Ghid CRA: securitatea produselor cu elemente digitale, de la secure by design la marcajul CE
CRA — Cyber Resilience Act — e prima lege europeană care cere securitate cibernetică PRODUSELOR, nu doar organizațiilor: orice hardware sau software „cu elemente digitale” vândut în UE va trebui proiectat sigur, întreținut cu actualizări și însoțit de marcaj CE și pe partea cibernetică. Primul termen lovește curând: din 11 septembrie 2026, producătorii raportează vulnerabilitățile exploatate activ. Ghidul de față îți explică pe cine vizează, ce cere concret și cu ce începi.
01Ce e CRA și pe cine lovește
CRA este Regulamentul (UE) 2024/2847 privind cerințele de securitate cibernetică pentru produsele cu elemente digitale — de la routere, camere IP și dispozitive smart până la aplicații, sisteme de operare și componente software vândute comercial. Ca regulament, se aplică direct în toată Uniunea, fără transpunere națională. Obligațiile cad în primul rând pe producători, dar și importatorii și distribuitorii au responsabilități: nu au voie să pună pe piață produse despre care știu că nu sunt conforme.
Dacă firma ta dezvoltă software comercial, produce sau importă dispozitive conectate, ori integrează componente digitale în produse fizice — CRA e legea ta. Software-ul open-source necomercial e în afara scopului, iar produsele deja reglementate sectorial (dispozitive medicale, auto, aviație) au regimuri separate.
02Calendarul real: două termene de ținut minte
| Data | Ce se aplică |
|---|---|
| 10 decembrie 2024 | Regulamentul a intrat în vigoare — perioada de tranziție curge |
| 11 septembrie 2026 | Obligațiile de raportare: vulnerabilitățile exploatate activ și incidentele severe se raportează la ENISA și CSIRT-ul național |
| 11 decembrie 2027 | Aplicarea integrală: cerințele esențiale de securitate, evaluarea conformității, documentația tehnică și marcajul CE devin obligatorii pentru produsele puse pe piață |
03Cerințele esențiale, pe înțelesul producătorilor
- Secure by design și by default: produsul se livrează fără vulnerabilități exploatabile cunoscute, cu configurație implicită sigură și suprafață de atac minimizată.
- Protecții de bază încorporate: control de acces, protecția confidențialității și integrității datelor (criptare unde e cazul), reziliență la atacuri de tip DoS.
- Gestionarea vulnerabilităților pe toată durata de suport: identifici și documentezi componentele (inventar de tip SBOM), tratezi vulnerabilitățile fără întârziere și livrezi actualizări de securitate — separate de cele funcționale, de regulă gratuite.
- Perioadă de suport declarată: în principiu minimum 5 ani sau durata de viață așteptată a produsului; utilizatorul trebuie să știe până când primește patch-uri.
- Politică de divulgare coordonată a vulnerabilităților: canal public prin care cercetătorii îți pot raporta probleme, fără să fie tratați ca atacatori.
- Transparență pentru utilizator: instrucțiuni, informații de securitate și documentație tehnică ce demonstrează conformitatea — baza marcajului CE.
04Raportarea vulnerabilităților exploatate activ
Din 11 septembrie 2026, dacă afli că o vulnerabilitate din produsul tău e exploatată activ — sau că ai un incident sever care afectează securitatea produsului — raportezi prin platforma unică de raportare către ENISA și CSIRT-ul național desemnat: alertă timpurie în cel mult 24 de ore de la luarea la cunoștință, notificare detaliată în 72 de ore, iar raportul final la închidere (14 zile de la disponibilitatea măsurii corective pentru vulnerabilități, respectiv o lună pentru incidente). Mecanica seamănă deliberat cu NIS2 — cine are deja procedură de raportare pornește cu avans.
05Clasele de produse: cu cât mai critic, cu atât mai strict
Majoritatea covârșitoare a produselor („categoria implicită”) se autoevaluează: producătorul verifică singur conformitatea și aplică marcajul CE. Produsele „importante” (clasa I și II — ex. manageri de parole, firewall-uri, VPN-uri, hipervizoare) au cerințe de evaluare mai stricte, mergând până la evaluare de către un organism notificat; produsele „critice” (ex. dispozitive hardware cu funcții de securitate avansate) pot cere certificare de securitate cibernetică europeană. Prima întrebare practică e deci: în ce clasă cade produsul meu?
06Relația cu NIS2: organizația vs. produsul
NIS2 și CRA sunt complementare, nu concurente: NIS2 reglementează securitatea ORGANIZAȚIILOR care furnizează servicii esențiale; CRA reglementează securitatea PRODUSELOR puse pe piață. O firmă poate fi sub ambele — un producător de echipamente de rețea poate fi entitate importantă sub NIS2 pentru propria organizație ȘI producător sub CRA pentru produsele lui. Măsurile interne se suprapun parțial (managementul vulnerabilităților, incidentele, dezvoltarea sigură), deci munca făcută pe un cadru te avansează pe celălalt.
07Sancțiunile
Nerespectarea cerințelor esențiale sau a obligațiilor de raportare se sancționează cu amenzi de până la 15 milioane de euro sau 2,5% din cifra de afaceri globală anuală (oricare e mai mare); alte obligații au plafoane de 10 mil. €/2%, iar informațiile incorecte furnizate autorităților — 5 mil. €/1%. La acestea se adaugă puterea autorităților de supraveghere a pieței de a retrage sau interzice produse neconforme — pentru un producător, adesea mai dureroasă decât amenda.
08De unde începi: 5 pași practici
- Fă inventarul produselor cu elemente digitale și stabilește clasa fiecăruia (implicită / importantă / critică).
- Evaluează procesul de dezvoltare față de cerințele esențiale: threat modeling, testare de securitate, configurație implicită sigură.
- Construiește managementul vulnerabilităților: inventar de componente (SBOM), monitorizarea dependențelor, proces de patch, politică de divulgare coordonată publicată.
- Pregătește raportarea pentru septembrie 2026: cine detectează exploatarea activă, cine scrie alerta de 24h, cine o transmite.
- Stabilește perioada de suport per produs și comunic-o clar — și planifică resursele de întreținere pe toată durata ei.
09Cum te ajută Normward
În Normward, CRA e un catalog de 27 de controale evaluabile — organizate pe dezvoltare sigură, managementul vulnerabilităților, actualizări și transparență — cu evaluare pe politică + implementare, scor, lacune și plan de remediere, pe același motor ca NIS2, ISO 27001, DORA și GDPR. Onest: documentele generate cu AI și mecanismele dedicate de raportare pentru CRA sunt în lucru — evaluarea și gap analysis-ul sunt complete și te pregătesc exact pentru termenele din 2026–2027.
CRA, în cifre
- Actul de bază
- Regulamentul (UE) 2024/2847, în vigoare din 10 decembrie 2024
- Raportarea vulnerabilităților
- din 11 septembrie 2026 (alertă 24h către ENISA + CSIRT)
- Aplicarea integrală
- 11 decembrie 2027 (cerințe esențiale + CE)
- Perioada de suport
- în principiu minimum 5 ani
- Amenda maximă
- 15 mil. € sau 2,5% din cifra de afaceri globală
Surse și texte oficiale
Material informativ, nu consultanță juridică. Legislația se poate modifica — verifică textele oficiale înainte de decizii cu efecte legale.