Cyber Resilience Act (CRA): deadline-uri, implicații pentru IMM-uri și UAT, și roadmap 2026–2027
Cyber Resilience Act (CRA) e deja lege. Primul termen dur: 11 septembrie 2026; conformitate completă: 11 decembrie 2027 — ce înseamnă pentru IMM-uri, UAT-uri și orice organizație, plus un roadmap practic.
Pe scurt
Cyber Resilience Act (CRA, Regulamentul (UE) 2024/2847) este deja lege. Stabilește reguli obligatorii de securitate cibernetică pentru aproape orice produs cu elemente digitale vândut în UE — hardware, software, firmware și servicii conectate. A intrat în vigoare pe 10 decembrie 2024 și se aplică etapizat, cu primul termen dur pe 11 septembrie 2026 și conformitate completă din 11 decembrie 2027.
Dacă organizația ta produce, revinde sau doar cumpără produse conectate ori software, CRA te privește. Mai jos e ce contează, pe date și pe tipuri de organizație.
Termenele care contează
| Data | Ce se aplică | | --- | --- | | 10 dec. 2024 | CRA a intrat în vigoare | | 11 iun. 2026 | Reguli pentru organismele de evaluare a conformității; statele desemnează autoritățile | | 11 sep. 2026 | Încep obligațiile de raportare — producătorii raportează vulnerabilitățile exploatate activ și incidentele grave | | 11 dec. 2027 | Conformitate completă — toate cerințele esențiale, evaluarea conformității și marcajul CE |
Din 11 septembrie 2026, un producător care află de o vulnerabilitate exploatată activ sau de un incident grav trebuie să trimită:
- o avertizare timpurie în 24 de ore,
- o notificare mai detaliată în 72 de ore,
- un raport final în 14 zile (vulnerabilități, după ce există o remediere) sau într-o lună (incidente grave),
către CSIRT-ul național și ENISA, prin platforma unică de raportare CRA. Se aplică inclusiv produselor deja pe piață — produsele vechi nu sunt scutite de raportare.
Cine intră sub incidență
CRA acoperă produsele cu elemente digitale: IoT și hardware conectat, routere și dispozitive smart, software de sine stătător și firmware, plus soluții de procesare la distanță (cloud și aplicații web legate de un produs).
Rolurile au obligații diferite:
- Producătorii au obligațiile principale: securitate „by design", gestionarea vulnerabilităților, actualizări de securitate, documentație tehnică, evaluarea conformității și marcaj CE.
- Importatorii și distribuitorii trebuie să verifice conformitatea înainte de vânzare, să refuze produsele neconforme și să coopereze cu autoritățile.
- Administratorii de open-source și dezvoltatorii open-source necomerciali sunt scutiți de amenzile administrative.
Circa 90% dintre produse intră într-o clasă implicită, în care producătorul face autoevaluare. Restul sunt „importante" sau „critice", cu evaluare mai strictă — produsele critice cer un audit extern.
Sancțiunile
- Până la 15 milioane € sau 2,5% din cifra de afaceri anuală globală pentru încălcarea cerințelor esențiale.
- Până la 10 milioane € sau 2% pentru informații incorecte ori incomplete.
- Până la 5 milioane € sau 1% pentru lipsa cooperării cu autoritățile.
Ce înseamnă pentru IMM-uri
CRA ajunge la un IMM pe două căi:
Dacă produci sau vinzi ceva digital — un produs conectat, o aplicație software, firmware, un SaaS sau o aplicație web pusă pe piața UE — ești, cel mai probabil, producător în sensul CRA. Vei avea nevoie de dezvoltare securizată „by design", o listă a componentelor software (SBOM), un proces de gestionare a vulnerabilităților și de actualizare, documentație tehnică și (din dec. 2027) marcaj CE. Obligația de raportare începe mai devreme, în septembrie 2026.
Dacă doar cumperi și folosești produse conectate și software, nu ești obligat direct, dar CRA tot te ajută: din 2027, produsele de pe piața UE trebuie să atingă un nivel minim. Întreabă furnizorii dacă roadmap-ul lor e pregătit pentru CRA și pune conformitatea CRA/CE ca cerință în achiziții.
Ce înseamnă pentru administrațiile publice (UAT)
Majoritatea primăriilor sunt cumpărători, deci munca practică e în achiziții: cere produse conforme CRA, cu marcaj CE, și solicită furnizorilor calendarul de conformitate. Dar un UAT care dezvoltă sau comandă propriul software (portaluri pentru cetățeni, aplicații) poate intra sub incidență ca producător. CRA stă, de altfel, lângă NIS2, care deja acoperă multe instituții publice — tratează-le ca un singur program, nu ca două.
Ce înseamnă pentru orice organizație
- Depinzi de produse conectate și software, fie că le construiești sau nu. O componentă slabă e și riscul tău.
- Verificarea furnizorilor, un inventar al activelor și un proces de gestionare a vulnerabilităților sunt acum așteptări de bază, nu opționale.
Un roadmap practic
Acum → mijlocul lui 2026 — cartografiază și clasifică
- Inventariază fiecare produs cu elemente digitale pe care îl produci, revinzi sau pe care te bazezi.
- Stabilește-ți rolul pentru fiecare: producător, importator, distribuitor sau utilizator.
- Fă o analiză de discrepanțe (gap analysis) față de cerințele esențiale.
Până la 11 septembrie 2026 — pregătit pentru raportare (dacă ești producător) 4. Pune pe picioare un proces de gestionare a vulnerabilităților și incidentelor, cu cascada 24h / 72h / 14 zile. 5. Configurează monitorizarea vulnerabilităților exploatate activ și pregătește-te să raportezi prin platforma CRA.
2026 → 2027 — proiectează pentru conformitate 6. Adoptă securitatea „by design", ține un SBOM, definește o politică de actualizări de securitate și scrie documentația tehnică. 7. Alege ruta corectă de conformitate (autoevaluare, „important" sau audit extern „critic") și pregătește marcajul CE.
Până la 11 decembrie 2027 — conformitate completă 8. Orice produs nou pus pe piața UE trebuie să respecte integral CRA.
Nu ești sigur unde te încadrezi?
Partea cea mai grea e de obicei prima: să afli dacă CRA te tratează ca producător și care produse intră sub incidență. Exact asta acoperă discuția noastră gratuită de 30 de minute — îți cartografiem produsele, rolul și cel mai apropiat termen și îți spunem ce să faci întâi.
Acest articol este un rezumat practic, nu consultanță juridică. Textul obligatoriu este Regulamentul (UE) 2024/2847. Datele și ghidurile se pot actualiza — verifică sursele oficiale înainte de a acționa.
Vrei checklist-ul complet?
Iti trimitem varianta practica (RO/EN), folosita in proiecte reale pentru IMM-uri, primarii si companii din UE.