Od dětských monitorů až po chytré hodinky, produkty a software, které obsahují digitální součást, jsou v našem každodenním životě všudypřítomné. Pro mnoho uživatelů je méně zřejmé bezpečnostní riziko, které takové produkty a software mohou představovat.
Cílem zákona okybernetické odolnosti (CRA) je chránit spotřebitele a podniky, kteří kupují nebo používají produkty nebo software s digitální složkou. V zákoně by se nedostatečné bezpečnostní prvky staly minulostí zavedením povinných požadavků na kybernetickou bezpečnost pro výrobce a maloobchodníky těchto produktů, přičemž tato ochrana by se rozšířila po celý životní cyklus produktu.
Problém, který nařízení řeší, je dvojí.
Zaprvé je nedostatečná úroveň kybernetické bezpečnosti, která je vlastní mnoha produktům, nebo nedostatečná aktualizace zabezpečení těchto produktů a softwaru.
Zadruhé je neschopnost spotřebitelů a podniků v současné době určit, které produkty jsou kyberneticky bezpečné, nebo je nastavit způsobem, který zajistí ochranu jejich kybernetické bezpečnosti.
Zákon o kybernetické odolnosti zaručí:
- harmonizovaná pravidla při uvádění výrobků nebo softwaru s digitální složkou na trh;
- rámec požadavků na kybernetickou bezpečnost, jimiž se řídí plánování, navrhování, vývoj a údržba těchto produktů, přičemž povinnosti musí být splněny ve všech fázích hodnotového řetězce;
- povinnost pečovat o celý životní cyklus těchto výrobků.
Po vstupu nařízení v platnost by software a výrobky připojené k internetu byly opatřeny označením CE, které by uvádělo, že jsou v souladu s novými normami. Požadavek, aby výrobci a maloobchodníci upřednostňovali kybernetickou bezpečnost, by byli zákazníci a podniky oprávněni činit informovanější rozhodnutí a byli by přesvědčeni o pověření produktů s označením CE v oblasti kybernetické bezpečnosti.
Nařízení bylo oznámeno ve strategii EU pro kybernetickou bezpečnost z roku 2020 a doplňuje další právní předpisy v této oblasti, zejména rámec pro bezpečnost sítí a informací 2.
Použije se na všechny produkty přímo či nepřímo připojené k jinému zařízení nebo síti, s výjimkou specifikovaných výjimek, jako je software nebo služby s otevřeným zdrojovým kódem, na které se již vztahují stávající pravidla, což je případ zdravotnických prostředků, letectví a automobilů.
Očekává se, že nařízení vstoupí v platnost počátkem roku 2024. Výrobci budou muset pravidla uplatňovat 36 měsíců po jejich vstupu v platnost. Komise pak zákon pravidelně přezkoumává a podává zprávu o jeho fungování.
Související obsah
Souvislosti
Evropská unie pracuje na různých frontách s cílem podporovat kybernetickou odolnost, chránit naši komunikaci a údaje a udržovat online společnost a hospodářství v bezpečí.
Viz také
Akt EU o kybernetické solidaritě zlepší připravenost, odhalování a reakci na kybernetické incidenty v celé EU.
Provozovatelé základních služeb (OES), vnitrostátních certifikačních orgánů pro kybernetickou bezpečnost (NCCA) a příslušných vnitrostátních orgánů pro kybernetickou bezpečnost jsou mezi vybranými žadateli, kteří obdrží finanční prostředky ve výši 11 milionů EUR z výzvy Nástroje...
Evropská síť pro kybernetickou bezpečnost a centrum kompetencí pro kybernetickou bezpečnost pomáhají EU zachovat a rozvíjet technologické a průmyslové kapacity v oblasti kybernetické bezpečnosti.
Skupina zúčastněných stran pro certifikaci kybernetické bezpečnosti byla zřízena za účelem poskytování poradenství ve strategických otázkách týkajících se certifikace kybernetické bezpečnosti.
Akt o kybernetické bezpečnosti posiluje Agenturu EU pro kybernetickou bezpečnost (ENISA) a zavádí rámec pro certifikaci kybernetické bezpečnosti pro produkty a služby.
Rámec EU pro certifikaci kybernetické bezpečnosti pro produkty IKT umožňuje vytvořit na míru uzpůsobené systémy certifikace EU založené na rizicích.
Směrnice o bezpečnosti sítí a informací je celounijní legislativou v oblasti kybernetické bezpečnosti. Poskytuje právní opatření ke zvýšení celkové úrovně kybernetické bezpečnosti v EU.