Uvod: Novi sloj sigurnosne regulative

Nakon GDPR-a, NIS2 direktive i AI Acta, EU je u kraju 2024. usvojila još jedan važan propis koji će dotaknuti praktički svakog proizvođača i prodavača digitalnih proizvoda u Uniji — Cyber Resilience Act (CRA). Glavna primjena propisa stupa na snagu 11. prosinca 2027., ali pripremne obveze počinju ranije i hrvatske tvrtke koje proizvode ili distribuiraju softverske ili IoT proizvode trebaju početi s prilagodbom.

U ovom članku objašnjavamo što CRA propisuje, koga obuhvaća, kako se odnosi prema postojećoj regulativi i koje konkretne korake hrvatske firme mogu poduzeti već sada.

Što je Cyber Resilience Act

CRA je horizontalna regulativa — obvezuje sve proizvođače "proizvoda s digitalnim elementima" (PDE) koji se prodaju na EU tržištu da ispune određene sigurnosne zahtjeve tijekom cijelog životnog ciklusa proizvoda.

Pod "proizvodom s digitalnim elementima" CRA obuhvaća:

  • Softver — operativne sustave, aplikacije, biblioteke, firmware
  • Hardver s ugrađenim softverom — pametne TV-e, IoT senzore, routere, kućnu automatizaciju, pametne kućanske aparate
  • Komponente — module koji se ugrađuju u veće sustave (npr. WiFi čipovi, kontroleri)

Iznimke uključuju proizvode koji su već regulirani specifičnim sektorskim zakonima — medicinski uređaji (MDR), automobili (UN R155), avijacija (EASA), neke vojne komponente. Ali većina komercijalne elektronike i softvera koji se prodaju potrošačima i poduzećima jasno pada pod CRA.

Glavne obveze proizvođača

1. Sigurnosni dizajn po default-u (security by design)

Proizvodi moraju biti dizajnirani tako da minimiziraju napadne površine. Konkretno:

  • Onemogućiti zadane lozinke koje se ne moraju promijeniti pri prvom korištenju
  • Šifrirati osjetljive podatke u prijenosu i mirovanju
  • Provoditi striktnu autentikaciju i autorizaciju za pristup
  • Implementirati princip minimalnih privilegija

Za hrvatske proizvođače IoT uređaja (npr. firmi koje rade pametne brave, kućne automatizacijske sustave, industrijske senzore) ovo znači reviziju procesa razvoja od početka.

2. Sigurnosna ažuriranja kroz vrijeme

CRA propisuje obvezu kontinuiranog isporučivanja sigurnosnih ažuriranja najmanje 5 godina od posljednje isporuke proizvoda na tržište (ili kraće ako proizvod ima jasno deklariran kraći životni vijek). Ova obveza je posebno značajna jer rješava jedan od najtežih problema potrošačkih IoT uređaja — "abandonware" jeftine elektronike koja se nakon godinu-dvije više ne ažurira i postaje sigurnosna rupa.

3. Obavještavanje o ranjivostima

Proizvođači moraju obavještavati ENISA-u (Europska agencija za kibernetičku sigurnost) i nacionalne CSIRT-e o aktivno iskorištavanim ranjivostima unutar 24 sata od saznanja, te o značajnim sigurnosnim incidentima koji utječu na sigurnost proizvoda.

To znači da hrvatske firme moraju imati uspostavljen sigurnosni odjel ili eksternog partnera koji prati ranjivosti, klasificira ih po ozbiljnosti i ima jasne procedure za eskalaciju.

4. CE označavanje s aspektom kibernetičke sigurnosti

Postojeće CE označavanje proširuje se s atestima o kibernetičkoj sigurnosti. Visokorizični proizvodi (oni klasificirani kao "kritični klase I i II") moraju proći konformnu ocjenu od strane treće strane prije puštanja na tržište. Manje rizični proizvodi mogu koristiti samoocjenu uz interno održanu dokumentaciju.

5. Dokumentacija i transparentnost

Proizvođači moraju održavati Software Bill of Materials (SBOM) — listu svih softverskih komponenti i ovisnosti u proizvodu, te osigurati da krajnjim korisnicima ostane jasno koje verzije softvera trenutno koriste.

Klasifikacija proizvoda po riziku

CRA dijeli proizvode u tri kategorije:

Klasa Primjeri Procjena sukladnosti
Default (niski rizik) Većina potrošačkih aplikacija, igre, općeniti softver Samoocjena
Klasa I (značajan rizik) Antivirus, password manageri, VPN-ovi, IoT routeri, pametne brave Samoocjena + tehnička dokumentacija ili treća strana
Klasa II (visoki rizik) Industrijski PLC-ovi, hardware sigurnosni moduli (HSM), tinhostani sustavi Obvezna ocjena treće strane

Klasifikacija po klasi II uključuje proizvode koji štite kritičnu infrastrukturu — npr. firewall-ove koji čuvaju mreže elektroenergetskih operatera ili medicinskih sustava.

