Seriál Regulace podle NIS2 se už v dřívějších dílech dotkl i jiné evropské zákonodárné iniciativy kolem kybernetické bezpečnosti než jen té podle směrnice NIS2. Představili jsme si nařízení DORA, které dopadne na banky nebo obchodníky s kryptoměnami. A obsáhle se věnujeme transpozici směrnice do národní úpravy, tedy návrhu nového zákona o kybernetické bezpečnosti. Legislativní rada vlády je téměř přesně v polovině lhůty, kterou na projednání návrhu má.

Tentokrát se podíváme na další aktivity, které Evropa pro zajištění kyberbezpečnosti podniká. Postupně si představíme Akt o kybernetické odolnosti a Akt o kybernetické solidaritě. Oba jsou ve fázi příprav. V přípravě prvně jmenovaného, kterému se budeme věnovat v dnešním díle, dosáhli na sklonku roku vyjednavači Evropského parlamentu a předsednictví Rady předběžné dohody. U druhého zmíněného aktu je příprava o krok dál, tam už byla dosažena dohoda o společném postoji na úrovni zástupců členských států, a na řadě jsou tak trialogy s Evropským parlamentem o konečné verzi předpisu.

Bezpečný výrobek po celou dobu životnosti

Takzvaný Akt o kybernetické odolnosti (EU Cyber Resilience Act) má být přetaven do podoby Nařízení o horizontálních požadavcích na kybernetickou bezpečnost produktů s digitálními prvky. Má za cíl vytvořit podmínky pro to, aby spotřební zboží typu dětských chůviček, chytrých hodinek, televizorů, chladniček nebo hraček připojených k internetu bylo před uvedením na trh z hlediska odolnosti i vůči kyberútokům bezpečné. Už při prodeji v rámci Sedmadvacítky budou zařízení muset naplnit alespoň základní úroveň kybernetické bezpečnosti. Tím bude zajištěna ochrana zákazníků před kybernetickými hrozbami. Předpis má donutit výrobce, aby bezpečnost nebrali na lehkou váhu ani v průběhu celého životního cyklu produktu.

Podnět k vypracování tohoto nařízení vznesla předsedkyně Evropské komise Ursula von der Leyen ve svém projevu o stavu EU v září 2021. Předpis má doplnit stávající evropský rámec v oblasti kyberbezpečnosti tvořený směrnicí NIS (1), směrnicí NIS2 a aktem EU o kybernetické bezpečnosti.





Akt o kybernetické odolnosti si dal za cíl zaplnit mezery ve stávajících právních předpisech, které izolovaně na evropské úrovni oblast kyberbezpečnosti řeší. Má vyjasnit vzájemné vazby, vyřešit překryvy, když někde jsou tyto otázky řešeny už ve stávajících pravidlech, například u zdravotnických prostředků, leteckých výrobců a automobilek.

Už v počáteční fázi navrhování, vývoje a plánování musí být u produktů s digitálními prvky pamatováno na jejich zabezpečení. Posouzení kybernetických rizik pak musí být zahrnuto do technické dokumentace při uvádění produktu na trh. Pamatováno je i na opravu později objevených chyb. Návrh nařízení totiž v článku 10 odst. 9 výrobcům přikazuje zajistit, „aby byly zavedeny postupy, díky nimž produkty s digitálními prvky, které jsou součástí sériové výroby, zůstanou ve shodě“. A o tři odstavce dále je výrobcům zakotvena povinnost, že pokud vědí, nebo mají důvod se domnívat, že jejich produkt nebo zavedené postupy nejsou ve shodě se základními požadavky nařízení, musejí okamžitě přijmout nápravná opatření k dosažení této shody nebo produkt z trhu stáhnout. A tuto povinnost budou mít buď po dobu očekávané životnosti produktu, nebo alespoň pět let od uvedení na trh. To platí pro výrobky, u kterých se očekává, že budou používány po kratší dobu.

Zranitelnosti a incidenty se budou hlásit na víc stran

Aby byla zajištěna informovanost o případných problémech, zavádí se informační povinnost výrobce vůči agentuře ENISA, tedy Agentuře Evropské unie pro kybernetickou bezpečnost. Ve velmi krátkém čase, slovy Nařízení „bez zbytečného odkladu a v každém případě do 24 hodin od okamžiku, kdy se o ní dozví“, musejí výrobci hlásit ENISA každou aktivně zneužívanou zranitelnost produktu s digitálními prvky, a to včetně případných nápravných nebo zmírňujících opatření. ENISA předá toto oznámení týmu CSIRT, aby se zpráva dostala včas do všech dotčených členských zemí. Totéž platí o jakémkoliv incidentu, který má dopad na digitální bezpečnost výrobku.

Z uvedeného plyne, že výrobce, který bude současně subjektem regulovaným podle směrnice NIS2, resp. spadajícím pod jeden z režimů národní regulace, může mít za určitých podmínek reportovací povinnost vůči hned několika cílovým místům. Přibližme si to na příkladu, kdy se útočníci takovému podniku nabourají do vnitřních systémů a dosáhnou toho, že se buď zmocní uživatelských dat z prodaných produktů ukládaných v takových systémech, nebo dokonce pozmění firmware nahrávaných do nového zboží. V takovém případě se po výrobci chce, aby hlášení těchto problémů učinil vůči národnímu regulátorovi (v našem prostředí vůči CSIRTu nebo Národnímu úřadu pro kybernetickou a informační bezpečnost), vůči agentuře ENISA a samozřejmě informoval neprodleně také spotřebitele.

Analogicky k tomu regulace dopadne i na dovozce a distributory. Ti budou muset před uvedením výrobku na trh zajistit, aby výrobce vypracoval technickou dokumentaci, nechat příslušné dokumenty přeložit do jazyka státu, kde se produkt prodává, a zveřejnit a uchovávat prohlášení o shodě.





Budeme se také nově setkávat s tím, že se označení CE deklarující, že výrobek splňuje bezpečnostní, zdravotní i environmentální požadavky EU bude objevovat na mnohem větší sortě produktů. Tam, kde s ohledem na povahu výrobku nebude možné natisknout označení CE přímo na výrobek, bude muset být vytištěno na jeho obalu a současně na prohlášení o shodě, které produkt povinně doprovází.

Pro každého producenta zboží s digitálními prvky je podstatné i to, jak má Brusel zajištěno dodržování těchto pravidel, tedy jak jsou nastaveny sankce. Za nedodržení základních požadavků na kybernetickou bezpečnost bude možné uložit pokuty do výše 15 milionů eur nebo 2,5 % celosvětového ročního obratu. U porušení jakýchkoliv jiných povinností je strop pro sankce 10 milionů eur, resp. 2 % obratu.

Nová pravidla začnou být uplatňována po třech letech od vstupu připravovaného předpisu v platnost. To má výrobcům poskytnout dostatek času pro to, aby se přizpůsobili novým požadavkům. Také byla dohodnuta dodatečná podpůrná opatření pro malé podniky a mikropodniky v oblasti odborné přípravy. Podporovány budou i v testování a zavádění postupů posuzování shody.

V příštím díle se podíváme na druhou z připravovaných norem – na Akt o kybernetické solidaritě.