Unijní akt o kybernetické odolnosti vstoupil v platnost

Účinnost nařízení je stanovená jako dělená s tím, že jako celek bude nařízení použitelné (a vymahatelné) od 11. prosince 2027, s výjimkou ustanovení o oznamování subjektů posuzování shody, které jsou použitelné od 11. června 2026, a ustanovení o povinnosti výrobců podávat zprávy, které je použitelné od 11. září 2026.
Nová unijní právní úprava, která je pro členské státy přímo aplikovatelná (tzn., že nevyžaduje zvláštní vnitrostátní hmotněprávní úpravu), má zaplnit mezery ve stávajícím právním rámci v oblasti kybernetické bezpečnosti, vyjasnit provázanost příslušných předpisů a zvýšit jejich soudržnost a současně má zajistit, aby produkty s digitálními součástmi, např. produkty vztahující se k tzv. „internetu věcí“, byly v rámci celého dodavatelského řetězce a v průběhu celého životního cyklu bezpečné.
Nařízení vychází z praxe, že za určitých podmínek mohou všechny produkty s digitálními prvky, začleněné do elektronického informačního systému nebo k němu připojené, sloužit jako vektor útoku. V důsledku toho může i hardware a software, který je považován za méně kritický, usnadnit prvotní narušení zařízení nebo sítě, což umožní získat privilegovaný přístup k systému nebo se pohybovat napříč systémy.
Výrobcům se tak stanoví povinnost zajistit, aby byly všechny produkty s digitálními prvky navrhovány a vyvíjeny v souladu se základními požadavky na kybernetickou bezpečnost stanovenými tímto nařízením. Tato povinnost se týká produktů, které lze fyzicky připojit prostřednictvím hardwarových rozhraní, i produktů, které jsou připojeny logicky, např. prostřednictvím síťových zásuvek, vedení, souborů, rozhraní pro programování aplikací nebo jakýchkoli jiných druhů softwarového rozhraní. Stanovené požadavky by měly rovněž zajistit, aby byla kybernetická bezpečnost zohledňována v celém dodavatelském řetězci, a to i v případě spotřebních produktů s digitálními prvky určených pro zranitelné spotřebitele, např. hraček a systémů pro monitorování dětí.
Spotřebitelské produkty s digitálními prvky, které jsou v nařízení označeny jako důležité produkty s digitálními prvky, představují vyšší kybernetické bezpečnostní riziko, neboť plní funkci, která s sebou nese významné riziko nepříznivých účinků co do intenzity a schopnosti poškodit zdraví nebo ohrozit bezpečnost uživatelů těchto produktů, a měly by tak podléhat přísnějšímu postupu posuzování shody. Mezi ně patří např. produkty pro inteligentní domácnost s bezpečnostními funkcemi včetně inteligentních dveřních zámků, systémy pro monitorování dětí a poplašné systémy, hračky připojené k internetu a nositelná elektronika používaná ve zdravotnictví.
Softwarové i hardwarové výrobky budou opatřeny označením CE, což znamená, že výrobky prodávané v rámci Evropského hospodářského prostoru (EHP) byly posouzeny s ohledem na splnění vysokých požadavků na bezpečnost, zdraví a ochranu životního prostředí.
Akt o kybernetické odolnosti stanoví celounijní požadavky na kybernetickou bezpečnost týkající se projektování, vývoje, výroby a dodávání hardwarových a softwarových produktů na trh tak, aby se zabránilo překrývání požadavků, které vyplývají z různých právních předpisů v jednotlivých členských státech EU.

