Digitalni izdelki pred vrati stroge regulacije: Ste pripravljeni na september 2026?

Evropski akt o kibernetski odpornosti (Cyber Resilience Act – CRA), ki je uradno začel veljati konec leta 2024, v letu 2026 prehaja v prvo kritično fazo izvajanja. Čeprav se leto 2027, ko bo uredba v celoti obvezna, morda zdi še daleč, so se za podjetja prvi resni roki že nevarno približali. Evropska komisija je v začetku marca 2026 izdala prve osnutke smernic, ki podrobneje pojasnjujejo, kako se bodo morali proizvajalci prilagoditi novim pravilom, zlasti na področju odprtokodne programske opreme in storitev v oblaku.

Ključna prelomnica za podjetja bo nastopila 11. septembra 2026. Od tega dne bodo morali vsi proizvajalci izdelkov z digitalnimi elementi – od pametnih gospodinjskih aparatov in igrač do kompleksne industrijske programske opreme – izpolnjevati stroge obveznosti poročanja o ranljivostih. Podjetja ne bodo več smela čakati na tiho krpanje lukenj, temveč bodo morala o vsaki aktivno izkoriščeni ranljivosti obvestiti pristojne nacionalne organe in agencijo ENISA. Prvo opozorilo bo treba poslati v 24 urah po zaznavi incidenta, celovito poročilo pa v 72 urah. Ta zahteva velja tudi za izdelke, ki so bili na trgu že pred tem datumom, kar za razvojne oddelke pomeni takojšnjo vzpostavitev procesov za spremljanje in odzivanje na varnostne grožnje.

Že nekaj mesecev prej, natančneje 11. junija 2026, se začnejo uporabljati določbe glede priglasitve organov za ugotavljanje skladnosti. Države članice morajo do takrat imenovati institucije, ki bodo preverjale, ali izdelki z višjo stopnjo tveganja dosegajo predpisane varnostne standarde. Podjetja, ki proizvajajo kritično infrastrukturo ali programsko opremo z visokim tveganjem, morajo že v prvi polovici leta 2026 začeti postopke certificiranja, če želijo svoje izdelke po letu 2027 še naprej nemoteno prodajati na evropskem trgu.

Posebno pozornost letošnje smernice namenjajo odprtokodnim projektom. Po dolgih razpravah je zdaj jasno, da nekomercialni razvijalci ostajajo izvzeti, medtem ko podjetja, ki odprtokodne komponente vključujejo v svoje komercialne rešitve, prevzemajo polno odgovornost za njihovo varnost. To v letu 2026 od podjetij zahteva natančen popis vseh uporabljenih komponent oziroma izdelavo, programske liste materialov (SBOM). Brez tega pregleda podjetja ne bodo mogla izpolniti zahtev po hitrem poročanju o ranljivostih, ki postane obvezno jeseni.

Za tiste, ki pravil ne bodo upoštevali, so predvidene visoke globe, ki lahko dosežejo 15 milijonov evrov ali 2,5 odstotka letnega prometa. Vendar leto 2026 ne prinaša le obveznosti; Evropska unija je odprla tudi sklade za pomoč malim in srednjim podjetjem, ki lahko že letos zaprosijo za nepovratna sredstva za digitalno preobrazbo in prilagoditev varnostnim standardom. Kibernetska varnost torej ni več le tehnološki dodatek, temveč osnovni pogoj za vstop na trg, priprava na te spremembe pa se mora zaključiti že letos.