Na konci roku 2024 vstoupilo v platnost nařízení o horizontálních požadavcích na kybernetickou bezpečnost produktů s digitálními prvky (nebo také Akt o kybernetické odolnosti).
V našem každodenním životě přijdeme do styku s řadou produktů s digitálními prvky, ať už jde o chytré hodinky nebo třeba dětský monitor. Tyto produkty ale mohou představovat bezpečnostní riziko. Pro uživatele je zároveň mnohdy výzvou určit, které produkty jsou kyberneticky bezpečné. Za účelem usnadnění tohoto procesu a zajištění větší bezpečnosti produktů byl přijat Akt o kybernetické odolnosti.
Cíle právní úpravy
Nařízení upravuje kybernetickou bezpečnost produktů s digitálními prvky. Cílem je zajistit, aby produkty byly kyberneticky bezpečné po celou dobu svého životního cyklu. V souvislosti s tím má dojít ke zvýšení transparentnosti ohledně bezpečnosti hardwaru a softwaru a k minimalizaci rizik spojených s užíváním produktů.
Produkt s digitálními prvky
Produktem s digitálními prvky je dle nařízení softwarový nebo hardwarový produkt a jeho řešení pro zpracování dat na dálku, včetně softwarových nebo hardwarových komponent, které jsou uváděny na trh samostatně. Nařízení se vztahuje na všechny výrobky, které jsou přímo nebo nepřímo připojeny k jinému zařízení nebo síti. Může se jednat o průmyslové řídicí systémy, chytré hodinky, dětský monitor, chytré spotřebiče (internet of things), videohry, laptop či mobilní telefon nebo třeba čipové karty. Produkty uvedené na evropský trh budou muset splňovat kyberbezpečnostní požadavky stanovené nařízením, a to ve všech fázích svého životního cyklu.
Nařízení se netýká produktů, na které se vztahují pravidla jiného předpisu (např. zdravotnické prostředky či automobily).
Důležité a kritické produkty
Nařízení rozlišuje dvě speciální kategorie – důležité produkty s digitálními prvky a kritické produkty s digitálními prvky. Na ně pak klade přísnější požadavky při procesu posuzování shody. Mezi důležité produkty s digitálními prvky nařízení řadí například správce hesel, operační systémy, obecné virtuální asistenty pro chytré domácnosti ad. Kritickými produkty jsou dle nařízení např. hardwarová zařízení s bezpečnostními schránkami nebo třeba čipové karty či obdobná zařízení.
Povinnosti výrobců
Nařízení stanoví povinnosti zejména pro výrobce produktů s digitálními prvky. Mezi tyto povinnosti bude patřit např.:
- zohlednit kybernetickou bezpečnost při plánování, navrhování, vývoji, výrobě, dodávce i údržbě produktu
- zdokumentovat všechna rizika kybernetické bezpečnosti produktu
- provést posouzení shody
- při začleňování součástí od třetích stran postupovat s náležitou péčí a zajistit, aby tyto součásti neohrožovaly bezpečnost produktu
- informovat uživatele – připojit jasné a srozumitelné informace a pokyny k produktu, informovat o incidentech, souvisejících nápravných opatřeních nebo o ukončení činnosti
- zajistit automatickou instalaci bezpečnostních aktualizací během tzv. doby podpory (ta odpovídá očekávané délce používání produktu)
- hlásit aktivně využívané zranitelnosti a incidenty týkající se produktu
- a další
Akt o kybernetické odolnosti se stane plně použitelným ke konci roku 2027.
V případě, že budete mít v této souvislosti zájem o více informací, neváhejte se na nás obrátit.
Tento článek je pouze informativní a nepředstavuje právní radu ani návod pro konkrétní případ.
