Níže uvedené znění shrnuje hlavní ustanovení nařízení (EU) 2024/2847 s cílem podpořit přístupným způsobem obecné chápání nařízení.
Toto shrnutí vypracovaly útvary Komise a nemá systematicky pokrývat celou oblast působnosti nařízení. Toto shrnutí nereprezentuje oficiální postoj Evropské komise. Fyzické nebo právnické osoby, na které se může vztahovat akt o kybernetické odolnosti, by měly odkazovat na znění nařízení zveřejněné v Úředním věstníku Evropské unie.
Co je akt o kybernetické odolnosti?
Nařízení (EU) 2024/2847, známé jako akt o kybernetické odolnosti, je horizontálním regulačním rámcem Evropské unie (EU), který se vztahuje na hardwarové a softwarové produkty („produkty s digitálními prvky“), které jsou dodávány na trh Unie. Tyto výrobky zahrnují jak konečné výrobky, tak součásti uváděné na trh samostatně.
Jeho cílem je stanovit podmínky pro vývoj bezpečného hardwaru a softwaru v Unii s cílem posílit přístup EU ke kybernetické bezpečnosti a zlepšit fungování vnitřního trhu. Umožňuje rovněž uživatelům zohlednit kybernetickou bezpečnost při nákupu a používání těchto produktů tím, že zajišťuje, aby jim byly k dispozici odpovídající informace.
Ratingová agentura vstoupila v platnost dne 10. prosince 2024. Bude plně použitelné od 11. prosince 2027, přičemž některá ustanovení začnou platit dříve: Kapitola IV o oznamování subjektů posuzování shody se použije ode dne 11. června 2026, zatímco oznamovací povinnosti stanovené v článku 14 se použijí ode dne 11. září 2026.
Tato internetová stránka shrnuje hlavní ustanovení ratingové agentury s cílem podpořit obecné čtení textu. Další podrobnosti o těchto pojmech lze nalézt také v častých otázkách publikovaných v kontextu tohoto shrnutí.
Slovníček pojmů
Softwarový nebo hardwarový produkt a jeho řešení pro zpracování dat na dálku, včetně softwarových nebo hardwarových součástí uváděných na trh samostatně.
Zpracování dat na dálku, pro které je software navržen a vyvinut výrobcem, nebo na odpovědnost výrobce, a pokud by tomu tak nebylo, bránilo by to produktu s digitálními prvky ve výkonu jedné z jeho funkcí.
Výrobce, zplnomocněný zástupce, dovozce, distributor nebo jiná fyzická nebo právnická osoba, na kterou se vztahují povinnosti týkající se výroby produktů s digitálními prvky nebo dodávání produktů s digitálními prvky na trh v souladu s tímto nařízením.
Fyzická nebo právnická osoba, která vyvíjí nebo vyrábí produkty s digitálními prvky nebo nechá produkty s digitálními prvky navrhnout, vyvinout nebo vyrobit a uvádí je na trh pod svým jménem nebo ochrannou známkou, ať už za úplatu, zpeněžení nebo bezplatně.
Právnická osoba jiná než výrobce, jejímž účelem nebo cílem je systematicky a trvale poskytovat podporu pro vývoj konkrétních produktů s digitálními prvky, které jsou považovány za bezplatný software s otevřeným zdrojovým kódem a jsou určeny pro obchodní činnosti, a která zajišťuje životaschopnost těchto produktů.
Fyzická nebo právnická osoba usazená v Unii, která byla písemně pověřena výrobcem, aby jednala jeho jménem při plnění konkrétních úkolů.
Fyzická nebo právnická osoba usazená v Unii, která uvádí na trh produkt s digitálními prvky nesoucí název nebo ochrannou známku fyzické nebo právnické osoby usazené mimo Unii.
Fyzická nebo právnická osoba v dodavatelském řetězci, jiná než výrobce nebo dovozce, která dodává produkt s digitálními prvky na trh Unie, aniž jsou dotčeny jeho vlastnosti.
První dodání produktu s digitálními prvky na trh Unie.
Dodání produktu s digitálními prvky k distribuci nebo použití na trhu Unie v rámci obchodní činnosti, ať už za úplatu, nebo bezplatně.
