podle NIS 2 a nově možná do ENISA (Evropská agentura pro bezpečnost sítí a informací – pozn. red.) podle CRA. Tři kanály, tři lhůty, jedna událost. Konsolidujte reporting do jednoho místa místo přidávání dalšího,“ vyzývá Raška.

Investice versus administrativa

Otázka nákladů je pro firmy klíčová, avšak přesná čísla jsou v tuto chvíli stále v rovině odhadů. Experti se shodují, že u firem, které bezpečnost dosud podceňovaly, půjde o výrazné částky. V HP Tronic vnímají CRA jako masivní administrativní zátěž pro celý evropský řetězec, byť s pozitivní základní myšlenkou.

Banky mluví o stovkách milionů korun ročně investovaných do celkové bezpečnosti, do kterých se náklady na CRA „rozpustí“. „Investice do ochrany klientů jsou součástí našeho rozpočtu, jakkoli nelze přesně vyčíslit náklady vyplývající pouze z implementace této regulace,“ konstatuje Filip Hrubý z České spořitelny. Podobně hovoří i Petr Milata za ČSOB, který nařízení považuje za přínosné pro klienty.

Zajímavý pohled nabízí softwarový průmysl. Marek Rosa, CEO Keen Software (výrobce herní série Space Engineers), upozorňuje na riziko „byrokratického divadla“. „Kybernetickou bezpečnost bereme vážně už dnes – je to přirozená součást vývoje. Nechceme ale psát dokumenty jen proto, aby někde existovaly. Dodatečná práce bude pravděpodobně hlavně v přesnějším formálním popisu a dokumentaci,“ říká Rosa s tím, že pro tuto práci neplánuje najímat externí poradce.

Kybernetická bezpečnost

Stáhněte si přílohu v PDF

Hrozba likvidačních pokut a role státu

Motivace pro dodržování CRA je pro firmy nastavena prostřednictvím vysokých sankcí. Nejzávažnější porušení pravidel může vyústit v pokutu až 15 milionů eur (v přepočtu více než 360 milionů korun) nebo 2,5 procenta z celosvětového ročního obratu. Ještě větší hrozbou je však možnost zákazu prodeje produktu na celém trhu EU, což může být pro výrobce s jedním klíčovým produktem likvidační.

„Sankce jsou nastaveny extrémně vysoko. Z pohledu zákonodárce jde ale o logický nástroj k dosažení plošné compliance,“ podotýká Lasch. Podle Jiřího Rašky z Partners Banky je konkrétně pro finanční domy mnohem silnějším strašákem reputační riziko než samotná výše pokuty. Odpovědnost za kontrolu dodržování pravidel v Česku pravděpodobně připadne NÚKIB, i když legislativní proces ještě není u konce.

„Pracujeme se scénářem, kde bude NÚKIB zastávat roli oznamujícího orgánu, který jmenuje a dozoruje subjekty posuzování shody,“ uvádí Jakub Neščivera. Úřad se však nebude primárně věnovat dozoru nad trhem ve smyslu kontroly každého jednotlivého kusu zboží, ale spíše systémovému nastavení a metodické podpoře.

Článek byl publikován ve speciální příloze HN Kybernetická bezpečnost.