Cyber Resilience Act (CRA) — što EU traži od softvera i kome se to tiče


Cyber Resilience Act (CRA) — što EU traži od softvera i kome se to tiče

Cyber Resilience Act (CRA) je EU regulativa koja prvi put obvezuje proizvođače softvera (i 'products with digital elements') na cijeli niz sigurnosnih obveza kroz cijeli životni ciklus proizvoda. Usvojena je u listopadu 2024., a glavne obveze stupaju na snagu u prosincu 2027. Vrijeme za pripremu je sad.

Ovaj vodič pokriva što CRA traži, koje SaaS / softver kompanije pogadja, što to znači za web shopove i agencije koje grade custom rješenja, i konkretni next steps.

Što je CRA u 30 sekundi

CRA pokriva 'products with digital elements' — što je široko definirano kao bilo koji softver ili hardver koji ima digital komponente. To uključuje:

  • Aplikativni softver (desktop, mobile, web aplikacije)
  • Operativne sustave
  • Library-je i framework-e
  • IoT uređaje i connected hardver
  • Smart home uređaje

Cilj: 'security by design and by default' kroz cijeli životni ciklus proizvoda — od dizajna do EOL-a.

Što CRA NE pokriva

Nekoliko iznimki:

  • SaaS (cloud servisi koji se ne distribuiraju kao softver) — pod NIS2 ili DORA ovisno o sektoru
  • Open-source softver koji se ne razvija u komercijalne svrhe
  • Medicinski uređaji (pod MDR)
  • Vozila (pod automotive regulativom)
  • Aviacijska oprema

Glavne obveze za proizvođače

1. Vulnerability handling

Proizvođač mora:

  • Imati proces za primanje ranjivosti od korisnika i istraživača (security.txt, coordinated disclosure)
  • Brzo reagirati na otkrivene ranjivosti
  • Distribuirati security updates kroz cijeli životni ciklus proizvoda
  • Javno objavljivati security advisories

2. Conformity assessment

Prije plasiranja proizvoda na tržište, treba dokazati sukladnost:

  • Standardni proizvodi (90% slučajeva) — self-assessment, CE oznaka, SBOM (Software Bill of Materials)
  • Important products (lozinkasti manageri, antivirusi, VPN) — strožiji external assessment
  • Critical products (smart cards, secure elements) — strogi third-party audit

3. Security throughout lifecycle

Minimum 5 godina security supporta nakon plasiranja (osim ako proizvod ima kraći očekivani životni ciklus). To znači security patcheve, ne nužno feature updates.

4. Incident reporting

Aktivno iskorištenu ranjivost ili security incident — prijaviti ENISA-i u roku od 24 sata, kasnije izvještaje u 72 sata i 14 dana.

5. SBOM obveza

Software Bill of Materials — formalna lista svih komponenti i library-ja koje proizvod koristi. To omogućuje brzu identifikaciju komponenti pogoditih sigurnosnim incidentima (kao Log4Shell).

Sankcije

  • Non-compliance with essential cybersecurity requirements: do 15M EUR ili 2.5% globalnog godišnjeg prihoda
  • Non-compliance s ostalim obvezama: do 10M EUR ili 2%
  • Incorrect information: do 5M EUR ili 1%

Plus market surveillance autoriteti mogu zabraniti prodaju proizvoda u EU.

Koga pogadja

Direktno pogadja:

  • Software vendori koji prodaju ili distribuiraju softver u EU
  • IoT proizvođači
  • Hardver s digitalnim komponentama
  • Mobile app developeri
  • WordPress plugin/theme developeri koji prodaju (komercijalno) u EU

Indirektno pogadja:

  • Importeri i distributeri softvera — moraju verificirati da proizvod ima CE oznaku
  • Resellers i marketplace platforme

Ne pogadja direktno:

  • SaaS provideri (cloud only) — pod NIS2 ako su essential entity
  • Custom internal softver koji se ne distribuira
  • Web sajtovi kao publikacije (ali ako sajt ima downloadable WP plugine — pogadja)

Što ako sam dev agencija / WordPress shop

Realne situacije:

Scenarij 1: Gradiš custom WordPress sajt za klijenta

To je custom rješenje, nije proizvod. CRA te ne pogadja direktno. Ali klijentov sajt može imati CRA obveze kroz pluginove koje koristiš (vidi scenarij 3).