Postup ověřování, zda byly splněny základní požadavky na kybernetickou bezpečnost stanovené v příloze I.
Subjekt posuzování shody jmenovaný v souladu s článkem 43 a dalšími příslušnými harmonizačními právními předpisy Unie.
Norma přijatá evropskou normalizační organizací na základě žádosti Komise o uplatňování harmonizačních právních předpisů Unie.
Kapitola I
Kapitola I stanoví oblast působnosti nařízení, definuje klíčové pojmy a koncepty a vysvětluje souhru mezi ratingovou agenturou a dalšími právními předpisy Unie.
Ratingová agentura stanoví pravidla, která musí hospodářské subjekty dodržovat, pokud chtějí dodávat na trh Unie produkty s digitálními prvky. Stanoví zejména základní požadavky na kybernetickou bezpečnost, které musí výrobci splňovat při navrhování, vývoji a výrobě svých produktů s digitálními prvky, jakož i během doby, kdy se očekává, že se tyto produkty budou používat. Produkty s digitálními prvky spadají do oblasti působnosti ratingové agentury, pokud jsou dodávány na trh a jejich určený účel nebo důvodně předvídatelné použití zahrnuje přímé nebo nepřímé logické nebo fyzické datové připojení k zařízení nebo síti.
Na produkty s digitálními prvky, které nejsou dodávány na trh, tj. nejsou dodávány v rámci obchodní činnosti, se ratingová agentura nevztahuje. bod odůvodnění dále objasňuje, kdy je na trh dodáván bezplatný software s otevřeným zdrojovým kódem.
Kromě toho jsou z oblasti působnosti ratingové agentury vyloučeny některé produkty s digitálními prvky, zejména pokud se na ně vztahují jiné právní předpisy Unie.
Kapitola II
Povinnosti výrobce
Hlavní povinnosti ratingové agentury jsou zaměřeny na výrobce, tj. fyzické nebo právnické osoby, které uvádějí produkt s digitálními prvky na trh pod svým jménem nebo ochrannou známkou. Tyto povinnosti jsou stanoveny v článku 13, který je doplněn různými přílohami (a zejména přílohou I o základních požadavcích na kybernetickou bezpečnost).
Při navrhování, vývoji a výrobě produktu s digitálními prvky musí výrobce zajistit, aby splňoval základní požadavky na kybernetickou bezpečnost. Za tímto účelem je výrobce povinen provést posouzení kybernetických bezpečnostních rizik, které informuje o provádění základních požadavků a které je třeba zohlednit ve fázi plánování, návrhu, vývoje, výroby, dodávky a údržby produktu.
Pokud výrobce integruje komponenty třetích stran, musí postupovat s náležitou péčí, aby tyto komponenty neohrožovaly kybernetickou bezpečnost jeho produktu s digitálními prvky.
Posouzení kybernetických bezpečnostních rizik, jakož i prostředky, které se výrobce rozhodne provést, pokud jde o základní požadavky (např. normy nebo jiná technická opatření), musí být zahrnuty do technické dokumentace. Výrobce je povinen uchovávat dokumentaci pro potřeby orgánů dozoru nad trhem, neboť si ji mohou vyžádat v rámci svých činností v oblasti prosazování práva.
Před uvedením produktu s digitálními prvky na trh musí výrobce provést zvolený postup posuzování shody (další podrobnosti o posuzování shody viz kapitola III) a v případě úspěchu vypracovat EU prohlášení o shodě a umístit na svůj produkt označení CE.
Spolu s produktem s digitálními prvky by měly být rovněž poskytnuty tyto informace:
- typ, číslo šarže nebo sériové číslo nebo jiný prvek umožňující jeho identifikaci;
- jeho název, zapsaný obchodní název nebo zapsaná ochranná známka;
- poštovní adresu, e-mailovou adresu nebo jiné digitální kontaktní údaje;
- případně internetové stránky, na nichž lze výrobce kontaktovat;
- informace a pokyny pro uživatele stanovené v příloze II, včetně data ukončení období podpory.
