- Tobiáš Trnka
- 13 min čtení
Co jsou to produkty s digitálními prvky podle Cyber Resilience Act (CRA) a proč záleží na tom, do jaké kategorie spadají? Kategorie daného produktu v praxi určuje, jakou cestou bude výrobce prokazovat soulad s CRA. Tedy jak podrobnou dokumentaci bude potřebovat, jestli mu postačí interní posouzení, nebo bude muset zapojit třetí stranu či využít evropské certifikační schéma. Jaké kategorie CRA rozlišuje a jaké existují moduly pro posuzování shody?
Co jsou produkty s digitálními prvky podle CRA
Pojem produkt s digitálními prvky je pro celé nařízení CRA zásadní. Právě od těchto produktů se totiž odvíjejí jednotlivé povinnosti. Pokud společnost takový produkt nevyrábí, neimportuje ani nedodává, CRA se na ni typicky nevztahuje. O co tedy jde?
Definice produktů s digitálními prvky je poměrně obecná. Zjednodušeně jde o software nebo hardware, který je přímo či nepřímo datově propojený s jiným zařízením nebo sítí. Může jít o samostatný softwarový produkt, fyzické zařízení se softwarem, IoT zařízení, ale také o softwarovou nebo hardwarovou komponentu, pokud se na trh uvádí samostatně.
Pro posouzení je relevantní také to, jestli produkt využívá tzv. funkci pro vzdálené zpracování dat, například cloudovou část služby. To platí v případě, kdy je tato funkce nezbytná pro některou z funkcí produktu a navrhl ji výrobce. Produkt s digitálními prvky tedy nemusí být jen samostatné fyzické zařízení nebo aplikace v užším slova smyslu. Často půjde o širší řešení, ve kterém spolu funguje hardware, software, mobilní nebo webová aplikace, vzdálená správa či cloudové rozhraní.
CRA se ale záměrně nevztahuje na všechny produkty s digitálními prvky. Vyloučeny jsou ty produkty, pro které už platí vlastní odvětvové předpisy EU. Cílem je vyhnout se zdvojeným pravidlům a překryvům regulací. Konkrétně se CRA neaplikuje například na zdravotnické prostředky a diagnostické zdravotnické prostředky in vitro, motorová vozidla a jejich součásti spadající pod nařízení o obecné bezpečnosti vozidel, některé certifikované produkty civilního letectví nebo lodní výstroj.
Kromě těchto sektorových výjimek CRA nedopadá ani na produkty vyvinuté nebo upravené výhradně pro účely národní bezpečnosti nebo obrany, případně na produkty určené ke zpracování utajovaných informací. Vyloučeny jsou i náhradní díly určené k nahrazení totožných komponent vyrobených podle stejných specifikací. Pokud váš produkt spadá do některé z těchto kategorií, povinnosti z CRA se na něj nevztahují. Stále se ale řídí pravidly příslušné odvětvové úpravy.
Proč je klasifikace produktu důležitá
CRA neřeší jen to, jestli se na produkt s digitálními prvky vůbec vztahuje. Rozlišuje také jednotlivé kategorie těchto produktů. Právě zařazení do správné kategorie pak určuje, jaké povinnosti se na produkt budou vztahovat a jak náročné bude prokázání shody. CRA produkty rozděluje na následující kategorie:
Other products with digital elements (the vast majority of the market) – the manufacturer verifies the product's security themselves.
Important products, class I (for example, password managers, browsers, VPNs, or routers for home use) – in most cases, security must be verified by an independent third party.
Important products, class II (for example, firewalls or hypervisors) – involving an independent third party is always mandatory.
Critical products (for example, hardware security devices or smart cards) – these require European cybersecurity certification under the Cybersecurity Act.
U běžných produktů může stačit interní posouzení. U důležitých a kritických produktů je postup přísnější. Pro konkrétní vymezení produktů doporučujeme zkontrolovat prováděcí nařízení Komise (EU) 2025/2392 o technickém popisu kategorií důležitých a kritických produktů s digitálními prvky. V jeho přílohách jsou detailně rozepsané jednotlivé kategorie produktů i jejich popis.
Jak zvolit správný modul posuzování shody
CRA stanoví několik cest, jak prokázat, že produkt splňuje základní požadavky na kybernetickou bezpečnost. To, která cesta je pro daný produkt povinná, závisí hlavně na tom, do jaké kategorie podle nařízení spadá.