Scenarij 2: Prodaješ WordPress plugin ili temu komercijalno

Pogadja te CRA. Treba SBOM, vulnerability handling proces, security update-i, 5 god supporta.

Scenarij 3: Klijentov sajt koristi 3rd-party plugine

Plugin proizvođači su odgovorni za svoju compliance. Klijent je odgovoran za izbor pluginova koji su CRA compliant. Ti kao agencija — preporučuješ compliant pluginove, dokumentiraš odluku.

Scenarij 4: Razvijaš SaaS produkt

CRA te ne pogadja (osim ako distribuiraš desktop / mobile client). Ali NIS2 te može pogoditi ako si essential entity.

Praktičan checklist za pripremu (do prosinca 2027)

1. Mapiraj svoje proizvode

Što proizvodiš i distribuiraš? SaaS, desktop app, mobile app, library, plugin, IoT? Svaki ima različite CRA implikacije.

2. SBOM po proizvodu

Alati: CycloneDX, SPDX. Možeš generirati automatski kroz composer audit, npm audit, syft, trivy. Pohrani sa svakim release-om.

3. Vulnerability disclosure proces

Minimum:

  • security.txt na sajtu (RFC 9116)
  • Email adresa za prijavu (security@firma.com)
  • SLA za odgovor (npr. 5 radnih dana)
  • Coordinated disclosure policy

4. Security update pipeline

Automatizirani build + test + deployment za security patcheve. Ne smije ovisiti o jednoj osobi.

5. CE konformnost dokumentacija

Risk assessment, test reports, declaration of conformity. Drži za svaki proizvod, ažuriraj sa svakim major release-om.

6. End-of-life politika

Jasno komuniciraj kad proizvod prestaje primati security updates. To je dio CRA obveze.

SBOM — što stvarno treba

Software Bill of Materials je strukturirana lista. Minimum koji CRA traži:

  • Naziv komponente
  • Verzija
  • Supplier
  • License
  • Cryptographic hash
  • Relationships (što je dependancy čega)

Formati: CycloneDX (OWASP, JSON ili XML) ili SPDX (Linux Foundation). Većina alata podržava oba.

Generiranje primjer (Composer/PHP):

composer require --dev cyclonedx/cyclonedx-php-composer
composer cyclonedx:make-sbom --output-file sbom.json

Za Node.js:

npm install -g @cyclonedx/cyclonedx-npm
cyclonedx-npm --output-file sbom.json

Za Docker container imaginje, koristi syft ili trivy:

syft myimage:latest -o cyclonedx-json > sbom.json

CRA vs ostale EU regulative

CRA vs NIS2

CRA pokriva proizvode. NIS2 pokriva organizacije i njihovu cybersigurnost. SaaS provider je pod NIS2, software vendor pod CRA. Veliki vendori su pod oboje.

CRA vs GDPR

GDPR pokriva osobne podatke. CRA pokriva sigurnost softvera (uključujući onaj koji obrađuje osobne podatke). Komplementarni.

CRA vs AI Act

AI Act pokriva specifične AI sustave. CRA pokriva sve digital products uključujući AI. AI sustavi imaju i AI Act i CRA obveze.

CRA vs Product Liability Directive

PLD (revizija 2024) pokriva odgovornost za štetu od proizvoda. CRA pokriva sigurnosne obveze. Zajedno čine kompletan framework za digital product responsibility.

Što gradimo u WMD ekosistemu

Naš AI Website Layer (vidi arhitektura vodič) je SaaS — formalno pod NIS2 jurisdikcijom (ako klasificiramo kao essential entity), ne pod CRA. Ali pratimo CRA best practices kao 'spillover compliance':

  • Vulnerability disclosure preko security.txt na ai.wmd.hr
  • SBOM za sve naše Composer i NPM dependencies
  • Coordinated disclosure policy
  • Security update pipeline

Za klijentske hosting setup — naš hosting infrastructure je također pod NIS2 ako klasificiraju kao essential. Pratimo standarde za EU hosting providere.

Što ako sam outside EU ali prodajem u EU

CRA se primjenjuje na plasiranje proizvoda na EU tržište, neovisno o tome gdje je proizvođač. US plugin developer koji prodaje u EU — mora compliant. Inače rizikuje da bude blokiran iz EU marketplaces.

Dodatno: trebaš EU authorized representative ako si izvan EU.

