Pasirengimas ES Kibernetinio atsparumo aktui (CRA): ką svarbu padaryti dar iki 2026 m.
Jan 12, 2026
Europos Sąjungos Kibernetinio atsparumo aktas (Cyber Resilience Act, CRA) keičia požiūrį į programinės įrangos ir skaitmeninių produktų saugumą. Tai nėra dar viena „IT saugumo rekomendacija“ - tai privalomi reikalavimai gamintojams ir platintojams, kurie bus tikrinami taip pat rimtai, kaip ir kiti ES produktų atitikties standartai.
Gera žinia - 2026 metai yra pereinamasis ir labai svarbus laikotarpis, per kurį organizacijos gali pasiruošti be chaoso, baudų ar skubotų sprendimų. Šis straipsnis padės suprasti:
ar CRA jums aktualus,
ką realiai reikia padaryti,
ir kokių veiksmų imtis jau dabar.
Trumpai apie CRA terminus (be teisinių sudėtingumų)
2024 m. gruodžio 10 d. - CRA įsigaliojo.
Nuo 2026 m. rugsėjo 11 d. - gamintojai privalės pranešti apie aktyviai išnaudojamas pažeidžiamumo spragas ir rimtus saugumo incidentus.
Nuo 2027 m. gruodžio 11 d. - visi produktai su skaitmeniniais elementais turės:
atitikti privalomus kibernetinio saugumo reikalavimus,
turėti CE ženklinimą.
Svarbu suprasti: 2026 m. nėra „laukti dar anksti“ metai. Tai metai, kai reikia pasiruošti procesams.
Kam CRA aktualus?
CRA taikomas produktams su skaitmeniniais elementais, įskaitant:
programinę įrangą (SaaS, on-premise, embedded),
IoT įrenginius,
pramoninius valdiklius,
vartotojų elektroniką,
programinę įrangą, kuri integruojama į kitus produktus.
Jei kuriate, platinate ar ženklinate produktą ES rinkai – didelė tikimybė, kad CRA jums aktualus.
Ką organizacijos turėtų padaryti 2026 m. (praktinis sąrašas)
1. Įvertinti produktų portfelį
Pirmas klausimas vadovams:
Kuriuos mūsų produktus CRA palies realiai?
Rekomenduojama:
sudaryti produktų sąrašą,
įvertinti, kurie turi skaitmeninių komponentų,
suprasti, ar esate gamintojas, platintojas, ar abu.
Tai leidžia atskirti:
„mums tai aktualu“,
nuo „mums tai dar neaktualu“.
2. Įdiegti „security by design“ ir „security by lifecycle“ mąstymą
CRA esmė - saugumas ne kaip priedas, o kaip produkto dalis.
Praktiškai tai reiškia:
aiškius saugumo reikalavimus jau projektavimo stadijoje,
atsakomybę už saugumą viso produkto gyvavimo ciklo metu,
ne tik „release“, bet ir palaikymo fazėje.
Tai nebūtinai reiškia didžiules investicijas - dažnai užtenka aiškiai apibrėžtų procesų.
3. Pasiruošti pažeidžiamumų valdymui ir pranešimams
Nuo 2026 m. rugsėjo:
apie aktyviai išnaudojamas spragas reikės pranešti per labai trumpus terminus,
pranešimai bus teikiami nacionalinėms institucijoms (pvz., NKSC) ir per ES mechanizmus (ENISA).
Ką verta turėti iš anksto:
aiškų kas, kada ir kaip praneša,
incidentų eskalavimo schemą,
suderintą komunikaciją tarp IT, saugumo ir vadovybės.
Tai labiau organizacinis pasirengimas, o ne vien techninis klausimas.
4. Derinti teisinius ir atitikties aspektus (CE ženklinimas)
CRA tiesiogiai siejasi su:
CE ženklinimu,
atitikties deklaracijomis,
technine dokumentacija.
Todėl svarbu:
įtraukti teisininkus ir atitikties specialistus,
užtikrinti, kad saugumo reikalavimai būtų suderinti su kitais ES reglamentais,
nepalikti šio klausimo vien IT komandai.
Kodėl verta veikti dabar, o ne 2027 m.?
2026 m. Europos Komisija dar tikslins ir aiškins CRA taikymo gaires.
Ankstyvas pasirengimas leidžia:
ramiai įsivertinti rizikas,
paskirstyti darbus laike,
išvengti skubotų sprendimų ir papildomų kaštų.
CRA - tai ir pasitikėjimo signalas klientams, ypač B2B rinkoje.
Pabaigai
CRA nėra skirtas bausti. Jo tikslas - kad skaitmeniniai produktai būtų saugesni pagal nutylėjimą. Organizacijos, kurios 2026 m. išnaudos kaip pasirengimo metus, 2027 m. turės ne problemą, o konkurencinį pranašumą.
Jei ši tema jums aktuali - verta pradėti nuo paprasto klausimo:
ar mes žinome, kaip šiandien valdome savo produktų saugumą?