Výrobce musí pro svůj produkt s digitálními prvky stanovit období podpory, během něhož zajistí účinné řešení zranitelností tohoto produktu v souladu s požadavky na řešení zranitelností (viz příloha I). Datum ukončení období podpory (včetně měsíce a roku) musí být jasně a srozumitelně uvedeno v době nákupu.
Oznamovací povinnosti
Po uvedení výrobku na trh je výrobce povinen oznamovat aktivně zneužívané zranitelnosti a závažné incidenty, které mají dopad na bezpečnost výrobku, o nichž se dozví.
Výrobce musí předložit oznámení skupině pro reakci na počítačové bezpečnostní incidenty (CSIRT) členského státu, v němž má hlavní provozovnu, a agentuře ENISA v těchto lhůtách:
- 24 hodin pro oznámení včasného varování;
- 72 hodin pro „hlavní“ oznámení;
- závěrečnou zprávu nejpozději do 14 dnů poté, co je k dispozici nápravné nebo zmírňující opatření pro aktivně zneužívaná zranitelná místa;
- závěrečnou zprávu o závažných incidentech do jednoho měsíce od 72. předložení zprávy.
Výrobce předkládá oznámení prostřednictvím jednotné platformy pro oznamování ratingových agentur, kterou zřídila a spravuje Agentura Evropské unie pro kybernetickou bezpečnost (ENISA). Tým CSIRT, který oznámení původně obdržel, bude oznámení dále šířit mezi týmy CSIRT jiných členských států, na jejichž území byl produkt s digitálními prvky zpřístupněn.
Povinnosti podávat zprávy se vztahují na všechny produkty s digitálními prvky, které byly dodány na trh Unie, včetně produktů, které již byly uvedeny na trh před 11. prosincem 2027.
Každá fyzická nebo právnická osoba může rovněž dobrovolně oznamovat zranitelná místa, kybernetické hrozby, incidenty a případy, kdy téměř došlo k incidentu, prostřednictvím jednotné platformy pro oznamování ratingových agentur.
Zplnomocněný zástupce
Výrobce může písemným pověřením jmenovat zplnomocněného zástupce k plnění některých úkolů výrobce. Ty mohou zahrnovat například úkoly související se spoluprací s orgány dozoru nad trhem.
Dovozce
Dovozcem je fyzická nebo právnická osoba usazená v Unii, která uvádí na trh produkt s digitálními prvky vyrobený mimo Unii. Dovozce musí zajistit, aby byl produkt v souladu s ratingovou agenturou, mimo jiné tím, že zajistí, aby výrobce splnil základní požadavky na kybernetickou bezpečnost související s produktem a zavedl postupy pro splnění povinností týkajících se řešení zranitelností; zda byly provedeny příslušné postupy posuzování shody; byla vypracována technická dokumentace; a že výrobek nese označení CE.
Dovozce má rovněž zvláštní povinnosti, pokud se domnívá nebo má důvod se domnívat, že produkt s digitálními prvky není v souladu s ratingovou agenturou, jakož i poté, co se dozví o zranitelnosti (např. neuvede tento produkt na trh, dokud nebude opět uveden do souladu; informování výrobce o těchto zranitelnostech). Je rovněž povinen spolupracovat s orgány dozoru nad trhem s cílem odstranit kybernetická bezpečnostní rizika představovaná produktem s digitálními prvky, který uvedl na trh.
Distributor
Distributor je fyzická nebo právnická osoba v dodavatelském řetězci, jiná než výrobce nebo dovozce, která dodává produkt s digitálními prvky na trh, aniž by byly dotčeny jeho vlastnosti. Distributor musí ověřit, zda jsou produkty s digitálními prvky opatřeny označením CE a zda výrobci a dovozci splnili určité povinnosti, včetně uvedení svých kontaktních údajů na výrobku, připojení informací a pokynů pro uživatele a uvedení období podpory.
Distributor má rovněž zvláštní povinnosti, pokud se domnívá nebo má důvod se domnívat, že produkt s digitálními prvky není v souladu s ratingovou agenturou, jakož i poté, co se dozví o zranitelnosti (např. nezpřístupní produkt, dokud nebude opět uveden do souladu; informování výrobce o těchto zranitelnostech). Je rovněž povinna spolupracovat s orgány dozoru nad trhem s cílem odstranit kybernetická bezpečnostní rizika představovaná produktem s digitálními prvky, který dodala na trh.
