Rok 2026 je moment, keď sa kybernetická bezpečnosť prestáva riešiť iba ako prevádzková téma a čoraz viac vstupuje do nákupu, zmlúv a zodpovednosti dodávateľov. Dve témy, ktoré sa oplatí čítať spolu, sú Cyber Resilience Act (CRA) a postkvantová kryptografia (PQC).

CRA mení pravidlá pre produkty s digitálnymi prvkami v EÚ a nepriamo mení aj to, čo bude dávať zmysel kupovať a ako to zmluvne ošetriť. PQC mení kryptografické predpoklady, na ktorých stojí identita, certifikáty, TLS, VPN a podpisovanie kódu, teda oblasti s životnosťou ďaleko za hranicou jedného rozpočtového roka.

Čo je dôležité v roku 2026

Hneď na úvod je dôležité ujasniť si časový rámec. Rok 2026 nie je rok plnej CRA zhody. CRA už platí, ale najbližší reálny dopad v roku 2026 je viazaný na skoršie ustanovenia a na reporting. Hlavné produktové povinnosti začnú platiť neskôr.

Platí tento rámec:

• CRA vstúpil do platnosti 10. decembra 2024
• reporting povinnosti sa uplatnia od 11. septembra 2026
• hlavné povinnosti sa začnú uplatňovať od 11. decembra 2027

Dôležitý je aj skorší míľnik v roku 2026. Časť ustanovení týkajúcich sa notifikovaných orgánov a posudzovania zhody sa začne uplatňovať už 11. júna 2026. To je praktický signál, že trh, procesy a kapacity pre posudzovanie zhody sa budú v roku 2026 reálne formovať.

CRA v praxi: prečo je rok 2026 dôležitý pre nákup a vedenie IT

CRA je nariadenie, nie smernica. Uplatňuje sa priamo v celej EÚ a vytvára jednotný rámec pre produkty s digitálnymi prvkami. Podstatná zmena je v tom, že bezpečnosť produktu prestáva byť iba otázkou prístupu výrobcu a stáva sa súčasťou posudzovania zhody, dokumentácie a povinností počas životného cyklu produktu.

Je dôležité presne pomenovať aj adresátov. Primárne povinnosti CRA dopadajú na výrobcov, importérov a distribútorov. Pre organizácie, ktoré produkty nakupujú a prevádzkujú, prichádza dopad nepriamo cez výber produktu, podporu, zmluvné podmienky a správanie dodávateľa pri incidente.

Z pohľadu organizácie sa môže zdať, že ide najmä o tému dodávateľov. Praktický dopad však príde cez to, čo bude možné rozumne obhájiť pri audite, pri incidente a pri zmluvnom spore. Rok 2026 je dôležitý najmä preto, že sa začne skladať ekosystém okolo posudzovania zhody a pripravovať reporting mechanizmy.

Reporting od 11. septembra 2026: čo sa reálne mení

Najviditeľnejší praktický dopad CRA v roku 2026 je reporting. Nejde o ďalšiu formálnu povinnosť. Ide o to, že sa skracuje čas medzi tým, keď dodávateľ zistí vážny problém, a tým, keď sa o ňom dozvie trh a zákazníci.

To tlačí dodávateľov do stavu, kde musia mať zvládnuté najmä tieto oblasti:

• evidenciu komponentov
• triáž zraniteľností
• jasnú a predvídateľnú komunikáciu zraniteľností a incidentov

Pre veľké organizácie to znamená jednoduchú vec. Dodávateľ, ktorý nemá jasný proces komunikácie zraniteľností a incidentov, bude pri nákupe pôsobiť rizikovejšie. Nie preto, že má automaticky horší produkt, ale preto, že v čase incidentu nebude schopný konať predvídateľne.

Sankcie: prečo sa bezpečnosť produktu posúva do roviny reputácie a peňazí

CRA zavádza aj sankčný rámec, ktorý zvyšuje tlak na výrobcov a dodávateľov. Pri porušení základných požiadaviek môžu byť pokuty vysoké, čo posúva bezpečnosť produktu aj do roviny právneho a finančného rizika.

