IT Systems 6/2026
IT Security
Automobilový průmysl
Dnes 9:00
Kyberbezpečnost jako povinná výbava digitálního produktu
O nařízení CRA očima automotive a hi-tech průmyslu
Kdo nebude bezpečný, nebude prodávat. Cyber Resilience Act od roku 2027 udělá z kyberbezpečnosti vstupenku na trh EU. U části digitálních produktů i podmínku pro CE označení. Co to znamená pro automotive, hi-tech, dodavatele a celý životní cyklus produktu? A jak se připravit chytře, ať to plní cíle, ne šanony?
Co je CRA a proč má zajímat automotive a hi-tech průmysl
Cyber Resilience Act, česky Akt o kybernetické odolnosti, je evropské nařízení pro produkty s digitálními prvky. Řeší hardware a software připojitelný k síti či jinému zařízení, nebo s funkcí zpracování dat na dálku. V praxi to znamená třeba firmware, embedded software, infotainment, chytré zařízení, připojenou komponentu, průmyslové IoT, diagnostiku, aplikaci nebo digitální službu, bez které produkt neplní svoji funkci.
To je pro automotive a hi-tech velká věc. Moderní produkt už většinou nevzniká jako jeden uzavřený kus. Je to skládačka hardwaru, softwaru, knihoven, cloudových služeb, rozhraní, dat a dodavatelů. Dlouhodobě bylo rizikem to, že na evropský trh se dostávají produkty s chabou úrovní kyberbezpečnosti už od jejich uvedení. Defaultně slabá hesla, nemožnost aktualizace a architektura děravější než ementál. Nikdo za to nenesl vymahatelnou odpovědnost a chyběl způsob, jak poznat, že produkt, který si kupujeme, je fakt bezpečný. Cílem CRA je proto zvýšit základní úroveň bezpečnosti digitálních produktů na evropském trhu. Přináší minimální požadavky na jejich kyberbezpečnost a říká, že produkt musí být bezpečně navržen, udržován a podporován po celou dobu, kdy se má používat.
Kyberbezpečnost se tím přesouvá z „věci IT oddělení" na věc všech. Od vývoje, kvality a nákupu přes smlouvy, servis až po produktový management. To je velká změna a důvod, proč CRA nepodceňovat.
Bezpečnost je vstupenkou na trh budoucnosti. Už dnes.
Automotive dnes řeší kyberbezpečnost hlavně přes TISAX®, NIS2, zákaznické audity i požadavky v dodavatelském řetězci. Chrání se kontinuita provozu, prototypy, systémy i informace. Jenže dnešní moderní auto je komplexní digitální produkt. CRA k tomu přidává další vrstvu bezpečnosti samotných digitálních prvků, softwaru a komponent, které se do produktu dostávají.
Na produkty spadající pod nařízení (EU) 2019/2144 se CRA v rozsahu základních požadavků a posuzování shody neuplatní. V automotive se proto projeví hlavně u samostatných digitálních produktů, aftermarket řešení, diagnostiky, servisních aplikací, výrobních/OT prvků nebo nepřímo přes požadavky OEM a dodavatelský řetězec.
Nejde jen o „IT věci kolem auta“. Diagnostika, mobilní aplikace, firmware v komponentě, samostatný software nebo IoT senzor ve výrobě mohou být produkty nebo části řešení, u kterých bude potřeba doložit, že jsou bezpečné. Jinak nemusí projít zákaznickým auditem, dostat se do finálního produktu, získat potřebné označení nebo obstát na trhu EU.
Důležitost tématu potvrzuje i Automotive Cyber Maturity Report 2024 od ETAS. Podle kterého patří software supply chain mezi hlavní kyberbezpečnostní výzvy oboru. Roste význam opatření, jako jsou bezpečnostní testy, software signing, monitoring zranitelností nebo SBOM.

Koho se týká CRA?
Pokud váš digitální produkt komunikuje s dalším systémem nebo zařízeními, velmi pravděpodobně pod CRA spadá. Může vás čekat role výrobce, dovozce nebo distributora. Každý má jinou odpovědnost.
Největší odpovědnost má výrobce. Může jít o firmu, která pod vlastním jménem uvádí na trh připojenou komponentu, IoT zařízení nebo aftermarket jednotku. Výrobce musí zajistit, že produkt s digitálními prvky je bezpečný od uvedení na trh až po dobu podpory. To je minimálně pět let. Musí řešit zranitelnosti, aktualizace, technickou dokumentaci a u produktů, kterých se to týká, i CE označení. A pokud sídlí mimo EU a nemá zde provozovnu, musí mít v EU zástupce, který to řeší za něj.