Správci softwaru s otevřeným zdrojovým kódem
Vzhledem k významu mnoha produktů s digitálními prvky, které jsou považovány za svobodný software s otevřeným zdrojovým kódem a které jsou zveřejňovány, ale nejsou dodávány na trh ve smyslu ratingové agentury, pro kybernetickou bezpečnost zavádí článek 24 povinnosti pro správce softwaru s otevřeným zdrojovým kódem. Jedná se o právnické osoby, které systematicky a trvale poskytují podporu pro vývoj konkrétního bezplatného softwaru s otevřeným zdrojovým kódem určeného pro obchodní činnosti a které zajišťují životaschopnost těchto softwarových produktů.
správci softwaru s otevřeným zdrojovým kódem musí mít politiku kybernetické bezpečnosti na podporu vývoje bezpečného produktu a účinného řešení zranitelností; spolupracovat s orgány dozoru nad trhem a přijímat vhodná nápravná opatření; hlásit aktivně zneužívaná zranitelná místa v rozsahu, v jakém se podílejí na vývoji produktů s digitálními prvky, a závažné incidenty v rozsahu, v jakém ovlivňují sítě a informační systémy poskytované správci softwaru s otevřeným zdrojovým kódem pro vývoj těchto produktů.
Správci softwaru s otevřeným zdrojovým kódem nepodléhají sankcím za porušení ratingové agentury.
Kapitola III
Kapitola III obsahuje další ustanovení o tom, jak mohou produkty s digitálními prvky využívat právní předpoklad shody, jsou-li použity harmonizované evropské normy; jak vypadá EU prohlášení o shodě (a jeho zjednodušená verze); jak připojit označení CE; obsah technické dokumentace, která má být vypracována; a o použitelných postupech posuzování shody.
Jak bylo uvedeno výše, výrobce musí před tím, než může podepsat EU prohlášení o shodě, připojit označení CE a uvést výrobek na trh, provést postup posuzování shody, aby ověřil, zda jeho výrobek splňuje základní požadavky.
Výrobce si obecně může vybrat mezi postupem sebehodnocení (tzv. postupem vnitřní kontroly založeným na modulu A), postupem posuzování shody třetí stranou prostřednictvím oznámeného subjektu nebo, je-li k dispozici a připadá-li to v úvahu, evropským systémem certifikace kybernetické bezpečnosti. Tyto systémy lze použít k prokázání shody s ratingovou agenturou pouze tehdy, pokud tuto možnost stanovila Evropská komise. Má-li však produkt s digitálními prvky hlavní funkci důležité nebo kritické kategorie produktů, nemusí být výrobci povoleno použít postup sebehodnocení. Kategorie produktů důležitých a kritických produktů s digitálními prvky jsou uvedeny v přílohách III a IV a jejich technické popisy jsou zahrnuty do samostatného právního aktu přijatého v souladu s ratingovou agenturou.
Pokud je produkt důležitým produktem s digitálními prvky třídy I, může výrobce použít postup sebehodnocení pouze tehdy, pokud použil harmonizované normy, společné specifikace (jsou-li k dispozici) nebo evropský systém certifikace kybernetické bezpečnosti (jsou-li k dispozici a jsou-li použitelné); v opačném případě se musí podrobit posouzení třetí stranou prostřednictvím oznámeného subjektu.
Výrobci důležitých produktů třídy II a kritických produktů jsou povinni podstoupit posouzení třetí stranou nebo, jsou-li k dispozici a jsou-li použitelné, využít evropský systém certifikace kybernetické bezpečnosti.
Výjimečně mohou výrobci důležitých produktů s digitálními prvky třídy I a II, které jsou svobodným softwarem s otevřeným zdrojovým kódem, využívat sebehodnocení za předpokladu, že zpřístupní technickou dokumentaci veřejnosti.
Kapitola IV
Subjekty posuzování shody jsou subjekty, které vykonávají činnosti posuzování shody. Aby mohl členský stát provádět postupy posuzování shody v souladu s ratingovou agenturou, musí oznámit Komisi a ostatním členským státům subjekty oprávněné provádět posuzování shody. Oznámení se zasílá prostřednictvím informačního systému oznámených a určených organizací nového přístupu.
