Co je Cyber Resilience Act?

Komise předložila 15. 9. návrh nového Aktu o kybernetické odolnosti, který má spotřebitele a podniky chránit před výrobky s nedostatečnými bezpečnostními prvky. Tento akt jako vůbec první unijní právní předpis svého druhu zavádí povinné požadavky na kybernetickou bezpečnost výrobků s digitálními prvky během celého jejich životního cyklu.

 

Navržená opatření vycházejí z nového legislativního rámce pro právní předpisy EU o výrobcích a stanoví:

a)    pravidla pro uvádění výrobků s digitálními prvky na trh, která mají zajistit jejich kybernetickou bezpečnost;

b)    základní požadavky na návrh, vývoj a výrobu výrobků s digitálními prvky a povinnosti hospodářských subjektů ve vztahu k těmto výrobkům;

c)     základní požadavky na procesy řešení zranitelností zavedené výrobci s cílem zajistit kybernetickou bezpečnost výrobků s digitálními prvky během celého jejich životního cyklu a povinnosti hospodářských subjektů ve vztahu k těmto procesům. Výrobci budou rovněž muset aktivně hlásit případy zneužití zranitelností a incidenty;

d)    pravidla dozoru nad trhem a jejich vymáhání.

 

Nová pravidla přesunou odpovědnost na výrobce, kteří budou muset zajistit soulad výrobků s digitálními prvky, jež jsou dodávány na trh EU, s bezpečnostními požadavky. Budou tak přínosem pro spotřebitele a občany, ale i pro podniky používající digitální výrobky, neboť nejenže zvýší transparentnost bezpečnostních charakteristik výrobků a podpoří důvěru ve výrobky s digitálními prvky, ale také zaručí lepší ochranu jejich základních práv, jako je právo na soukromí a ochranu údajů.

 

Jelikož jurisdikce jinde ve světě se těmito otázkami teprve začínají zabývat, akt o kybernetické odolnosti se pravděpodobně stane mezinárodně uznávaným referenčním bodem nad rámec vnitřního trhu EU. Evropské normy vycházející z aktu o kybernetické odolnosti, které usnadní jeho provádění, budou pro odvětví kybernetické bezpečnosti EU výhodou na světových trzích.

 

Navrhované nařízení se bude vztahovat na všechny výrobky, které jsou přímo nebo nepřímo připojeny k jinému zařízení nebo síti. Pro výrobky, u nichž jsou požadavky na kybernetickou bezpečnost stanoveny již ve stávajících předpisech EU, například zdravotnické prostředky, výrobky pro letecký průmysl nebo automobily, budou platit určité výjimky.

 

Jaký je vliv na provozovatele sítí:

Nařízení stanovuje povinnosti pro výrobce, importéry a distributory, kteří musí zajistit, že jejich výrobky nebo služby (hardware, software, firmware, embedded software atd.) bude v souladu s kyberbezpečnostními požadavky - produkty budou muset být secure by default, zajišťovat možnost přístupu pouze autorizovaným subjektům, zajišťovat nějakou úroveň ochrany dat, pokud je ukládají, zajišťovat pravidelné updaty a bezpečnostní záplaty atd. To způsobí zvýšené náklady na straně výrobců a distributorů, takže jakékoli “produkty s digitálními prvky” budou dražší.

 

Zároveň nařízení zahrnuje kategorii “kritické produkty s digitálními prvky”. Ty budou muset získat extra potvrzení, certifikát podle evropského kybercertifikačního schématu či podobný dokument. Tyto prvky jsou mimo jiné:

 

●      Identity management systems software and privileged access management software;

●      Software that searches for, removes, or quarantines malicious software;

●      Products with digital elements with the function of virtual private network (VPN);

●      Network management systems;

●      Network configuration management tools;

●      Network traffic monitoring systems;

●      Management of network resources;

●      Security information and event management (SIEM) systems;

●      Update/patch management, including boot managers;

●      Application configuration management systems;

●      Remote access/sharing software;

●      Physical network interfaces;

●      Firewalls, intrusion detection and/or prevention systems not covered by class II;

●      Routers, modems intended for the connection to the internet, and switches, not covered by class II;

 

Class II produktů je (mimo jiné):

●      Hypervisors and container runtime systems that support virtualised execution of operating systems and similar environments;

●      Public key infrastructure and digital certificate issuers;

●      Firewalls, intrusion detection and/or prevention systems intended for industrial use;

●      Routers, modems intended for the connection to the internet, and switches, intended for industrial use;

●      Secure elements;

●      Hardware Security Modules (HSMs);

●      Smart meters.

 

 

Produkty spadající do Class II budou muset projít nezávislým posouzením nějakou třetí stranou. Zároveň nasazení síťových prvků do infrastruktury u podniků spadajících do kategorie důležité (essential) podle nové směrnice NIS 2 bude pravděpodobně také možné pouze v případě, že takové prvky projdou nějakou analýzou ze třetí strany. Specifikace a konkrétní požadavky budou ale předmětem delegovaných aktů komise (doporučení, rozhodnutí komise atd.)

 

Pokud můžeme odhadovat dopady, pak budou určitě na “šedý dovoz”, kdy bude komplikovanější dostat do EU zařízení s digitálními prvky (tedy síťová zařízení), u kterých výrobce nebude schopen dodat dokumentaci dle nařízení, nebo mu to bude jedno, protože jde o zařízení určená pro jiný trh než EU. Nařízení neklade na operátory konkrétní požadavky, dá se ale předpokládat, že v rámci analýzy rizik, kontrol NÚKIB a dalších regulatorních požadavků bude kontrolováno i to, zda operátor používá v konkrétních částech sítě pouze zařízení, která mají nějaký certifikát či jsou zajištěna z hlediska kybernetické bezpečnosti dle požadavků tohoto nařízení. Operátoři budou podle NIS 2 základní či důležité (od velikosti “středních firem” výš) podniky, takže kontrola vyplývající z NIS 2 bude relativně přísná.

 

Více informací

Tisková zpráva: https://czechia.representation.ec.europa.eu/projev-o-stavu-unie-nova-pravidla-eu-o-kyberneticke-bezpecnosti-pro-bezpecnejsi-hardwarove-2022-09-15_cs

 

Akt a Annexy (anglicky):

https://digital-strategy.ec.europa.eu/en/policies/cyber-resilience-act