Dovozce musí před uvedením produktu na trh ověřit, že výrobce splnil to, co má. Že produkt splňuje požadavky CRA, má potřebnou dokumentaci, označení a tak dále. Pokud ale dovozce prodává produkt pod vlastním jménem nebo ho podstatně upraví, může se z něj stát výrobce se všemi povinnostmi.
Distributor má menší odpovědnost, ale ne nulovou. Musí zkontrolovat, že produkt má CE označení, potřebné informace a dokumentaci. Pokud má podezření, že produkt požadavky nesplňuje, nesmí ho uvést na trh.
Pozor také na open source. CRA obecně necílí na svobodný a open-source software vyvíjený mimo komerční činnost. Jakmile je ale open source začleněn do komerčního produktu s digitálními prvky, odpovědnost za bezpečnost finálního řešení nese jeho výrobce. To je důležité hlavně pro SaaS firmy, automotive dodavatele a hi-tech výrobce, kteří staví na knihovnách třetích stran.
Čeho se týká CRA?
CRA nehází všechny produkty do jednoho pytle. Dělí je do kategorií podle rizika. Kromě role určuje hloubku povinností i kategorie produktu. Nejde jen o to, jestli je produkt „digitální“. Jde o jeho funkci, dopad a úlohu v celém systému.
- Standardní produkty s digitálními prvky (většina trhu). Platí pro ně základní požadavky CRA. Výrobce u nich typicky může využít interní kontrolu a prokázat shodu na vlastní odpovědnost. Musí řešit bezpečný návrh, zranitelnosti, aktualizace, dokumentaci a prohlášení o shodě. V praxi sem může spadat běžný software, aplikace, firmware, IoT zařízení nebo komponenta, která neplní kritickou bezpečnostní funkci.
- Důležité produkty třídy I. Jde o produkty, jejichž zneužití může mít závažnější dopad. Třeba proto, že plní bezpečnostní, síťovou, identitní nebo systémovou funkci. U důležitých produktů třídy I lze za určitých podmínek využít interní kontrolu; pokud splněny nejsou, může nastoupit posouzení třetí stranou. V praxi může jít třeba o systém pro vzdálenou správu zařízení a hesel, distribuci aktualizací nebo řízení přístupů servisních techniků.
- Důležité produkty třídy II. Tady je režim přísnější a posuzování shody typicky vyžaduje zapojení oznámeného subjektu nebo příslušné evropské certifikační schéma. Patří sem produkty s vyšším dopadem. V automotive a výrobě to může být bezpečnostní gateway, hypervisor, firewall pro výrobní linky, OT/IT zařízení pro vzdálenou správu kritických komponent.
- Poslední skupinou jsou kritické produkty. U kritických produktů může CRA vyžadovat evropskou kyberbezpečnostní certifikaci; pokud se neuplatní, použijí se jiné postupy posuzování shody podle CRA. Půjde o produkty, na kterých jsou kriticky závislé zásadní subjekty. V hi-tech a průmyslu může jít hlavně o citlivé bezpečnostní prvky, čipové karty, identitní technologie nebo bezpečnostní hardware používaný v kritickém prostředí.

Dodávám chytrou komponentu do vozidla. Týká se CRA mě, nebo OEM?
Tuhle otázku si položí mnoho dodavatelů. Odpověď nemusí být jednoduchá. I když nejste tím, kdo uvádí finální vozidlo na trh, můžete být tím, bez koho OEM nedoloží jeho bezpečnost. CRA se vás tak může dotknout nepřímo. Přes zákaznické požadavky, smlouvy, audity a technickou dokumentaci.
Představme si chytrou komponentu do vozidla. Obsahuje firmware, komunikuje s dalšími systémy a dostává aktualizace. OEM ji integruje do vozidla a nese odpovědnost za finální produkt včetně dalších automotive pravidel, typového schválení, UNECE R155/R156 a zákaznických požadavků. To ale neznamená, že dodavatel stojí mimo hru.
OEM může po dodavateli chtít důkazy, bez kterých nebude možné prokázat bezpečnost integrovaného řešení. Typicky SBOM, technickou dokumentaci, posouzení rizik, záznamy z testování, dobu podpory nebo proces pro hlášení a řešení zranitelností.
Co CRA znamená v životním cyklu digitálních produktů?