Subjekt posuzování shody, který si přeje být oznámen, musí splňovat požadavky týkající se řady aspektů, např. být zřízen podle vnitrostátního práva a mít právní subjektivitu; být nezávislí na výrobcích, které posuzují, a nestranní; mít pracovníky s požadovanou technickou způsobilostí.
Členské státy jsou povinny do 11. června 2026 určit oznamující orgány odpovědné za zřízení a provádění nezbytných postupů pro posuzování, jmenování a oznamování subjektů posuzování shody. Členské státy si mohou zvolit akreditaci, aby posoudily způsobilost těchto subjektů. Oznamující orgány oznámí pouze subjekty posuzování shody, které splnily příslušné požadavky.
Po předložení oznámení v souladu s článkem 43 se subjekt posuzování shody považuje za oznámený subjekt. Zajistí, aby posuzování shody bylo prováděno přiměřeným způsobem a aby se zabránilo zbytečné zátěži pro hospodářské subjekty. Při výkonu svých činností náležitě zohledňují velikost podniků, zejména pokud jde o mikropodniky a malé a střední podniky, a to i ve vztahu k poplatkům.
Kapitola V
Každý členský stát je povinen určit jeden nebo více orgánů dozoru nad trhem, které jsou odpovědné za zajištění účinného prosazování ratingové agentury.
Postupy týkající se dozoru nad trhem jsou stanoveny jak v kapitole V, tak v nařízení (EU) 2019/1020 o dozoru nad trhem a souladu produktů s předpisy, které se vztahuje na produkty s digitálními prvky spadající do oblasti působnosti ratingové agentury.
Orgány dozoru nad trhem mohou s podporou Komise a případně týmů CSIRT a agentury ENISA poskytovat hospodářským subjektům, včetně výrobců, pokyny a poradenství ohledně provádění ratingové agentury.
Mohou využívat řadu postupů, a to jak na vnitrostátní, tak na evropské úrovni, k hodnocení produktů s digitálními prvky, které představují významné kybernetické bezpečnostní riziko, a k zajištění toho, aby příslušné hospodářské subjekty zavedly nápravná nebo omezující opatření. Orgány dozoru nad trhem jsou povinny průběžně informovat Komisi a ostatní členské státy o opatřeních, o jejichž přijetí žádají hospodářské subjekty. Orgány dozoru nad trhem různých členských států vzájemně spolupracují a mohou provádět společné činnosti a souběžně koordinované kontrolní akce (jako jsou kontrolní akce) u konkrétních produktů s digitálními prvky.
Zřizuje se rovněž skupina pro správní spolupráci (ADCO) složená ze zástupců různých orgánů dozoru nad trhem za účelem jednotného uplatňování ratingové agentury.
Kapitola VI
Kapitola VI svěřuje Komisi pravomoc přijímat další právní akty (akty v přenesené pravomoci a prováděcí akty) za účelem doplnění ratingové agentury nebo stanovení jednotných podmínek pro její uplatňování (např. dalším upřesněním některých pojmů). Další informace o prováděcích aktech a aktech v přenesené pravomoci
Komise již přijala dva další akty, a to:
- Nařízení Komise v přenesené pravomoci (EU) 2025/1535 ze dne 29. července 2025, kterým se doplňuje nařízení Evropského parlamentu a Rady (EU) 2024/2847, pokud jde o vyloučení z uplatňování uvedeného nařízení u některých produktů s digitálními prvky spadajících do oblasti působnosti nařízení Evropského parlamentu a Rady (EU) č. 168/2013
- prováděcí nařízení Komise (EU) 2025/2392 ze dne 28. listopadu 2025 o technickém popisu kategorií důležitých a kritických produktů s digitálními prvky podle nařízení Evropského parlamentu a Rady (EU) 2024/2847
Kapitola VII
Kapitola VII stanoví pravidla důvěrnosti, která musí dodržovat všechny strany zapojené do uplatňování ratingové agentury, jakož i sankce za porušení předpisů, jež mají být stanoveny na vnitrostátní úrovni.