Produkty pro zpracování dat a cloudová řešení
Nařízení má rovněž zajistit vysokou úroveň kybernetické bezpečnosti produktů s digitálními prvky a jejich integrovaná řešení pro zpracování dat na dálku, která jsou definována jako řešení, pro něž je software navržen a vyvinut výrobcem produktu s digitálními prvky nebo jeho jménem, a pokud by neexistoval, nebylo by možné, aby tento produkt s digitálními prvky plnil některou ze svých funkcí. O takové zpracování nebo uchovávání dat na dálku se jedná i tehdy, vyžaduje-li mobilní aplikace přístup k rozhraní pro programování aplikací nebo k databázi poskytované prostřednictvím služby vyvinuté výrobcem.
Cloudová řešení představují řešení pro zpracování dat na dálku ve smyslu tohoto nařízení, pouze pokud splňují definici stanovenou v nařízení. Do oblasti působnosti tohoto nařízení spadají např. cloudové funkce poskytované výrobcem zařízení pro inteligentní domácnost, které uživateli umožňují ovládat zařízení na dálku. Naopak internetové stránky, které nepodporují funkce produktu s digitálními prvky, nebo cloudové služby, za jejichž koncepci a vývoj nenese odpovědnost výrobce produktu s digitálními prvky, do oblasti působnosti nařízení nespadají. Na služby cloud computingu a modely cloudových služeb, jako je software jako služba (SaaS), platforma jako služba (PaaS) nebo infrastruktura jako služba (IaaS), se použije směrnice (EU) 2022/2555 (o opatřeních k zajištění vysoké společné úrovně kybernetické bezpečnosti v Unii). Do oblasti působnosti této směrnice spadají subjekty poskytující v Unii služby cloud computingu, které lze podle přílohy doporučení 2003/361/ES považovat za střední podniky nebo které překračují stropy pro střední podniky.

Důležité a kritické produkty s digitálními prvky
Nařízení stanoví charakteristiku a rovněž taxativní výčet dvou úrovní produktů s digitálními prvky, a to důležité a kritické produkty. Produkty s digitálními prvky by měly být považovány za důležité, pokud může být negativní dopad zneužití případných zranitelností produktu závažný, mimo jiné v důsledku funkcí souvisejících s kybernetickou bezpečností nebo funkce, která s sebou nese významné riziko nepříznivých účinků, pokud jde o jejich intenzitu a možnost narušit, ovládat nebo poškodit velký počet jiných produktů s digitálními prvky nebo zdraví, zabezpečení nebo bezpečnost jeho uživatelů prostřednictvím přímé manipulace, např. funkce centrálního systému, včetně správy sítě, řízení konfigurace, virtualizace nebo zpracování osobních údajů.
S ohledem na rozdílnou úroveň kategorií produktů s digitálními prvky byly důležité produkty s digitálními prvky rozděleny do dvou tříd, které odrážejí úroveň kybernetických bezpečnostních rizik. Konkrétně incident týkající se důležitých produktů s digitálními prvky, které spadají do třídy II, má větší negativní dopad než incident týkající se důležitých produktů s digitálními prvky, které spadají do třídy I, např. vzhledem k povaze jejich funkce související s kybernetickou bezpečností nebo vzhledem k výkonu jiné funkce, která s sebou nese významné riziko nepříznivých účinků.
Kategorie kritických produktů s digitálními prvky stanovené v nařízení mají funkci související s kybernetickou bezpečností a plní funkci, která s sebou nese významné riziko nepříznivých účinků, pokud jde o intenzitu těchto účinků a jejich schopnost narušit, ovládat nebo poškodit velký počet jiných produktů s digitálními prvky prostřednictvím přímé manipulace. Produkty této kategorie již vzhledem ke své kritičnosti široce využívají nejrůznější formy certifikace a vztahuje se na ně rovněž evropský systém certifikace kybernetické bezpečnosti (EUCC).

Do produktů s digitálními prvky patří:

Třída I
1. software pro systémy správy identity a pro správu privilegovaného přístupu a hardware včetně čtečky k ověřování totožnosti a ke kontrole přístupu, mj. biometrické čtečky,
2. samostatné a vestavěné prohlížeče a správci hesel,
3. software, který vyhledává škodlivé programy, odstraňuje je nebo je dává do karantény,
4. produkty s digitálními prvky s funkcí virtuální soukromé sítě (VPN),
5. systémy řízení sítě a systémy řízení bezpečnostních informací a událostí,
6. boot manažeři a infrastruktura veřejných klíčů a software k vydávání digitálních certifikátů,
7. fyzická a virtuální síťová rozhraní a operační systémy, směrovače, modemy určené pro připojení k internetu a přepínače, mikroprocesory a mikrořadiče s bezpečnostními funkcemi,
8. aplikačně specifické integrované obvody (ASIC) a programovatelná hradlová pole (FPGA) s bezpečnostními funkcemi,
9. obecní virtuální asistenti pro chytré domácnosti, produkty pro chytré domácnosti s bezpečnostními funkcemi, včetně chytrých dveřních zámků, bezpečnostních kamer, systémů pro monitorování dětí a poplašných systémů,
10. hračky připojené k internetu, a které mají sociální interaktivní funkce (např. k mluvení nebo natáčení) nebo funkce ke sledování polohy,
11. osobní výrobky k nošení, které se umísťují na lidské tělo, jejichž účelem je sledovat zdravotní stav a na něž se nevztahuje nařízení (EU) 2017/745 ani 2017/746, nebo osobní výrobky k nošení, které jsou určeny pro děti a k používání u dětí.