V následujících odstavcích pracujeme s pojmem oznámený subjekt. Jde o nezávislou organizaci pověřenou státem, která posuzuje, jestli produkty splňují požadavky evropské legislativy. Zjednodušeně si ji lze představit jako akreditovanou zkušebnu nebo auditora. Jaké konkrétní subjekty budou tuto roli plnit, zatím není pevně stanovené.
Pro posuzování shody se v CRA používají následující moduly:
Modul A – interní kontrola výroby
Výrobce posuzuje shodu kompletně sám, bez zapojení oznámeného subjektu. Odpovídá za to, že dodrží základní požadavky CRA, povede technickou dokumentaci, vypracuje prohlášení o shodě a umístí označení CE.
Tento modul je nejjednodušší a nejlevnější cestou. Je ale dostupný jen pro ostatní (obecné) produkty, a pro důležité produkty třídy I, pokud výrobce plně uplatní harmonizované normy.
Modul B – EU přezkoušení typu
Výrobce předloží vybranému oznámenému subjektu technickou dokumentaci, analýzu rizik a vzorek produktu. Oznámený subjekt produkt přezkouší a otestuje. Pokud produkt splňuje základní požadavky CRA, oznámený subjekt vystaví certifikát o EU přezkoušení typu. Ten slouží jako oficiální doklad, že tento konkrétní konstrukční typ prošel nezávislou kontrolou.
Modul B sám o sobě nestačí. Musí být vždy doplněn modulem C.
Modul C – shoda s typem na základě interního řízení výroby
Modul C navazuje na modul B. Jeho cílem je zajistit, aby každý vyrobený kus odpovídal schválenému typu z certifikátu. Výrobce přijímá nezbytná opatření při výrobě, kontroluje shodu jednotlivých produktů, umisťuje označení CE a vypracovává prohlášení o shodě, které uchovává deset let nebo po dobu podpory produktu.
Kombinace modulů B+C tedy znamená: nezávislá kontrola typu a výrobcem řízená kontrola sériové výroby.
Modul H – komplexní zabezpečování kvality
U modulu H se neposuzuje jen konkrétní typ produktu. Oznámený subjekt audituje celý systém kvality výrobce, tedy návrh, vývoj, výrobu, kontrolu i postupy řešení zranitelností. Po schválení systému kvality výrobce může výrobce zaručit shodu pro celou kategorii svých produktů. Zároveň ale podléhá průběžným dohledovým auditům.
Modul H je náročnější na zavedení, ale nabízí větší flexibilitu pro společnosti se širším portfoliem produktů nebo častými aktualizacemi.
Posouzení podle harmonizovaných norem a evropské certifikace
Vedle výše uvedených modulů lze využít ještě jednu alternativní cestu. Pokud výrobce při návrhu plně uplatní harmonizované normy, společné specifikace nebo evropské schéma certifikace kybernetické bezpečnosti alespoň na úrovni záruky „významná“, platí domněnka shody se základními požadavky CRA.
U ostatních (obecných) produktů a důležitých produktů třídy I to znamená, že se výrobce může spolehnout na interní kontrolu (modul A) bez oznámeného subjektu. U důležitých produktů třídy II a kritických produktů funguje evropská certifikace jako plnohodnotná alternativa k modulům B+C a H.
Kategorie produktu rozhoduje o modulu posuzování shody
Výše popsané moduly se v praxi nepoužívají stejně pro všechny produkty. Rozhoduje hlavně to, do jaké kategorie produkt s digitálními prvky spadá. Jiný postup bude platit pro běžnou aplikaci, jiný pro správce hesel a jiný pro technologii, na které stojí kritická infrastruktura.
Ostatní (obecné) produkty s digitálními prvky
Drtivá většina produktů na trhu spadá do kategorie obecných produktů. Odhady hovoří až o 90 % všech produktů s digitálními prvky. Patří sem například běžné aplikace, kancelářské nástroje, jednoduchá IoT zařízení nebo třeba aplikace pro úpravu fotografií. U těchto produktů stačí, aby výrobce provedl posouzení shody sám interními procesy. Nepotřebuje žádný oznámený subjekt ani externí audit.
