CSA a CRA: Nová pravidla pro bezpečné technologie

16 Mar 2026

Oblast kybernetické bezpečnosti je jedním z nejživějších právních témat a Evropská Unie ve svých regulačních snahách v této oblasti rozhodně nepolevuje. Právní rámce, v čele s evropskou směrnicí NIS2 a jejím českým odrazem v podobě nového zákona o kybernetické bezpečnosti, se soustředily na to, jak mají organizace chránit své vnitřní prostředí, jaké procesy mají nastavit a jak hlásit incidenty. Pozornost a diskuse byla tedy upřena primárně na bezpečnost celku.

Tak trochu v pozadí zůstaly dva klíčové předpisy, které těžiště zájmu přesouvají od organizací k samotným produktům a technologiím – jsou jimi:

  • Nařízení Evropského parlamentu a Rady (EU) 2024/2847 ze dne 23. října 2024 o horizontálních požadavcích na kybernetickou bezpečnost produktů s digitálními prvky a o změně nařízení (EU) č. 168/2013 a (EU) 2019/1020 a směrnice (EU) 2020/1828 (akt o kybernetické odolnosti); a
  • Nařízení Evropského parlamentu a Rady (EU) 2019/881 ze dne 17. dubna 2019 o agentuře ENISA („Agentuře Evropské unie pro kybernetickou bezpečnost“), o certifikaci kybernetické bezpečnosti informačních a komunikačních technologií a o zrušení nařízení (EU) č. 526/2013 (akt o kybernetické bezpečnosti).

Tyto předpisy společně vytvářejí komplexní systém, který hlídá bezpečnost digitálních prvků ještě předtím, než se vůbec dostanou k uživateli, a následně po celou dobu jejich životnosti. Cílem tohoto článku je provést Vás jejich strukturou, včetně povinností, ale i příležitostí, které Vám mohou nabídnout.

Akt o kybernetické odolnosti (CRA)

Akt o kybernetické odolnosti představuje jednotná a povinná pravidla pro kybernetickou bezpečnost prakticky všech produktů s digitálními prvky. Cílem CRA je, aby produkty uváděné na trh EU neobsahovaly kritické zranitelnosti a aby jejich výrobci garantovali bezpečnost po celou dobu životního cyklu produktu. Tato regulace dopadá od výrobců, přes dovozce až po distributory, kteří uvádějí své produkty na trh EU. CRA se týká širokého spektra technologií, které se mohou přímo či nepřímo připojit k síti, ať už jde o jednoduché aplikace, IoT zařízení v domácnostech, nebo komplexní průmyslové a cloudové systémy (např. pračky s připojením k internetu, chytré osvětlení, termostaty, čipové karty, cloudové služby, VPN aplikace, chytré hodinky, herní konzole nebo drony).

Z působnosti CRA jsou vyňaty pouze produkty, které spadají do speciálních regulatorních režimů (např. zdravotnické prostředky, letecké systémy, automobily nebo nekomerční open source softwary).

Součástí nové evropské úpravy je také systém označování a certifikace produktů. Produkty, které splní požadavky CRA, ponesou označení CE, které zákazníkům signalizuje, že výrobek splňuje minimální úroveň kybernetické bezpečnosti požadovanou právem EU.

Implementace CRA přináší dotčeným společnostem sadu konkrétních povinností. Mezi ně patří například:

  • Výchozí bezpečné nastavení
    • produkty musí být navrženy, vyvinuty a vyrobeny tak, aby naplňovaly přiměřenou úroveň kybernetické bezpečnosti,
    • kromě výrobců musí splnění standardu kybernetické bezpečnosti (včetně ověření splnění povinností ze strany výrobců) dodržovat také dovozci a distributoři,
  • Posuzování a zmírňování rizik
    • výrobci jsou povinni provádět pravidelné posuzování rizik a aktivně vyhledávat i opravovat slabá místa po celou dobu životnosti produktu,
  • Bezpečnost dodavatelského řetězce
    • odpovědnost se přenáší i na komponenty třetích stran, které výrobce do svého řešení integruje,
  • Dokumentace
    • součástí produktu musí být komplexní technická dokumentace zahrnující také instrukce uživatelům pro bezpečné používání, kterou je třeba archivovat,
  • Hlášení incidentů a zranitelností
    • pokud dojde k odhalení závažné zranitelnosti nebo incidentu v jakékoliv fázi životnosti produktu, musí výrobci tuto skutečnost do 24 hodin ohlásit prostřednictvím platformy ENISA.

