Směrnice NIS2 zdaleka není jediným evropským předpisem, který na problematiku kyberbezpečnosti dopadá. V našem seriálu jsme si postupně představili i další legislativní nástroje (DORA pro banky nebo obchodníky s kryptoměnami, nebo třeba Akt o kybernetické solidaritě). A dnes se podrobněji vrátíme k už jednou v hrubých obrysech představenému Aktu o kybernetické odolnosti (EU Cyber Resilience Act – CRA), který se dočkal v říjnu přijetí v Radě EU a který se má postarat o to, aby produkty s digitálními prvky byly do tří let bezpečnější.

Jedná se o celou škálu spotřebního zboží, od mobilů a chytrých hodinek přes dětské chůvičky, kamery pro ochranu majetku až po televizory a chladničky připojené k internetu. CRA definuje produkty s digitálními prvky jako hardware, ale i software, včetně řešení pro vzdálené zpracování dat. Vedle zmíněné spotřební elektroniky sem budou spadat i zařízení Internetu věcí nebo průmyslové systémy. Cílí tak i na zajištění odpovídající bezpečnosti chytrých elektroměrů instalovaných v energetických sítích, bez kterých se zamýšlená energetická budoucnost Evropy neobejde. Naopak výjimku z této regulace mají například zdravotnické prostředky, motorová vozidla a produkty obranného průmyslu.

Minimálně pětiletý přísun aktualizací

CRA má zajistit, že tyto výrobky budou bezpečné po celou dobu jejich životnosti. Nařízení proto rozděluje povinnosti mezi výrobce, dovozce a distributory těchto produktů s digitálními prvky. Logicky největší břemeno regulace bude ležet na producentech. Ti budou muset otázky kyberbezpečnosti zvážit už při návrhu a vývoji produktu a pamatovat na to, aby v celém životním cyklu bylo toto hledisko zohledněno. Proces dostal pojmenování „secure development life cycle“.

Pro výrobce tak nasazením produktu na trh a jeho prodejem nic nekončí. Přinejmenším po stanovenou dobu podpory bude jeho povinností aktivně řídit zranitelnosti. Což znamená je odhalovat, dokumentovat a udělat vše pro jejich odstranění. Stanovená doba podpory bude moci být minimálně pětiletá a do technické dokumentace budou muset výrobci uvést informace, které při stanovení doby podpory zohlednili. To zabrání tomu, aby si účelově tuto dobu povinné podpory zkracovali. „Pokud se objeví globální problém určité kategorie výrobků, který ukáže, že nemají dostatečně dlouhou stanovenou podporu, Komise může přijmout akty, kterými minimální dobu podpory pro tyto kategorie výrobků stanoví,“ naznačuje možné východisko právnička Michaela Holíková z advokátní kanceláře Rowan Legal.





Minimálně po dobu pěti let od uvedení na trh tak budou muset výrobky s digitálními prvky dostávat bezpečnostní aktualizace firmwaru. A zjistí-li producent nesoulad výrobku samotného nebo zavedených procesů s CRA, bude muset přijmout nápravná opatření, nebo v krajním případě úplně stáhnout výrobek z trhu. Nařízení tak podle Holíkové nepůjde obejít tím, že by výrobce jen dal ve známost, že jeho produkt má určitý problém, aniž by se nepostaral o jeho vyřešení. „Obecně pouhé zveřejnění informace o tom, že zranitelnost existuje, nebude dostačující,“ upozornila.

Due dilligence u cizích komponentů

Speciální nároky CRA klade na ty výrobce, kteří do svých produktů integrují komponenty třetích stran. Ti budou muset provádět due dilligence, tedy posouzení, jaké riziko daná komponenta představuje. Při hodnocení rizik se tak bude muset společnost podívat na to, zda i dodavatel komponenty splňuje požadavky CRA, jestli pravidelně dodává bezpečnostní patche, jestli komponenta nefiguruje na seznamu odhalených zranitelností a provádět další bezpečnostní testy.

To ale neznamená, že by jednou odhalená zranitelnost a s ní spojené vydání varování představovalo automaticky stopku pro integraci komponenty do produktu. „Výrobce ale bude muset vždy vyhodnotit, jaké riziko součástka představuje, a případně přijmout jiná opatření, která riziko sníží,“ vysvětluje právnička Holíková.

Další z povinností pro producenty je potom zřídit jednotné kontaktní místo pro uživatele produktu. Může jít o webovou stránku, telefon, e-mail nebo kontaktní formulář, skrze které uživatel dostane možnost nahlásit podezřelé chování příslušného výrobku. CRA uvádí, že lze k tomuto nahlašování použít i automatizovaný nástroj, například chatbox na webové stránce. „Nemělo by ale jít o jedinou možnost. Pokud použije výrobce automatizovaný nástroj, musí mít zároveň i nástroj s lidskou odezvou,“ upozorňuje Michaela Holíková. Nařízení sice nestanoví požadavky ohledně toho, že by producent musel zavést zvláštní kontaktní místo pro každou zemi, ale stanoví povinnost mít kontaktní místo snadno identifikovatelné. „Z našeho pohledu lze tento požadavek vykládat tak, že pokud výrobce dodává produkt do České republiky, měl by mít informace zveřejněné alespoň v angličtině, češtině nebo slovenštině,“ dodává.

Distributoři a dovozci si vystačí s kontrolou dokladů

Díl odpovědnosti za bezpečné výrobky s digitálními prvky ponesou i jejich dovozci. Ti podle CRA budou muset zajistit, že výrobce provedl předepsané posouzení shody, vyhotovil technickou dokumentaci podle požadavků nařízení a že výrobek obdržel označení CE. Bez toho dovozce vůbec nesmí produkt uvést na evropský trh. „Splnění požadavků se osvědčuje právě prostřednictvím postupů posuzování shody a EU prohlášení o shodě. Podle našeho názoru tak bude stačit zkontrolovat příslušné dokumenty,“ říká Michaela Holíková a pokračuje: „Dovozce tedy nemusí provádět rozsáhlou kontrolu, kde by kontroloval faktický vývoj výrobku nebo zavedené procesy u výrobce.“ Doporučuje však ve smlouvě mezi výrobcem a dovozcem zakotvit povinnost výrobce zajistit soulad s CRA.

Po distributorech chce Akt o kybernetické odolnosti podobné nároky jako po dovozcích. Protože však na rozdíl od nich mají obecně k dispozici méně informací, nařízení stanoví, že budou postupovat na základě jim dostupných znalostí.

Nařízení CRA nevyžaduje transpoziční český zákon a bude pro výrobce, dovozce a distributory vyjmenovaného zboží platné přímo. Počítá s postupným náběhem účinnosti. Většina povinností se začne uplatňovat 36 měsíců po přijetí, tedy v závěru roku 2027, některé však začnou platit dříve. Už za dva roky začne platit povinnost pro výrobce reportovat aktivně zneužitelné zranitelnosti a závažné incidenty s dopadem na bezpečnost výrobků. Tyto reporty se posílají CSIRTu určenému jako koordinátorovi v daném členském státě a agentuře ENISA.