Praktický efekt je jasný. Bezpečnosť produktu už nie je len technická téma v pozadí. Stáva sa súčasťou reputácie dodávateľa, zmluvného rizika a finančného dopadu. To sa priamo premietne do toho, ako budú dodávatelia nastavovať podporu, transparentnosť a reakčné procesy.

SBOM: nie papier pre audit, ale spôsob, ako skrátiť čas expozície

V praxi sa bude čoraz viac hovoriť o SBOM, teda Software Bill of Materials. Pointa je jednoduchá. Keď sa objaví kritická zraniteľnosť v bežnej knižnici alebo komponente, najdrahšie často nie je samotné nasadenie opravy. Najdrahšie je zistiť, kde všade daný komponent máte a čo presne ovplyvňuje.

Organizácie často strácajú čas tým, že čakajú na stanovisko dodávateľa alebo robia ručné pátranie v prostredí. Strojovo čitateľný SBOM skracuje čas od zistenia zraniteľnosti po rozhodnutie, či sa problém týka konkrétneho systému. To sa dá priamo prepojiť na metriky typu čas expozície alebo čas do mitigácie.

Pre rok 2026 platí praktická logika. Reporting povinnosti bez dobrej evidencie komponentov budú pre mnohých dodávateľov ťažko zvládnuteľné. Preto dáva zmysel správať sa už dnes tak, akoby SBOM bol štandard pri kritických produktoch. Nie ako formalita, ale ako súčasť práva na informácie a schopnosti rýchlo reagovať.

Zároveň je vhodné držať presnú interpretáciu. SBOM netreba chápať ako automatickú univerzálnu povinnosť v každej situácii. V praxi však bude čoraz dôležitejším dôkazom pripravenosti dodávateľa a pri kritických produktoch dáva zmysel ho zmluvne vyžadovať.

Životný cyklus a podpora: koniec pohodlného „necháme to tak“

Ďalšia oblasť, ktorú CRA tlačí dopredu, je životný cyklus produktu. Výrobca má zabezpečiť, aby produkt bol udržiavaný a aktualizovateľný počas obdobia, ktoré zodpovedá jeho predpokladanej životnosti.

Pre organizácie to znamená, že nákup riešenia bez jasnej podpory prestáva byť otázkou komfortu. Stáva sa to strategické riziko, ktoré sa môže vrátiť v podobe:

• zraniteľných uzlov, ktoré nie je možné opravovať
• nákladov na výmenu v nevhodnom čase
• problémov pri audite alebo incidente, keď sa bude riešiť, prečo bola prevádzkovaná neudržiavaná technológia

PQC v roku 2026: nie futurizmus, ale riadenie životnosti dát a dôvery

PQC je druhá línia, ktorá je v roku 2026 prakticky relevantná. Nie preto, že by kvantové počítače zajtra zlomili internet. Dôvod je jednoduchší a racionálny. Existuje útočná stratégia, ktorá funguje už dnes. Útočník môže zbierať šifrované dáta teraz a pokúsiť sa ich dešifrovať neskôr, keď bude mať vhodnú technológiu alebo výpočtovú kapacitu.

Ak pracujete s dátami, ktoré majú hodnotu o 5, 10 alebo 15 rokov, problém je aktuálny už dnes. Týka sa to najmä oblastí ako:

• zmluvná a právna dokumentácia
• osobné a zdravotné údaje
• technická dokumentácia a priemyselné know-how
• podpisované artefakty, firmware a dlhodobo dôveryhodné aktualizácie

Dôležitý posun je, že PQC už nie je len výskumná téma. NIST vydal finálne štandardy pre prvú vlnu postkvantových algoritmov v auguste 2024, vrátane FIPS 203, 204 a 205.