Produkty s digitálním prvkem jsou dle CRA rozděleny podle míry dopadu na bezpečnost na tři typy, a to: základní, důležité a kritické. Většina produktů s digitálním prvkem spadá do základní kategorie a bude možné provést samoposouzení. Na produkty s digitálním prvkem spadající do důležitých a kritických kategorií budou vzhledem k jejich povaze kladeny přísnější požadavky dle prováděcího nařízení EU 2025/2392, které přináší technický popis jednotlivých kategorií důležitých a kritických produktů s digitálními prvky.

Aby bylo zajištěno, že výrobci budou nově stanovené povinnosti skutečně plnit, doplňuje CRA technické a procesní požadavky také o sankční a dozorový rámec. Orgány dohledu nad trhem v jednotlivých členských státech budou moci nařídit nápravná opatření, omezit uvádění produktu na trh nebo jej z trhu stáhnout, pokud produkt nesplní požadavky CRA. Za nejzávažnější porušení hrozí pokuty až do 15 milionů eur nebo až 2,5 % celosvětového ročního obratu společnosti, podle toho, která částka by byla vyšší.

Akt o kybernetické bezpečnosti (CSA)

Aktem o kybernetické bezpečnosti byla zřízena Agentura Evropské unie pro kybernetickou bezpečnost (ENISA) a představen rámec pro dobrovolné evropské systémy certifikace kybernetické bezpečnosti pro produkty, procesy a služby v oblasti informačních a komunikačních technologií (IKT).

Hlavním cílem CSA je sjednocení roztříštěné národní certifikace a umožnění uznávání bezpečnostních osvědčení napříč státy EU. Z praktického hlediska to znamená jednodušší prokazování bezpečnosti a méně administrativy. Certifikace slouží jako signál dostatečné kybernetické bezpečnosti a usnadňuje vstup na trhy, kde zákazníci vyžadují ověřenou bezpečnost nabízených produktů a služeb (např. bankovnictví, zdravotnictví, kritická infrastruktura, veřejný sektor).

Certifikovat lze obecně na 3 úrovních (čím vyšší úroveň, tím větší důvěra v certifikovaný produkt, proces, službu a společnost):

  • základní (může posoudit sám výrobce, čímž dojde k usnadnění procesu);
  • významná; a
  • vysoká.

Národním orgánem certifikace v České republice je NÚKIB a prvním evropským certifikačním schématem je Evropský systém certifikace kybernetické bezpečnosti založený na schématu Common Criteria (EUCC), který je platný od února 2025. Kromě EUCC jsou plánovaná další dvě evropská schémata certifikace, a to konkrétně Evropské schéma pro certifikaci cloudových služeb (EUCS), ke kterému již ENISA zveřejnila návrh, a Evropské schéma certifikace kybernetické bezpečnosti pokrývající oblast 5G sítí.

EUCC je navržen pro certifikaci produktů, jako jsou čipy, inteligentní karty či kritické softwarové aplikace, u nichž je vyžadována extrémně vysoká míra odolnosti. Zde je nutné zdůraznit, že pro společnosti, které tyto technologie pouze nakupují, implementují nebo poskytují běžné IT služby, nedává praktický smysl o certifikaci EUCC žádat. Přesto tyto společnosti nemohou EUCC zcela ignorovat, jelikož právě získání EUCC certifikace poskytuje určitou záruku nejvyšší kvality. Je proto vhodné, aby tyto společnosti zohlednily její existenci při výběru klíčového hardwaru.

Snaha o získání certifikace EUCC naopak dává smysl u výrobců a vývojářů těchto základních technologií. EUCC umožňuje certifikaci pouze v úrovni významné a vysoké, a není proto možné využít samoposouzení, jelikož každý produkt má projít rukama zkušebních laboratoří a certifikačních orgánů.

V případě CSA došlo na evropské úrovni k legislativnímu posunu, když byl začátkem roku 2026 zveřejněn návrh nařízení měnící CSA, tzv. revize CSA. Revize CSA přináší změny ve 3 hlavních oblastech – jsou jimi zefektivnění a posílení pravomocí agentury ENISA, kontrola bezpečnosti dodavatelského řetězce a nová certifikace kybernetické bezpečnosti společností.