Důležité produkty třídy I
Sem patří například správci hesel, samostatné prohlížeče, VPN řešení, antivirový software, směrovače pro připojení k internetu, operační systémy, chytré domácí zámky, bezpečnostní kamery nebo hračky se sociálními funkcemi připojené na internet. U těchto produktů má výrobce na výběr ze tří cest.
Pokud při návrhu plně uplatní harmonizované normy, společné specifikace nebo příslušné evropské schéma certifikace alespoň na úrovni záruky „významná“, může se spolehnout na interní kontrolu.
Pokud normy neuplatní v plném rozsahu, nebo zatím žádné neexistují, musí zapojit „oznámený subjekt“. V takovém případě může zvolit buď kombinaci modulu B+C, tedy přezkoušení typu plus následné interní řízení výroby, nebo modul H, tedy komplexní zabezpečování kvality.
Důležité produkty třídy II
Do třídy II spadají produkty s vyšším rizikovým profilem. Patří sem například hypervizory a systémy runtime kontejnerů, firewally, systémy detekce a prevence narušení (IDS/IPS) a mikroprocesory či mikrořadiče odolné proti manipulaci. U těchto produktů už nestačí pouze interní kontrola, a to ani při plném použití harmonizovaných norem. Výrobce musí vždy zapojit oznámený subjekt a má tři možnosti:
- moduly B+C – přezkoušení typu nezávislým auditorem a následně interní řízení sériové výroby,
- modul H – komplexní audit systému kvality výrobce a průběžný dohled,
- evropské schéma certifikace kybernetické bezpečnosti alespoň na úrovni záruky „významná“ podle nařízení (EU) 2019/881, pokud je pro daný typ produktu k dispozici.
Kritické produkty
Kategorie kritických produktů zahrnuje technologie, na kterých závisí fungování klíčové infrastruktury a jejichž zneužití by mohlo způsobit vážné narušení dodavatelských řetězců v rámci vnitřního trhu EU. Konkrétně sem patří hardwarová zařízení s bezpečnostními schránkami, například hardwarové bezpečnostní moduly chránící kryptografické klíče, smart meter gateway v inteligentních měřicích systémech (typicky chytré elektroměry) a čipové karty a podobná zařízení se zabezpečenými prvky.
Pro kritické produkty platí podobný režim jako pro důležité produkty třídy II. Primárně by se u nich mělo využít evropské schéma certifikace kybernetické bezpečnosti. Pokud ale takové schéma není pro daný produkt k dispozici, což k datu vydání článku není, použije se posouzení třetí stranou prostřednictvím modulů B+C nebo H.
Čím začít v praxi
Prvním krokem je ujasnit si, jaké produkty vaše společnost vyrábí nebo dodává na trh. Může jít o software, hardware, kombinaci zařízení a aplikace, samostatnou komponentu nebo produkt, který pro své fungování využívá vzdálené zpracování dat.
Potom si sepište, k čemu produkt slouží a jak se běžně používá, protože jinak se bude posuzovat jednoduchá aplikace pro koncového uživatele a jinak produkt, který zajišťuje správu identit, ochranu sítě nebo vzdálenou správu zařízení.
Nakonec byste si měli porovnat hlavní funkci produktu s přílohami III a IV CRA a s technickými popisy podle prováděcího nařízení 2025/2392. Výsledek klasifikace je vhodné zaznamenat do dokumentace – včetně stručného zdůvodnění, proč produkt do určité kategorie spadá, nebo proč do ní naopak nespadá.
Nenechávejte klasifikaci produktu na poslední chvíli
Doporučujeme řešit klasifikaci produktu podle CRA co nejdříve, ideálně v době návrhu produktu nebo plánování jeho další verze, a nenechávat ji až těsně před uvedením produktu na trh.
Pokud totiž až v pozdní fázi vývoje zjistíte, že váš produkt spadá do důležité nebo kritické kategorie, může to ovlivnit celý harmonogram uvedení na trh. Bude potřeba doplnit dokumentaci, sladit vývoj s příslušnými normami nebo technickými specifikacemi, počítat s kapacitami subjektu, který bude provádět posuzování shody a případně upravit rozpočet i projektový plán.
Včasná klasifikace proto pomáhá nejen právnímu nebo compliance týmu, ale i vývoji a produktovému řízení. Společnost díky ní ví, jakou cestou ke shodě bude muset projít, a může tomu přizpůsobit architekturu produktu, bezpečnostní testování, řízení zranitelností i plán podpory.