Produkt musí být bezpečný už při uvedení na trh. V praxi to znamená principy „secure by design“ a „secure by default“: bezpečný návrh, silná výchozí nastavení, aktualizace, šifrování, omezení zbytečných funkcí a rozhraní nebo bezpečné nastavení při prvním spuštění.
Uvedením na trh ale odpovědnost nekončí. Naopak začíná nejdelší část. Po celou dobu podpory je potřeba řešit zranitelnosti, aktualizace a bezpečnostní incidenty. CRA počítá s tím, že výrobce bude mít procesy pro řízení zranitelností a bude schopný reagovat včas.
Od 11. září 2026 mají začít platit také povinnosti hlásit aktivně zneužívané zranitelnosti a závažné incidenty s dopadem na bezpečnost produktu. První varování má proběhnout do 24 hodin, navazující oznámení do 72 hodin a pokud ještě nebyly dodány všechny potřebné informace, následuje také závěrečná zpráva, a to nejpozději do jednoho měsíce. Vyplatí se mít proces připravený dřív, než ho otestuje první krize.
SBOM: Praktický nástroj, ne cíl
Jedním z praktických nástrojů, který bude v souvislosti s CRA čím dál důležitější, je SBOM. Seznam komponent, knihoven a závislostí, ze kterých je software postavený. Dá se to přirovnat ke složení potravin. Když má někdo alergii na arašídy, potřebuje vědět, jestli je výrobek obsahuje. U softwaru je to podobné. Když se objeví kritická zranitelnost v knihovně, potřebujete rychle vědět, ve kterém produktu a ve které verzi ji máte. Log4Shell, kritická zranitelnost v široce používané knihovně Log4j, ukázal, jak bolestivé je, když tuto odpověď nemáte. Firmy po celém světě se ptaly: „Používáme Log4j? V jakém produktu? V jaké verzi?“ A mnoho z nich to neumělo rychle zjistit. Software byl poskládaný z přímých i nepřímých závislostí, o kterých neměly přehled.
V automotive a hi-tech světě to může být diagnostika, servisní aplikace, embedded modul, firmware nebo software výrobního zařízení. Zákazník se zeptá: „Týká se nás nová zranitelnost?“ Bez SBOMu začíná ruční pátrání. S SBOMem máte šanci reagovat v řádu minut nebo hodin a šetřit tím čas, nervy i peníze.
SBOM ale není cíl. Je to nástroj. Musí se generovat průběžně, ideálně v CI/CD procesu. Musí být propojený s verzemi produktu, databázemi zranitelností a řízením rizik. Jinak je to jen soubor, který zabírá místo na disku. Vedle SBOMu patří mezi hlavní povinnosti bezpečný návrh produktu, řízení zranitelností, bezpečnostní aktualizace, technická dokumentace, jasná doba podpory, posouzení shody a u vybraných produktů také CE označení. Nestačí tedy produkt znát. Je potřeba doložit, že jej bezpečně vyvíjíte, udržujete a podporujete.
Jak si CRA přeložit do praxe? Pomohou standardy
CRA nastavuje požadavky a rámec. Harmonizované normy a navazující standardy pomohou ukázat, jak je naplnit v praxi. Evropská komise počítá s harmonizovanými normami, které přeloží základní požadavky CRA do technických specifikací. Produkty, které budou s harmonizovanými normami v souladu, budou moci využít předpoklad shody. CEN, CENELEC a ETSI přijaly v dubnu 2025 standardizační požadavek pro CRA a práce na standardech běží. Očekávat je můžeme v roce 2026 a dále pak v roce 2027.
Pro firmy se vyplatí sledovat vývoj harmonizovaných norem. Ale není rozumné čekat, až všechno definitivně vyjde. Základní principy jsou známé už dnes. V automotive a hi-tech průmyslu má smysl opřít se o několik vrstev:
- ISO/SAE 21434 pro kyberbezpečnost silničních vozidel a řízení rizik v životním cyklu.
- UNECE R155 a R156 pro systém řízení kyberbezpečnosti a aktualizací softwaru u vozidel.
- ISO/IEC 27001 jako rámec pro řízení bezpečnosti informací v organizaci obecně.
- TISAX / VDA ISA jako automotive jazyk pro ochranu informací, prototypů a dodavatelů.
- IEC 62443 pro automatizaci, OT a bezpečnost průmyslových produktů/ systémů.
- ISO/IEC 5230 nebo OpenChain přístupy pro řízení open-source compliance.
- CycloneDX nebo SPDX pro praktické formáty SBOM.