Návrh změn pro CSA v oblasti certifikátů zasahuje i do rozsahu působnosti směrnice NIS2, a to představením nového certifikátu, který by namísto jednotlivých procesů a technologií hodnotil postoj ke kybernetické bezpečnosti celých společností. Návrh umožňuje identifikaci „key ICT assets“, posuzování technických i ne‑technických rizik (včetně geopolitických faktorů) a zavádí koncept tzv. highrisk suppliers (tj. vysoce rizikový dodavatelů), přičemž jejich využití může být omezeno.

Tím, že revize CSA zavádí možnost certifikace celkového zabezpečení společností, dotýká se přímo čl. 21 směrnice NIS2, který stanoví konkrétní rozsah bezpečnostních opatření pro regulované subjekty k řízení kybernetických rizik. Společně s revizí CSA proto Komise zveřejnila i návrh úpravy směrnice NIS2, kdy zásadní je navržený doplněk čl. 21 odst. 5, podle něhož vydá‑li Komise prováděcí předpis stanovující konkrétní požadavky na bezpečnostní opatření, nesmí členské státy ukládat žádné další technické, metodické či sektorové požadavky. V praxi to znamená, že pokud Komise skutečně vydá prováděcí akt sjednocující obsah bezpečnostních opatření ke všem jednotlivým regulovaným službám zavedením jednotné certifikace podle NIS2, zanikne dualita vyšší vs. nižší režim známá z české transpozice směrnice NIS2 v prováděcích vyhláškách k novému zákonu o kybernetické bezpečnosti a požadavky se sjednotí obdobně, jako je tomu dnes v odvětví digitální infrastruktury a služeb.

Vzhledem k tomu, že se jedná o součást návrhu k revizi CSA, lze očekávat vývoj a případné zpřesnění této oblasti v rámci dalšího projednávání. Ačkoli Komise může postupovat obdobně jako v případě digitální infrastruktury a služeb a vydat podrobná prováděcí nařízení ke všem jednotlivým regulovaným službám podle NIS2, v praxi to nepovažujeme s ohledem k časové náročnosti za příliš pravděpodobné. Zda nakonec dojde k vydání prováděcích aktů pro všechny sektory, nebo jen pro jejich vybrané části či se z návrhu tato část úplně zmizí je proto zatím otázkou dalšího vývoje.

Závěr a doporučení

Zatímco směrnice NIS2 zastřešuje celý systém „shora“ skrze nároky na organizace, CRA a CSA jej doplňují „zdola“ tím, že vyžadují a garantují bezpečnost konkrétních produktů a technologií. Tento vztah tak vytváří ucelený ochranný rámec umožňující institucím efektivně naplňovat jejich zákonné povinnosti.

V prvé řadě doporučujeme ověřit, zda se na Vaši organizaci vztahují povinnosti plynoucí z CRA, a zároveň posoudit, zda pro Vás mohou být přínosné výhody dobrovolné certifikace podle CSA nebo začlenit jejich kontrolu u Vašich dodavatelů, jelikož CSA je účinný a od února 2025 je možné vystavovat první certifikáty podle schématu EUCC.

Oproti tomu CRA a povinnosti z něj vyplývající budou postupně nabývat účinnost v průběhu následujících měsíců. Již v červnu tohoto roku vzniká povinnost oznámení subjektů posuzování shody s CRA, od září 2026 pak bude povinné nahlašování zranitelnosti produktů a úplná účinnost nastane v prosinci 2027.

Závěrem lze tedy konstatovat, že předpisy CSA a CRA sice představují pro společnosti ze začátku přidanou administrativní zátěž, mohou však zároveň být strategickým nástrojem k budování důvěry a získání tržní výhody. Proaktivní přístup k těmto standardům tak firmám přináší nejen právní jistotu, ale i zásadní konkurenční výhodu podloženou ověřitelnou kvalitou jejich produktů a služeb v celém jejich životním cyklu.

Pokud si nejste jisti, jak se tyto regulatorní požadavky konkrétně dotknou Vašeho podnikání, neváhejte se na nás obrátit a my Vám pomůžeme ve všech fázích procesu, od úvodního posouzení dopadů až po praktické nastavení nezbytných kroků.