Zejména výrobcům, kteří se kvalifikují jako mikropodniky nebo malé podniky, nesmí být uložena pokuta za nedodržení 24hodinové lhůty pro hlášení zranitelností a závažných incidentů; a správci softwaru s otevřeným zdrojovým kódem v případě jakéhokoli porušení ratingové agentury.
Kapitola VIII
Ratingová agentura vstoupila v platnost dne 10. prosince 2024. Jeho hlavní ustanovení se začnou používat od 11. prosince 2027. Kapitola IV o oznamování subjektů posuzování shody se použije ode dne 11. června 2026, zatímco oznamovací povinnosti stanovené v článku 14 se použijí ode dne 11. září 2026.
Certifikáty EU přezkoušení typu a rozhodnutí o schválení vydané v souvislosti s požadavky na kybernetickou bezpečnost zůstávají v platnosti do 11. června 2028, pokud jejich platnost neskončí před tímto datem.
Produkty s digitálními prvky, které byly uvedeny na trh před 11. prosincem 2027, podléhají ratingové agentuře pouze tehdy, pokud od uvedeného data podléhají podstatné změně. Povinnosti podávat zprávy se vztahují na všechny produkty s digitálními prvky, které byly dodány na trh Unie, včetně produktů, které již byly uvedeny na trh před 11. prosincem 2027.
Příloha I
Příloha I uvádí základní požadavky na kybernetickou bezpečnost a je rozdělena do dvou oddílů.
Část I se týká vlastností produktů s digitálními prvky: při uvádění produktu s digitálními prvky na trh výrobci zajistí, aby byl navržen, vyvinut a vyroben v souladu s těmito požadavky.
Část II se týká požadavků na řešení zranitelností: výrobci při uvádění produktu s digitálními prvky na trh a po dobu trvání podpory zajistí, aby se zranitelnostmi tohoto produktu, včetně jeho součástí, bylo nakládáno účinně a v souladu s těmito požadavky.
Příloha II
Výrobci musí zajistit, aby k produktům s digitálními prvky byly přiloženy informace a pokyny pro uživatele, které mají být poskytnuty v jazyce snadno srozumitelném uživatelům a orgánům dozoru nad trhem. Musí být jasné, srozumitelné, srozumitelné a čitelné. Umožňují bezpečnou instalaci, provoz a používání produktů s digitálními prvky.
Přílohy III a IV
Pokud má produkt s digitálními prvky základní funkci produktové kategorie stanovené v přílohách III a IV, je považován za důležitý nebo kritický produkt s digitálními prvky a podléhá odpovídajícím postupům posuzování shody.
Přečtěte si přílohu III, kde se dozvíte, které výrobky jsou důležité.
Přečtěte si přílohu IV a zjistěte, které výrobky jsou kritické
Přílohy V a VI
Pokud byl příslušným postupem posuzování shody prokázán soulad produktu s digitálními prvky se základními požadavky na kybernetickou bezpečnost, vypracují výrobci EU prohlášení o shodě. Přílohy V a VI stanoví vzorovou strukturu tohoto prohlášení, včetně zjednodušené verze.
Příloha VII
Před uvedením produktu s digitálními prvky na trh vypracují výrobci technickou dokumentaci a následně ji uchovávají pro potřeby orgánů dozoru nad trhem. Příloha VI obsahuje minimální prvky, které musí technická dokumentace obsahovat.
Příloha VIII
Před uvedením produktu s digitálními prvky na trh provedou nebo nechají provést zvolené postupy posuzování shody uvedené v článku 32.
Příloha VIII stanoví různé postupy, které může mít výrobce k dispozici v závislosti na článku 32. Jedná se o:
- postup vnitřní kontroly (na základě modulu A);
- postup EU přezkoušení typu (na základě modulu B), po němž následuje shoda s EU typem založená na interním řízení výroby (na základě modulu C);
- posouzení shody založené na komplexním zabezpečování kvality (na základě modulu H) stanoveném v příloze VIII.
Časté otázky rovněž poskytují zjednodušené vysvětlení různých modulů posuzování shody.
Související obsah
Souvislosti