Žádný standard ale není kouzelná propustka. Dohromady tvoří rámec, který převádí CRA z právního textu do vývoje, nákupu, kvality, smluv, servisu a zákaznických auditů. Díky nim vám bezpečnost může fungovat v provozu a plnit cíle, ne šanony.
Které termíny si u CRA pohlídat?
CRA vstoupil v platnost v prosinci 2024. Povinnosti ale nabíhají postupně.
- V červnu 2026 se mají začít používat pravidla pro oznamující orgány a oznámené subjekty. Prakticky se tím rozběhne infrastruktura pro posuzování shody.
- Od září 2026 začnou platit povinnosti hlášení aktivně zneužívaných zranitelností a závažných incidentů s dopadem na bezpečnost produktu.
- Hlavní datum je prosinec 2027. Od té doby budou muset produkty s digitálními prvky uváděné na trh EU splňovat požadavky CRA naplno. Produkty uvedené na trh před tímto datem se budou požadavky CRA řídit zejména tehdy, pokud projdou podstatnou změnou; oznamovací povinnosti podle článku 14 se však vztahují i na dříve uvedené produkty spadající do působnosti CRA.
Na papíře to může vypadat jako dost času. Automotive má ale dlouhé vývojové cykly. Do přípravy vstupují zákaznické požadavky, validace, změnové řízení, auditní důkazy, smlouvy, servisní model i podpora po uvedení na trh. Rok 2027 je proto blíž, než se zdá. Kdo začne pozdě, bude dohánět SBOM, dokumentaci, smlouvy, procesy i důkazy a vysvětlovat zákazníkovi, proč ještě neumí doložit důkazy, na které se už ptá.
Jak začít přípravu na CRA v pěti krocích?
1. Udělejte produktovou inventuru podle CRA
Sepište produkty, software, firmware, aplikace, cloudové funkce a komponenty s digitálními prvky. Rozdělte je podle toho, jestli je uvádíte na trh, dodáváte zákazníkovi, integrujete do produktu OEM, distribuujete pod vlastní značkou nebo používáte interně.
2. Zapojte vedení a určete role a odpovědnosti v celém životním cyklu
Kdo odpovídá za bezpečnost produktu? Kdo schvaluje rizika? Kdo řeší zranitelnosti? Kdo komunikuje se zákazníkem? Kdo vydává bezpečnostní aktualizace? Kdo udržuje dokumentaci? Určete odpovědnosti napříč životním cyklem a dejte jim podporu vedení.
3. Zaveďte procesy pro bezpečný vývoj a řízení zranitelností
Threat modeling, kontroly kódu, SCA nástroje, SBOM, testování, bezpečný build, pravidla pro release, řízení incidentů a bezpečnostní aktualizace. Vyberte to, co odpovídá rizikům vašeho produktu a požadavkům CRA. Procesy testujte. Nečekejte, až je otestuje krize.
4. Promítněte CRA do dodavatelů a smluv
Ujasněte si, kdo dodává komponenty, software, knihovny, cloudové části nebo podporu. Ve smlouvách řešte povinnost hlásit zranitelnosti, dobu podpory, aktualizace, SBOM, subdodavatele, SLA, auditní práva i odpovědnost za opravy. Dodavatel není externí detail. Je součást bezpečnosti produktu.
5. Udělejte GAP analýzu vůči CRA a navazujícím standardům
Nezačínejte nákupem nástrojů a šablon. Začněte rozdílovou analýzou. Co už řešíte třeba přes ISO 27001, TISAX, ISO/SAE 21434, IEC 62443 nebo interní kvalitu? Co chybí? Co je duplicitní? Co lze napojit na existující procesy? Cílem není další izolovaný compliance projekt, ale systém, který funguje v každodenním provozu.
Kyberbezpečnost bude součástí prodeje
V digitálním světě už kyberbezpečnost není jen téma pro IT. Je to otázka důvěry, cashflow, reputace a schopnosti dostat produkt na trh. CRA tento posun potvrzuje. Kyberbezpečnost se stává vlastností produktu, kterou bude potřeba nejen slíbit, ale také doložit.
Je na každé firmě, jestli bude čekat a CRA přinese hlavně stres a dohánění věcí na poslední chvíli. Nebo jestli bude přemýšlet za hranice compliance s CRA a získá příležitost, jak zkvalitnit svůj produkt a lépe uspokojit zákazníky.
![]() |
Martin Vyšata Autor článku je auditor informační bezpečnosti, compliance a IT/IS specialista ze společnosti Top Solution. |










