Novinky

ENISA zveřejnila model zralosti pro SME: 66 % firem o Cyber Resilience Actu ví, ale praktická připravenost zaostává

Novinky Date: Zobrazení: 6

ENISA zveřejnila model zralosti pro SME: 66 % firem o Cyber Resilience Actu ví, ale praktická připravenost zaostává

Cyber Resilience Act (CRA), který vstoupil v platnost v prosinci 2024, přináší povinné požadavky na bezpečnost produktů s digitálními prvky pro všechny výrobce a dodavatele usilující o přístup na evropský trh. Přestože přechodné lhůty dávají firmám čas na adaptaci, pro malé a mikropodniky jde o regulatorní výzvu, pro kterou nemají dostatečné zdroje, zkušenosti ani metodické zázemí. ENISA na tento problém reaguje praktickými nástroji v rámci evropské strategie kybernetické bezpečnosti SME.

Výsledkem je SME Cyber Resilience Maturity Assessment Model, strukturovaný nástroj pro sebehodnocení a postupné zlepšování kybernetické odolnosti s ohledem na požadavky CRA. Model není určen jen výrobcům produktů s digitálními prvky (kteří jsou přímo povinni CRA splňovat), ale i integrátorům a poskytovatelům služeb, kteří jsou do produktového životního cyklu zapojeni nepřímo.

Model je postaven na pěti oblastech: řízení a dokumentace, řízení rizik a bezpečnost již od návrhu (security by design/by default), správa zranitelností a záplat, řízení produktového životního cyklu a povědomí, kompetence a dovednosti. V každé oblasti je definováno pět kritérií zralosti, která odrážejí očekávané postupy podle CRA a moderních přístupů k produktové bezpečnosti. Výsledkem hodnocení je přiřazení jednoho ze tří profilů zralosti: základní, střední nebo pokročilý.

Zásadním praktickým výstupem je ke stažení volně dostupný Excel nástroj, který provází uživatele hodnocením krok za krokem, automaticky počítá skóre a umožňuje firmě sledovat pokrok při opakovaných sebehodnoceních v čase. ENISA zároveň upozorňuje, že dosažení pokročilé úrovně zralosti nenahrazuje zákonné povinnosti ani nepředstavuje důkaz shody s CRA – je to průběžný ukazatel toho, jak systematicky firma produktová rizika řídí.

Image

Spolu s modelem zveřejnila ENISA výsledky průzkumu SME CRA Survey provedeného v únoru a březnu 2026. Průzkumu se zúčastnilo 194 organizací ze 31 zemí, z toho 25 členských států EU. Výsledky odhalují výrazný rozdíl mezi deklarovaným povědomím a faktickou připraveností: 66 % respondentů o CRA slyšelo ještě před průzkumem, praktické pochopení konkrétních požadavků je však stále na nízké úrovni.

Velikost firmy je největším faktorem ovlivňujícím úroveň zralosti: středně velké podniky dosahují ve všech pěti oblastech v průměru o jeden bod vyšších výsledků než mikropodniky. Nejslabší oblastí napříč všemi kategoriemi je řízení incidentů a produktový životní cyklus – právě tam, kde CRA klade nejvyšší nároky. Firmy si nejčastěji říkaly o praktické šablony: dokumentaci a šablony pro bezpečný vývoj požadovalo přes 70 % respondentů. Celkem 142 organizací explicitně zmínilo potřebu finanční podpory – CRA compliance je pro mikropodniky bez dotací obtížně dosažitelná.

Průzkum také ukázal, že SME nečerpají informace o CRA z jednoho zdroje: regulátory, poradenské firmy, odvětvová sdružení, webináře i média hrají roli zhruba stejnou měrou. To znamená, že osvěta musí probíhat paralelně více kanály, chce-li dopadnout na celé spektrum cílové skupiny.

Další články