Mit jelent pontosan a CRA Act és miben különbözik az AI Act-tól?
A Cyber Resilience Act (CRA) a vállalatok kibertámadásokkal szembeni ellenállóképességet kívánja növelni, ennek a célnak a részletes szbályozását tartalmazza. Míg az AI Act az algoritmusokra, a CRA minden "digitális elemet tartalmazó termékre" (hardverre és szoftverre egyaránt) vonatkozik. A CRA teljeskörűen 2027 második felétől alkalmazandó, de a sebezhetőségek jelentésére vonatkozó szabályok már 2026-ban életbe lépnek.
Pontosan milyen cégeket érint az új szabályozás?
Gyártók - Szoftver- és Hardverfejlesztők:
-
Példa: Egy kkv, amely okosotthon (IoT) eszközöket (pl. okoskonnektor, wifis termosztát) gyárt, vagy egy vállalkozás, amely egy dobozos/előfizetéses raktárkezelő szoftvert (ERP modult) vagy mobilapplikációt fejleszt.
-
Kötelezettségük: Már 2026 szeptemberétől jelenteniük kell az incidenseket. 2027 decemberétől pedig garantálniuk kell, hogy a termékük nem tartalmaz alapértelmezett, gyenge jelszavakat, az adatok titkosítva futnak, és kötelező ingyenes biztonsági frissítéseket (patch-eket) kell kiadniuk a termék várható élettartama alatt (de legalább 5 évig). A piacra lépés feltétele a kiberbiztonsági CE-jelölés megszerzése lesz.
Importőrök és Forgalmazók: Példa: Egy magyar elektronikai webáruház, amely EU-n kívülről (pl. Kínából) importál IP-kamerákat vagy olcsó okosórákat, majd ezeket belföldön értékesíti.
-
Kötelezettségük: 2027 decemberétől az importőr jogi felelőssége lesz ellenőrizni, hogy a harmadik országbeli gyártó elvégezte-e a CRA szerinti kiberbiztonsági értékelést és rendelkezik-e a megfelelő papírokkal. Ha nem, a terméket tilos az EU piacán forgalmazni. Sőt, ha a webáruház saját márkanév alatt (white-label) dobja piacra a kínai eszközt, a törvény őt tekinti "gyártónak", így minden kiberbiztonsági teher őt fogja terhelni.
Pontosan mik a határidők?
- 2026. szeptember 11.: Életbe lépnek a kötelező jelentéstételi szabályok. Ha a gyártó aktívan kihasznált sebezhetőséget vagy súlyos biztonsági incidenst fedez fel a termékében, 24 órán belül (korai előrejelzés formájában), majd 72 órán belül részletesen jelentenie kell a nemzeti hatóságnak (pl. a magyar Nemzeti Kibervédelmi Intézetnek) és az ENISA-nak. Fontos: Ez a kötelezettség a már piacon lévő, régebbi termékekre is vonatkozik!
- 2027 - Beépített biztonság (Security by Design): A termékeket eleve kiberbiztonsági szempontok alapján kell megtervezni (pl. alapértelmezett jelszavak tiltása, titkosítás).
- Ingyenes biztonsági frissítések: A gyártóknak a termék várható élettartama alatt (de legalább 5 évig) kötelezően, ingyenesen biztonsági frissítéseket kell kiadniuk és ezeket automatikusan (vagy könnyen) telepíthetővé tenni.
- 2027. december 11.: A CRA teljeskörű alkalmazásának kezdete. Ekkortól a kulcsfontosságú kötelezettségek (CE-jelölés, beépített biztonság, ingyenes frissítések garantálása) jogilag kötelező érvényűvé válnak minden új vagy jelentősen módosított termékre.
Bár a kérdés a CRA-re vonatkozott, a magyar kkv-k életét 2026-2027-ben a NIS2 irányelv (magyarul a 2023. évi XXIII. törvény, azaz a Kibertörvény) is érinti, ami sok esetben párhuzamos a CRA követelményeivel. Ha egy vállalkozás 50+ főt foglalkoztat vagy 10 millió EUR+ árbevétel felett van és kritikus szektorban dolgozik (pl. élelmiszeripar, gyártás, logisztika, IT szolgáltatások, hulladékgazdálkodás), vagy egy ilyen cég beszállítója és hozzáfér információs rendszerekhez, akkor 2026-ra és 2027-re már folyamatos biztonsági auditokon kell átesnie a Szabályozott Tevékenységek Felügyeleti Hatósága (SZTFH) felügyelete alatt.
Ebben a folyamatban az MKIK Kiberbiztonsági Programja is segít egy audit tanácsadói programon keresztül. Fontos megemlíteni, hogy az általános felkészülésben is támogatjuk a vállalkozásokat , pl. automata sárülékenység vizsgálatokat tartunk díjmentesen.
További információk:
Hivatalos link: EUR-Lex - 32024R2847 - HU
Az MKIK Kiberbuztonsági programja: https://kiberbiztonsag.mkik.hu/