Čo sa tým mení v infraštruktúre

Podstatné nie je memorovať názvy algoritmov. Podstatné je, že sa to dotkne vrstiev, na ktorých stojí dôvera v systémoch:

• TLS terminácia
• VPN
• PKI a certifikáty
• podpisovanie kódu a firmvéru

A teda aj nákupných rozhodnutí pri produktoch, ktoré budú v infraštruktúre 7 až 12 rokov.

Crypto agility: praktický most medzi PQC a realitou

Ak sa má PQC riešiť bez chaosu, treba prestať pozerať na kryptografiu ako na knižnicu a začať sa na ňu pozerať ako na systém. Prechod bude postupný a často hybridný, teda kombinácia klasických mechanizmov s postkvantovými.

Aby to organizácia zvládla, potrebuje crypto agility, čiže schopnosť:

• zmapovať, kde sa používa kryptografia naprieč systémami
• meniť algoritmy, kľúče a certifikáty bez výpadkov
• robiť to procesne, nie improvizáciou

Dá sa to uchopiť ako program s jasnými výstupmi:

• inventarizácia certifikátov
• mapovanie TLS terminácií
• štandardizácia rotácií
• centralizácia správy kľúčov
• pravidlá pre nové projekty

PQC potom nie je špeciálny projekt. Je to dôsledok toho, že organizácia má zvládnutú základnú hygienu okolo kryptografie.

Čo spraviť dnes: tri kroky pre rok 2026

1. Nastaviť nákup a zmluvy tak, aby sedeli na CRA realitu

Ako prvé je potrebné, aby dodávateľ vedel jasne povedať:

• ako bude plniť CRA povinnosti v roli výrobcu, importéra alebo distribútora
• ako bude komunikovať zraniteľnosti a incidenty
• aké má záväzky na podporu a aktualizácie počas životného cyklu produktu

Reporting od 11. septembra 2026 je pevný míľnik, od ktorého sa bude očakávať procesná pripravenosť.

2. Spraviť zo SBOM štandardnú požiadavku pri kritických produktoch

Nie ako tvrdú podmienku pre všetko, ale minimálne pre oblasti s vysokým dopadom:

• identita a PKI
• VPN a sieťové bezpečnostné prvky
• runtime vrstvy a platformy s výrazným profilom dodávateľského reťazca

Pointa nie je dokument ako taký. Pointa je schopnosť reagovať rýchlejšie a rozhodovať sa na základe dát.

3. Spustiť program crypto agility ako prípravu na PQC

Cieľ nie je povedať „kupujeme PQC“. Cieľ je vedieť povedať:

• vieme, kde a ako používame kryptografiu
• vieme rotovať certifikáty bez výpadkov
• vieme plánovať zmeny a testovať ich dopad

NIST štandardy sú finálne a trh bude postupne vyžadovať kompatibilitu. Produkty s dlhou životnosťou budú čoraz viac hodnotené aj podľa toho, či umožňujú bezpečné aktualizácie kryptografie. Preto je rozumné očakávať, že ich podpora sa bude objavovať v produktoch a postupne aj v európskych normách, zmluvách a požiadavkách zákazníkov.

Záver

CRA a PQC spolu vytvárajú nový typ zodpovednosti. CRA posúva bezpečnosť produktu do rámca pravidiel, sankcií a povinných procesov. V roku 2026 sa to prejaví najmä cez skoršie ustanovenia a reporting od 11. septembra 2026.

PQC zároveň pripomína, že ochrana dát nie je len otázka dneška. Je to aj otázka životnosti identity, certifikátov a dôvery v infraštruktúre.

Ak má byť prístup v roku 2026 pragmatický, cieľ nie je písať ďalší teoretický dokument. Cieľ sú tri konkrétne kroky, ktoré znižujú riziko aj náklady. Zmluvne si vynútiť predvídateľné správanie dodávateľa, skrátiť čas expozície cez transparentnosť komponentov a pripraviť kryptografiu na zmeny tak, aby sa dali robiť bez výpadkov a bez paniky.