URIEL.consult

Ce este CRA?

CRA (Cyber Resilience Act — Regulamentul UE 2024/2847) este o lege europeană care impune cerințe minime de securitate cibernetică pentru orice produs cu elemente digitale vândut în UE. Pe scurt: dacă produsul tău se conectează la o rețea sau rulează software, trebuie să fie sigur prin proiectare și să rămână sigur pe toată durata lui de viață.

Logica e simplă. Până acum, un utilaj sau un aparat trecea prin verificări de siguranță fizică (marcajul CE clasic). Partea digitală — software, conexiune, actualizări — era practic nereglementată. CRA mută responsabilitatea pentru securitate de la utilizator la producător: produsul trebuie să fie sigur înainte să-l vinzi, nu după ce cineva e spart.

Pe cine vizează

Producători, importatori și distribuitori care pun pe piața UE produse cu elemente digitale: utilaje cu panou de comandă conectat, dispozitive IoT, aplicații instalabile, programe livrate ca produs de sine stătător, echipamente cu actualizare online. Legea se aplică indiferent unde e producătorul — dacă un client din UE poate cumpăra produsul, ești vizat.

Ce NU intră sub incidența CRA

SaaS-ul pur (toată prelucrarea pe serverele furnizorului, acces prin browser/API). Atenție: NIS2 și GDPR rămân aplicabile.

Software-ul open-source dezvoltat fără scop comercial.

Categorii acoperite de alte legi (dispozitive medicale, auto, aviație).

Datele care contează

11 iunie 2026 — încep să fie acreditate organismele de evaluare a conformității.

11 septembrie 2026 — devine obligatorie raportarea vulnerabilităților exploatate activ și a incidentelor grave: 24 de ore (notificare inițială), 72 de ore (raport detaliat), 14 zile (raport final).

11 decembrie 2027 — aplicare completă: marcaj CE și declarație de conformitate pentru toate produsele noi.

În plus, produsul trebuie să primească actualizări de securitate minimum 5 ani (sau cât durează viața lui, dacă e mai scurtă).

Ce riști

Amenzi de până la 15 milioane EUR sau 2,5% din cifra de afaceri globală. Notă: microîntreprinderile și firmele mici sunt scutite de amenda pentru întârzierea raportării de 24h (Art. 64(10)), dar obligația de a raporta rămâne.

Ce trebuie să faci, pe scurt

1.

Stabilește care produse intră sub incidența CRA.

2.

Integrează securitatea din proiectare (secure by design).

3.

Ține o listă a componentelor software (SBOM) + proces de gestionare a vulnerabilităților.

4.

Pregătește documentația tehnică și declarația de conformitate.

5.

Pune la punct procedura de raportare 24h / 72h / 14 zile.

Verifică dacă firma ta intră sub incidența CRA →Cere o evaluare →