Sari la conținut
Toate resursele
CRAActualizat 3 iulie 2026 · 10 min de citit

Ghid CRA: securitatea produselor cu elemente digitale, de la secure by design la marcajul CE

CRA — Cyber Resilience Act — e prima lege europeană care cere securitate cibernetică PRODUSELOR, nu doar organizațiilor: orice hardware sau software „cu elemente digitale” vândut în UE va trebui proiectat sigur, întreținut cu actualizări și însoțit de marcaj CE și pe partea cibernetică. Primul termen lovește curând: din 11 septembrie 2026, producătorii raportează vulnerabilitățile exploatate activ. Ghidul de față îți explică pe cine vizează, ce cere concret și cu ce începi.

01Ce e CRA și pe cine lovește

CRA este Regulamentul (UE) 2024/2847 privind cerințele de securitate cibernetică pentru produsele cu elemente digitale — de la routere, camere IP și dispozitive smart până la aplicații, sisteme de operare și componente software vândute comercial. Ca regulament, se aplică direct în toată Uniunea, fără transpunere națională. Obligațiile cad în primul rând pe producători, dar și importatorii și distribuitorii au responsabilități: nu au voie să pună pe piață produse despre care știu că nu sunt conforme.

Dacă firma ta dezvoltă software comercial, produce sau importă dispozitive conectate, ori integrează componente digitale în produse fizice — CRA e legea ta. Software-ul open-source necomercial e în afara scopului, iar produsele deja reglementate sectorial (dispozitive medicale, auto, aviație) au regimuri separate.

02Calendarul real: două termene de ținut minte

DataCe se aplică
10 decembrie 2024Regulamentul a intrat în vigoare — perioada de tranziție curge
11 septembrie 2026Obligațiile de raportare: vulnerabilitățile exploatate activ și incidentele severe se raportează la ENISA și CSIRT-ul național
11 decembrie 2027Aplicarea integrală: cerințele esențiale de securitate, evaluarea conformității, documentația tehnică și marcajul CE devin obligatorii pentru produsele puse pe piață

03Cerințele esențiale, pe înțelesul producătorilor

  • Secure by design și by default: produsul se livrează fără vulnerabilități exploatabile cunoscute, cu configurație implicită sigură și suprafață de atac minimizată.
  • Protecții de bază încorporate: control de acces, protecția confidențialității și integrității datelor (criptare unde e cazul), reziliență la atacuri de tip DoS.
  • Gestionarea vulnerabilităților pe toată durata de suport: identifici și documentezi componentele (inventar de tip SBOM), tratezi vulnerabilitățile fără întârziere și livrezi actualizări de securitate — separate de cele funcționale, de regulă gratuite.
  • Perioadă de suport declarată: în principiu minimum 5 ani sau durata de viață așteptată a produsului; utilizatorul trebuie să știe până când primește patch-uri.
  • Politică de divulgare coordonată a vulnerabilităților: canal public prin care cercetătorii îți pot raporta probleme, fără să fie tratați ca atacatori.
  • Transparență pentru utilizator: instrucțiuni, informații de securitate și documentație tehnică ce demonstrează conformitatea — baza marcajului CE.

04Raportarea vulnerabilităților exploatate activ

Din 11 septembrie 2026, dacă afli că o vulnerabilitate din produsul tău e exploatată activ — sau că ai un incident sever care afectează securitatea produsului — raportezi prin platforma unică de raportare către ENISA și CSIRT-ul național desemnat: alertă timpurie în cel mult 24 de ore de la luarea la cunoștință, notificare detaliată în 72 de ore, iar raportul final la închidere (14 zile de la disponibilitatea măsurii corective pentru vulnerabilități, respectiv o lună pentru incidente). Mecanica seamănă deliberat cu NIS2 — cine are deja procedură de raportare pornește cu avans.

05Clasele de produse: cu cât mai critic, cu atât mai strict

Majoritatea covârșitoare a produselor („categoria implicită”) se autoevaluează: producătorul verifică singur conformitatea și aplică marcajul CE. Produsele „importante” (clasa I și II — ex. manageri de parole, firewall-uri, VPN-uri, hipervizoare) au cerințe de evaluare mai stricte, mergând până la evaluare de către un organism notificat; produsele „critice” (ex. dispozitive hardware cu funcții de securitate avansate) pot cere certificare de securitate cibernetică europeană. Prima întrebare practică e deci: în ce clasă cade produsul meu?

06Relația cu NIS2: organizația vs. produsul

NIS2 și CRA sunt complementare, nu concurente: NIS2 reglementează securitatea ORGANIZAȚIILOR care furnizează servicii esențiale; CRA reglementează securitatea PRODUSELOR puse pe piață. O firmă poate fi sub ambele — un producător de echipamente de rețea poate fi entitate importantă sub NIS2 pentru propria organizație ȘI producător sub CRA pentru produsele lui. Măsurile interne se suprapun parțial (managementul vulnerabilităților, incidentele, dezvoltarea sigură), deci munca făcută pe un cadru te avansează pe celălalt.

07Sancțiunile

Nerespectarea cerințelor esențiale sau a obligațiilor de raportare se sancționează cu amenzi de până la 15 milioane de euro sau 2,5% din cifra de afaceri globală anuală (oricare e mai mare); alte obligații au plafoane de 10 mil. €/2%, iar informațiile incorecte furnizate autorităților — 5 mil. €/1%. La acestea se adaugă puterea autorităților de supraveghere a pieței de a retrage sau interzice produse neconforme — pentru un producător, adesea mai dureroasă decât amenda.

08De unde începi: 5 pași practici

  • Fă inventarul produselor cu elemente digitale și stabilește clasa fiecăruia (implicită / importantă / critică).
  • Evaluează procesul de dezvoltare față de cerințele esențiale: threat modeling, testare de securitate, configurație implicită sigură.
  • Construiește managementul vulnerabilităților: inventar de componente (SBOM), monitorizarea dependențelor, proces de patch, politică de divulgare coordonată publicată.
  • Pregătește raportarea pentru septembrie 2026: cine detectează exploatarea activă, cine scrie alerta de 24h, cine o transmite.
  • Stabilește perioada de suport per produs și comunic-o clar — și planifică resursele de întreținere pe toată durata ei.

09Cum te ajută Normward

În Normward, CRA e un catalog de 27 de controale evaluabile — organizate pe dezvoltare sigură, managementul vulnerabilităților, actualizări și transparență — cu evaluare pe politică + implementare, scor, lacune și plan de remediere, pe același motor ca NIS2, ISO 27001, DORA și GDPR. Onest: documentele generate cu AI și mecanismele dedicate de raportare pentru CRA sunt în lucru — evaluarea și gap analysis-ul sunt complete și te pregătesc exact pentru termenele din 2026–2027.

CRA, în cifre

Actul de bază
Regulamentul (UE) 2024/2847, în vigoare din 10 decembrie 2024
Raportarea vulnerabilităților
din 11 septembrie 2026 (alertă 24h către ENISA + CSIRT)
Aplicarea integrală
11 decembrie 2027 (cerințe esențiale + CE)
Perioada de suport
în principiu minimum 5 ani
Amenda maximă
15 mil. € sau 2,5% din cifra de afaceri globală

Surse și texte oficiale

Material informativ, nu consultanță juridică. Legislația se poate modifica — verifică textele oficiale înainte de decizii cu efecte legale.

Afli în 5 minute unde stai cu NIS2.

Calculator gratuit de eligibilitate — sector, mărime, servicii → verdictul și nivelul tău de clasificare.

Citește și