Implikacije za hrvatske tvrtke

Razvoj proizvoda i softverske kuće

Hrvatske softverske firme koje prodaju SaaS rješenja ili razvijaju proizvode za EU tržište imaju nekoliko područja koja zahtijevaju pažnju:

  • DevSecOps integracija: sigurnost mora biti dio razvojnog ciklusa, ne provjera na kraju
  • SBOM automatizacija: alati poput Syft, CycloneDX ili SPDX već su standardni i preporučljivi
  • Vulnerability disclosure policy: jasna javna procedura kako vanjski istraživači mogu prijaviti ranjivosti

IoT proizvođači

Hrvatski proizvođači IoT uređaja — Span (cyber sigurnost), AdriaScan (industrijski senzori), Croatian smart home startupi — ulaze u kategoriju koja je u centru CRA pozornosti. Konkretni pripremni koraci:

  1. Inventura postojećih proizvoda — koji su trenutno na tržištu i koji bi mogli pasti pod CRA
  2. Procjena životnog ciklusa — koji proizvodi će se još isporučivati u prosincu 2027.
  3. Sigurnosna ažuriranja arhitektura — kako dostaviti ažuriranja postojećim instaliranim uređajima

Distributeri i trgovci

Trgovine elektronike (HGSpot, Sancta Domenica, Mall.hr, Links, ali i veliki retaileri poput Konzuma s elektroničkim asortimanom) odgovorne su da ne stavljaju u promet proizvode koji ne ispunjavaju CRA zahtjeve. To znači reviziju ugovora s dobavljačima i provjeravanje da svi importi imaju potrebne CE certifikate s CRA komponentom.

Korisnici unutar EU-a

Za potrošače CRA donosi nekoliko praktičnih poboljšanja:

  • Više sigurnosti za IoT proizvode koje kupuju
  • Garantirana minimalna razdoblja sigurnosnih ažuriranja
  • Transparentnost o tome kada uređaj prestane primati podršku
  • Mogućnost pravnog regresa ako proizvod ne ispuni objavljene sigurnosne obveze

Sankcije

CRA preuzima model GDPR-a u pogledu kazni:

  • Do 15 milijuna eura ili 2,5% globalnog godišnjeg prometa (prevladava veći iznos) za teža kršenja (npr. neprijavljivanje aktivno iskorištavanih ranjivosti)
  • Do 10 milijuna eura ili 2% prometa za umjerena kršenja
  • Do 5 milijuna eura ili 1% prometa za pružanje netočnih informacija nadzornim tijelima

Za hrvatske SME-ove ovo nisu beznačajni iznosi, ali nadzorna tijela su signaalizirala da će tijekom prve dvije godine primjene fokus biti na edukaciji i upozorenjima prije nego na maksimalnim sankcijama.

Odnos prema postojećoj regulativi

CRA ne zamjenjuje, već dopunjava postojeće sigurnosne propise:

  • GDPR ostaje primarni za obradu osobnih podataka
  • NIS2 direktiva propisuje obveze operatera kritičnih usluga (energetika, zdravstvo, financije, transport)
  • EU AI Act propisuje posebna pravila za AI sustave visokog rizika
  • CRA dodaje horizontalni sigurnosni sloj za proizvode s digitalnim elementima

Tvrtka može istovremeno biti obveznik više od jednog propisa. Recimo, hrvatski operater bolničkog informacijskog sustava može biti pod NIS2 (kao operater kritične usluge), pod GDPR-om (obrada zdravstvenih podataka), pod MDR-om (ako razvija medicinski softver), i pod CRA (jer prodaje softverski proizvod).

Kako početi pripremu već sada

Za hrvatske firme koje proizvode ili distribuiraju digitalne proizvode, preporučljiv je sljedeći redoslijed:

  1. Procjena obveznika — provjerite spadate li pod CRA i u koju klasu vaši proizvodi padaju
  2. Gap analiza — identifikacija razlika između trenutnih praksi i CRA zahtjeva
  3. Plan implementacije — vremenski okvir s rokovima, vlasnicima zadataka i budžetom
  4. Pilotni projekt — provedite cijeli CRA proces na jednom proizvodu prije širenja na cijeli portfelj
  5. Trening tima — security awareness za inženjere, kontinuirani trening za sigurnosne specijaliste
  6. Eksterni partneri — odaberite konzultanta ili notificirano tijelo za buduće certifikacije (ako spadate u Klasu II)

Nacionalni CERT pri Sveučilišnom računskom centru (SRCE) već u 2026. pruža prve smjernice i radionice za pripremu na CRA. Zajednica hrvatskih CISO-a okuplja se i kroz Cyber Security Forum koji ima posebne sesije o CRA prilagodbi.

Zaključak: Realnost koja se približava brže nego što izgleda

Iako CRA punu primjenu doživljava u prosincu 2027., razvoj proizvoda koji će tada biti na tržištu često traje dvije godine ili više. Hrvatske tvrtke koje danas ne razmišljaju o CRA u dizajnu svojih proizvoda mogu se naći u izazovnoj poziciji za 18 mjeseci.

Pozitivna stana priče: CRA je u značajnoj mjeri standardizacija dobrih praksi koje vodeći sigurnosno orijentirani proizvođači već koriste. Za firme koje su ozbiljno pristupile kibernetičkoj sigurnosti, CRA neće biti revolucija, već formalizacija postojeće discipline. Za one koje su odgađale ulaganje u sigurnost, sljedećih 18 mjeseci je posljednja prilika za ozbiljnu prilagodbu prije nego što propis postane obvezan.