FAQ

Kad CRA stupa na snagu?

Glavni dio obveza: 11. prosinca 2027. Incident reporting obveza: 11. rujna 2026 (ranije).

Treba li mi vanjski audit?

Većini ne. Samo 'important' i 'critical' products kategorije trebaju external assessment. Standardni proizvod = self-assessment + dokumentacija.

Što ako sam mali developer s 1-2 plugina?

Tehnički CRA te pogadja jednako. Praktički — fokus regulatora bit će na velikim vendorima i visoke-rizik produktima. Ali rizik je da te marketplace izbaci ako nemaš osnove (SBOM, security.txt).

Što s open-source komponentama u mom plugin-u?

Ti si i dalje odgovoran za sigurnost svoje finalne distribucije. Ako koristiš OSS library s ranjivošću, ti moraš update-ati. SBOM pomaže da brzo identificiraš.

Kako pratiti vulnerabilities u dependency-ma?

Automatski alati: Dependabot (GitHub), Snyk, Composer audit, npm audit. Postavi u CI pipeline da blokira deploy ako su poznate kritične ranjivosti.

Zaključak

CRA je veliki shift za EU softver tržište. Glavna lekcija: sigurnost postaje part of product, ne kasniji add-on.

Praktičan plan:

  1. Provjeri pogadja li te CRA (proizvod vs SaaS, EU vs vanjski)
  2. Implementiraj security.txt + vulnerability disclosure
  3. Generiraj SBOM za sve proizvode
  4. Postavi security update pipeline
  5. Dokumentiraj sve za CE konformnost

Imamo do prosinca 2027, ali ozbiljnije pripreme treba početi 2026. Pratit ćemo evoluciju kroz naše Vijesti. CRA dolazi uz NIS2 (vidi naš NIS2 članak), DORA-u (vidi DORA godinu kasnije) i AI Act (vidi AI Act 2026) kao kompletan EU IT regulativni framework.

Specifična pitanja? Javi se.

Poveznice
#EU regulativa #WooCommerce #Razvoj #Sigurnost
Hosting za Node.js 2026 — VPS, PM2, reverse proxy, scale do milijuna requesta  
  Novosti

Sve za web na jednom mjestu

Trenutno više od 1000+ završenih projekata, od kojih manji dio možete pogledati ispod

IZRADA CMS SEO SISTEMA

SEO CMS stranice s unikatnim dizajnom, prilagođene vašim potrebama kao i svim vrstama mobilnih i desktop uređaja. Optimizirana za poznatije tražilice.

SEO MARKETING

Milijuni internet korisnika svakodnevno koriste tražilice da pronađu web stranice. Možete li si priuštiti da Vas ne pronađu? Kompletno internet marketing rješenje.

IZRADA WEB TRGOVINE

Izrada web trgovine prilagodljive dizajnom i mogućnostima prema vašim željama. Jednostavno uređivanje bez potrebe za informatičkim predznanjem.

PR 130+ PORTALA

Oglašavanje na mreži od 130+ gradskih i mjesnih portala. PR objave, sponzorirane vijesti, prezentacija tvrtki, baneri po akcijskim cijenama.

Naši korisnici o nama

Adriano Bratovic

Surađujemo godinama sa WMD-om. Ne možemo dovoljno preporučiti. Izašli su u susret i napravili "ekstra" korake (koji nisu u okviru ponude) nebrojeno puta.Zavhalan što imamo takvu podršku i provider-a.

Joško Matušan

Apsolutno sam oduševljen WMD-om! Korisnička podrška je fenomenalna -brza i profesionalna te rješavaju probleme dok ste još na vezi. Usluga je stabilna, brza i pouzdana. Od kada sam kod njih, a to je desetak godina, nemam apsolutno nikakvih briga oko svog weba, tako da sam kod njih smjestio već 4…

Ivan K

Svaka čast svima u WMD podršci, koristimo dosta usluga od WMDa i svaki puta i u bilo koje doba dana ste na usluzi. Sigurno budemo i dalje koristili vaše usluge

Goran Stevic

Moram priznati, saradivao sam sa raznim firmama, ali vama svaka cast, najbolji ste !!!  Brzi odgovori, brzo resite problem  ,profesionalni stvarno svaka vam castpozdrav iz Swiden

