Kyberléto v Cybrela akademii. 6 webinářů o kyberbezpečnosti, každý druhý pátek online. Registrujte se zdarma ➡️

Produkty s digitálními prvky a jejich klasifikace podle CRA

Dva lidé v kanceláři posuzují produkty s digitálními prvky, jako jsou router, bezpečnostní kamera, chytrý zámek, tablet a další připojená zařízení.

Co jsou to produkty s digitálními prvky podle Cyber Resilience Act (CRA) a proč záleží na tom, do jaké kategorie spadají? Kategorie daného produktu v praxi určuje, jakou cestou bude výrobce prokazovat soulad s CRA. Tedy jak podrobnou dokumentaci bude potřebovat, jestli mu postačí interní posouzení, nebo bude muset zapojit třetí stranu či využít evropské certifikační schéma. Jaké kategorie CRA rozlišuje a jaké existují moduly pro posuzování shody?

Co jsou produkty s digitálními prvky podle CRA

Pojem produkt s digitálními prvky je pro celé nařízení CRA zásadní. Právě od těchto produktů se totiž odvíjejí jednotlivé povinnosti. Pokud společnost takový produkt nevyrábí, neimportuje ani nedodává, CRA se na ni typicky nevztahuje. O co tedy jde?

Definice produktů s digitálními prvky je poměrně obecná. Zjednodušeně jde o software nebo hardware, který je přímo či nepřímo datově propojený s jiným zařízením nebo sítí. Může jít o samostatný softwarový produkt, fyzické zařízení se softwarem, IoT zařízení, ale také o softwarovou nebo hardwarovou komponentu, pokud se na trh uvádí samostatně.

Pro posouzení je relevantní také to, jestli produkt využívá tzv. funkci pro vzdálené zpracování dat, například cloudovou část služby. To platí v případě, kdy je tato funkce nezbytná pro některou z funkcí produktu a navrhl ji výrobce. Produkt s digitálními prvky tedy nemusí být jen samostatné fyzické zařízení nebo aplikace v užším slova smyslu. Často půjde o širší řešení, ve kterém spolu funguje hardware, software, mobilní nebo webová aplikace, vzdálená správa či cloudové rozhraní.

CRA se ale záměrně nevztahuje na všechny produkty s digitálními prvky. Vyloučeny jsou ty produkty, pro které už platí vlastní odvětvové předpisy EU. Cílem je vyhnout se zdvojeným pravidlům a překryvům regulací. Konkrétně se CRA neaplikuje například na zdravotnické prostředky a diagnostické zdravotnické prostředky in vitro, motorová vozidla a jejich součásti spadající pod nařízení o obecné bezpečnosti vozidel, některé certifikované produkty civilního letectví nebo lodní výstroj.

Kromě těchto sektorových výjimek CRA nedopadá ani na produkty vyvinuté nebo upravené výhradně pro účely národní bezpečnosti nebo obrany, případně na produkty určené ke zpracování utajovaných informací. Vyloučeny jsou i náhradní díly určené k nahrazení totožných komponent vyrobených podle stejných specifikací. Pokud váš produkt spadá do některé z těchto kategorií, povinnosti z CRA se na něj nevztahují. Stále se ale řídí pravidly příslušné odvětvové úpravy.

Proč je klasifikace produktu důležitá

CRA neřeší jen to, jestli se na produkt s digitálními prvky vůbec vztahuje. Rozlišuje také jednotlivé kategorie těchto produktů. Právě zařazení do správné kategorie pak určuje, jaké povinnosti se na produkt budou vztahovat a jak náročné bude prokázání shody. CRA produkty rozděluje na následující kategorie:

Ostatní produkty s digitálními prvky (naprostá většina trhu) – výrobce si bezpečnost produktu ověří sám.

Důležité produkty třídy I (například správci hesel, prohlížeče, VPN nebo routery pro domácí použití) – bezpečnost musí ve většině případů ověřit nezávislá třetí strana.

Důležité produkty třídy II (například firewally nebo hypervizory) – zapojení nezávislé třetí strany je povinné vždy.

Kritické produkty (například hardwarová bezpečnostní zařízení nebo čipové karty) – vyžadují evropskou certifikaci kybernetické bezpečnosti podle Aktu o kybernetické bezpečnosti.

U běžných produktů může stačit interní posouzení. U důležitých a kritických produktů je postup přísnější. Pro konkrétní vymezení produktů doporučujeme zkontrolovat prováděcí nařízení Komise (EU) 2025/2392 o technickém popisu kategorií důležitých a kritických produktů s digitálními prvky. V jeho přílohách jsou detailně rozepsané jednotlivé kategorie produktů i jejich popis.