Třída II
1. hypervizory a systémy runtime kontejnerů, které podporují virtualizované provedení operačních systémů a podobných prostředí,
2. firewally, systémy detekce narušení a prevence,
3. mikroprocesory a mikrořadiče odolné proti manipulaci

Do kritických produktů a digitálními prvky patří:
1. hardwarová zařízení s bezpečnostními schránkami,
2. přístroje (EU) Smart meter gateway v rámci inteligentních měřicích systémů a další přístroje pro účely zajištění větší bezpečnosti, mj. pro bezpečné přijímání plateb v kryptoměně,
3. čipové karty nebo podobná zařízení, včetně zabezpečených prvků.

Sankce a práva spotřebitelů
Za účelem zajistit účinné vymáhání povinností stanovených v nařízení se svěřuje orgánům dozoru nad trhem pravomoc ukládat správní pokuty nebo požadovat uložení správních pokut. Při rozhodování o výši správní pokuty by se dle nařízení měly zohlednit relevantní okolnosti konkrétní situace, včetně skutečnosti, zda je výrobcem mikropodnik, malý nebo střední podnik, včetně začínajících podniků, a zda tytéž nebo jiné orgány dozoru nad trhem již neuložily témuž hospodářskému subjektu správní pokutu za podobné porušení. Správní pokuty se nevztahují na mikropodniky nebo malé podniky za nedodržení 24hodinové lhůty pro včasné varování o aktivně zneužívaných zranitelnostech nebo závažných incidentech, které mají dopad na bezpečnost produktu s digitálními prvky, ani na správce softwaru s otevřeným zdrojovým kódem za jakékoli porušení nařízení.
Co do konkrétní výše sankcí nařízení je stanoví jako nejvyšší (za nedodržení základních požadavků na kybernetickou bezpečnost stanovených v příloze I a vyjmenovaných povinností) až do výše 15 000 000 Eur, nebo dopustí-li se porušení podnik, až do výše 2,5 % jeho celkového ročního obratu celosvětově za předchozí finanční rok podle toho, která hodnota je vyšší. Za nedodržení dalších vyjmenovaných povinností se uloží správní pokuty až do výše 10 000 000 Eur, nebo dopustí-li se porušení podnik, až do výše 2 % jeho celkového ročního obratu celosvětově za předchozí finanční rok podle toho, která hodnota je vyšší. Za poskytnutí nesprávných, neúplných nebo zavádějících informací oznámeným subjektům a orgánům dozoru nad trhem v reakci na žádost se uloží správní pokuty až do výše 5 000 000 Eur, nebo dopustí-li se porušení podnik, až do výše 1 % jeho celkového ročního obratu celosvětově za předchozí finanční rok podle toho, která hodnota je vyšší.
Pokud jde o práva spotřebitelů, nařízení stanoví, že spotřebitelé mají oprávněni vymáhat svá práva v souvislosti s povinnostmi, které byly podle nařízení uloženy hospodářským subjektům, prostřednictvím zástupných žalob v souladu se směrnicí EP a Rady (EU) 2020/1828 (o zástupných žalobách na ochranu kolektivních zájmů spotřebitelů). Za tímto účelem se stanoví, že se směrnice (EU) 2020/1828 použije na zástupné žaloby týkající se porušení nařízení, které poškozuje nebo může poškodit kolektivní zájmy spotřebitelů, a to od 11. prosince 2027.

Petr Mišúr
Foto: Shutterstock

Publikováno: 30. 12. 2024 | Počet zobrazení: 25 0