Ivana Ivanušec

WMD je naš dugogodišnji i pouzdani partner u svijetu hostinga i web dizajna! 🚀 Njihova vrhunska tehnička podrška, brzina i profesionalnost omogućuju nam da našim korisnicima isporučimo web stranice koje rade besprijekorno. Uvijek su dostupni, susretljivi te spremni pomoći, a u tome su iznimno brzi,…

Tomislav Vrkljan

WMD nudi kvalitetne web hosting usluge uz izvrsnu korisničku podršku. Koristim njihove usluge od 2006. godine i kroz sve te godine nisam naišao na pouzdanijeg partnera u ovom području. Njihov stručni tim brzo i učinkovito rješava svaki tehnički izazov, dok fleksibilnost usluga omogućava prilagodbu…

Portal dugoselo.info

"Brzina, znanje i dostupnost WMD korisničke službe daje mi puno pouzdanje u projekt, lakoću i sigurnost u korištenju usluge i alata. Brzo, vrlo komunikativno i stručno riješili su svaki moj upit."

GNOSIS agencija za prevođenje

Nakon iskustava s raznim providerima, u tvrtki WMD konačno smo našli pouzdanog hosting partnera. Kvaliteta usluge je na visokom nivou, te na svaki naš upit brzo dobijemo odgovor i adekvatno rješenje. WMD mogu preporučiti svima koji žele kvalitetan i pouzdan hosting.

Problemi za 1.maj

S obzirom da smo htjeli sami kreirati sadržaje na internet stranici izabrali smo WMD. I kako to biva s početnicima naišli smo na nerješivi problem. Poslali smo zahtjev za pomoć WMD-u, ili bolje rečeno UPOMOĆ!!!!!. Bilo je to 1. svibnja ove godine dobrano iza ponoći. I…. vrlo brzo (stvarno VRLO…

SEO.hr

Ako se odlučite za hosting na temelju cijene najvjerojatnije će te završiti na kraju reda kada se sa serverom nešto dogodi. Moj savjet je da ne štedite na hostingu i da si zakupite hosting gdje će vam uvijek netko izaći u susret i pobrinuti se da sve štima bez obzira koliko ste veliki ili mali.…

Gamabon d.o.o.

U gospodarskoj krizi kakva je na našem tržištu već duže vremena, svaki izdatak bilo za robu ili uslugu se čini prevelik ili skup i to neovisno o konkretnoj novčanoj vrijednosti. A kada je roba ili usluga nekvalitetna onda je izdatak naročito velik i skup, pa i u slučaju kada nije kriza koju…

1Klik - Informatička rješenja

Prije nekog vremena smo prešli na Vaš hosting prema preporuci kolege. Premda smo do sada već imali nekoliko domena s uslugama otvorenima kod drugih hosting firmi moramo naglasiti da smo iznimno zadovoljni s prelaskom.Želimo ovim putem pohvaliti Vašu službu za korisnike, jednostavnost te diskretno i…

Virna, obrt za informatičke usluge

Ovim putem želim pohvaliti Vašu službu za korisnike i Vašu uslugu općenito. Vaši administratori su korektni, ljubazni i imaju enormno strpljenje za sva pitanja te su voljni pomoći u svakom trenutku. Radim ovaj posao 20 godina i mogu slobodno reći da sam do sada imao samo pozitivna iskustva u…

Specijalistička ordinacija Obiteljske medicine s dijagnostikom

Ako želite imati lijepu i funkcionalnu web stranicu koja će biti ogledalo Vaše djelatnosti, svakako Vam preporučujem WMD. Surađujem s ovom tvrtkom 7 godina i izuzetno sam zadovoljna njihovim uslugama hostinga, web dizajna, a posebno brzinom i kvalitetom web podrške. Izuzetno je važno da možete…

Helcos d.o.o.

Poštovana gospodo!Čestitam Vam na Vašoj ideji i realizaciji JUMBO plakata. Jedistveni su i korisni. Predlažem Vam njihovu veću animaciju, mislim da su nedovoljno poznati i prepoznati u javnosti.Na moju zamolbu da nam promjenite podlogu i tekst plakata reagirali ste brzo i poslovno – zahvaljujemo…

POGLEDAJ SVE KOMENTARE NAŠIH KORISNIKA
Karta svijeta - HOSTING AKCIJA 1+1

Sve za web na jednom mjestu

0
0
0
0

Cyber Resilience Act (CRA) — što EU traži od softvera i kome se to tiče