Jak zvolit správný modul posuzování shody

CRA stanoví několik cest, jak prokázat, že produkt splňuje základní požadavky na kybernetickou bezpečnost. To, která cesta je pro daný produkt povinná, závisí hlavně na tom, do jaké kategorie podle nařízení spadá.

V následujících odstavcích pracujeme s pojmem oznámený subjekt. Jde o nezávislou organizaci pověřenou státem, která posuzuje, jestli produkty splňují požadavky evropské legislativy. Zjednodušeně si ji lze představit jako akreditovanou zkušebnu nebo auditora. Jaké konkrétní subjekty budou tuto roli plnit, zatím není pevně stanovené.

Pro posuzování shody se v CRA používají následující moduly:

Výrobce posuzuje shodu kompletně sám, bez zapojení oznámeného subjektu. Odpovídá za to, že dodrží základní požadavky CRA, povede technickou dokumentaci, vypracuje prohlášení o shodě a umístí označení CE.

Tento modul je nejjednodušší a nejlevnější cestou. Je ale dostupný jen pro ostatní (obecné) produkty, a pro důležité produkty třídy I, pokud výrobce plně uplatní harmonizované normy.

Výrobce předloží vybranému oznámenému subjektu technickou dokumentaci, analýzu rizik a vzorek produktu. Oznámený subjekt produkt přezkouší a otestuje. Pokud produkt splňuje základní požadavky CRA, oznámený subjekt vystaví certifikát o EU přezkoušení typu. Ten slouží jako oficiální doklad, že tento konkrétní konstrukční typ prošel nezávislou kontrolou.

Modul B sám o sobě nestačí. Musí být vždy doplněn modulem C.

Modul C navazuje na modul B. Jeho cílem je zajistit, aby každý vyrobený kus odpovídal schválenému typu z certifikátu. Výrobce přijímá nezbytná opatření při výrobě, kontroluje shodu jednotlivých produktů, umisťuje označení CE a vypracovává prohlášení o shodě, které uchovává deset let nebo po dobu podpory produktu.

Kombinace modulů B+C tedy znamená: nezávislá kontrola typu a výrobcem řízená kontrola sériové výroby.

U modulu H se neposuzuje jen konkrétní typ produktu. Oznámený subjekt audituje celý systém kvality výrobce, tedy návrh, vývoj, výrobu, kontrolu i postupy řešení zranitelností. Po schválení systému kvality výrobce může výrobce zaručit shodu pro celou kategorii svých produktů. Zároveň ale podléhá průběžným dohledovým auditům.

Modul H je náročnější na zavedení, ale nabízí větší flexibilitu pro společnosti se širším portfoliem produktů nebo častými aktualizacemi.

Vedle výše uvedených modulů lze využít ještě jednu alternativní cestu. Pokud výrobce při návrhu plně uplatní harmonizované normy, společné specifikace nebo evropské schéma certifikace kybernetické bezpečnosti alespoň na úrovni záruky „významná“, platí domněnka shody se základními požadavky CRA.

U ostatních (obecných) produktů a důležitých produktů třídy I to znamená, že se výrobce může spolehnout na interní kontrolu (modul A) bez oznámeného subjektu. U důležitých produktů třídy II a kritických produktů funguje evropská certifikace jako plnohodnotná alternativa k modulům B+C a H.

Kategorie produktu rozhoduje o modulu posuzování shody

Výše popsané moduly se v praxi nepoužívají stejně pro všechny produkty. Rozhoduje hlavně to, do jaké kategorie produkt s digitálními prvky spadá. Jiný postup bude platit pro běžnou aplikaci, jiný pro správce hesel a jiný pro technologii, na které stojí kritická infrastruktura.

Drtivá většina produktů na trhu spadá do kategorie obecných produktů. Odhady hovoří až o 90 % všech produktů s digitálními prvky. Patří sem například běžné aplikace, kancelářské nástroje, jednoduchá IoT zařízení nebo třeba aplikace pro úpravu fotografií. U těchto produktů stačí, aby výrobce provedl posouzení shody sám interními procesy. Nepotřebuje žádný oznámený subjekt ani externí audit.

Sem patří například správci hesel, samostatné prohlížeče, VPN řešení, antivirový software, směrovače pro připojení k internetu, operační systémy, chytré domácí zámky, bezpečnostní kamery nebo hračky se sociálními funkcemi připojené na internet. U těchto produktů má výrobce na výběr ze tří cest.

Pokud při návrhu plně uplatní harmonizované normy, společné specifikace nebo příslušné evropské schéma certifikace alespoň na úrovni záruky „významná“, může se spolehnout na interní kontrolu.

Pokud normy neuplatní v plném rozsahu, nebo zatím žádné neexistují, musí zapojit „oznámený subjekt“. V takovém případě může zvolit buď kombinaci modulu B+C, tedy přezkoušení typu plus následné interní řízení výroby, nebo modul H, tedy komplexní zabezpečování kvality.

Do třídy II spadají produkty s vyšším rizikovým profilem. Patří sem například hypervizory a systémy runtime kontejnerů, firewally, systémy detekce a prevence narušení (IDS/IPS) a mikroprocesory či mikrořadiče odolné proti manipulaci. U těchto produktů už nestačí pouze interní kontrola, a to ani při plném použití harmonizovaných norem. Výrobce musí vždy zapojit oznámený subjekt a má tři možnosti:

  • moduly B+C – přezkoušení typu nezávislým auditorem a následně interní řízení sériové výroby,
  • modul H – komplexní audit systému kvality výrobce a průběžný dohled,
  • evropské schéma certifikace kybernetické bezpečnosti alespoň na úrovni záruky „významná“ podle nařízení (EU) 2019/881, pokud je pro daný typ produktu k dispozici.

Kategorie kritických produktů zahrnuje technologie, na kterých závisí fungování klíčové infrastruktury a jejichž zneužití by mohlo způsobit vážné narušení dodavatelských řetězců v rámci vnitřního trhu EU. Konkrétně sem patří hardwarová zařízení s bezpečnostními schránkami, například hardwarové bezpečnostní moduly chránící kryptografické klíče, smart meter gateway v inteligentních měřicích systémech (typicky chytré elektroměry) a čipové karty a podobná zařízení se zabezpečenými prvky.

Pro kritické produkty platí podobný režim jako pro důležité produkty třídy II. Primárně by se u nich mělo využít evropské schéma certifikace kybernetické bezpečnosti. Pokud ale takové schéma není pro daný produkt k dispozici, což k datu vydání článku není, použije se posouzení třetí stranou prostřednictvím modulů B+C nebo H.

Čím začít v praxi

01

Prvním krokem je ujasnit si, jaké produkty vaše společnost vyrábí nebo dodává na trh. Může jít o software, hardware, kombinaci zařízení a aplikace, samostatnou komponentu nebo produkt, který pro své fungování využívá vzdálené zpracování dat.

02

Potom si sepište, k čemu produkt slouží a jak se běžně používá, protože jinak se bude posuzovat jednoduchá aplikace pro koncového uživatele a jinak produkt, který zajišťuje správu identit, ochranu sítě nebo vzdálenou správu zařízení.

03

Nakonec byste si měli porovnat hlavní funkci produktu s přílohami III a IV CRA a s technickými popisy podle prováděcího nařízení 2025/2392. Výsledek klasifikace je vhodné zaznamenat do dokumentace – včetně stručného zdůvodnění, proč produkt do určité kategorie spadá, nebo proč do ní naopak nespadá.

Nenechávejte klasifikaci produktu na poslední chvíli

Doporučujeme řešit klasifikaci produktu podle CRA co nejdříve, ideálně v době návrhu produktu nebo plánování jeho další verze, a nenechávat ji až těsně před uvedením produktu na trh.

Pokud totiž až v pozdní fázi vývoje zjistíte, že váš produkt spadá do důležité nebo kritické kategorie, může to ovlivnit celý harmonogram uvedení na trh. Bude potřeba doplnit dokumentaci, sladit vývoj s příslušnými normami nebo technickými specifikacemi, počítat s kapacitami subjektu, který bude provádět posuzování shody a případně upravit rozpočet i projektový plán.

Včasná klasifikace proto pomáhá nejen právnímu nebo compliance týmu, ale i vývoji a produktovému řízení. Společnost díky ní ví, jakou cestou ke shodě bude muset projít, a může tomu přizpůsobit architekturu produktu, bezpečnostní testování, řízení zranitelností i plán podpory.

Týká se vás CRA?

Pomůžeme vám s prvotní klasifikací produktového portfolia, identifikací povinností a návrhem plánu přípravy na splnění požadavků CRA, abyste je mohli dál uvádět na trh EU.

Další články

Cyber Resilience Act (CRA) dělí produkty s digitálními prvky do čtyř kategorií. Zjistěte, kam ten váš patří a jak náročné bude prokázat shodu.
Zaměstnanci používají AI nástroje bez schválení? Zjistěte, jaká rizika Shadow AI přináší, co na to AI Act a jak nastavit pravidla pro AI ve vaší organizaci.
Co musí vedení organizací řešit podle nového zákona o kyberbezpečnosti? Přehled povinností pro nižší i vyšší režim, sankce a praktické dopady.

Newsletter

Chcete mít jistotu, že Vaše firma je chráněna před kybernetickými hrozbami a zároveň být v souladu s platnou legislativou? Přihlaste se k odběru newsletteru a získejte praktické rady od našich konzultantů s právním vzděláním.

Kliknutím na odebírat vyjadřujete souhlas se zpracováním osobních údajů pro marketingové účely.