Legislativa
1. Akt o kybernetické bezpečnosti a Akt o kybernetické odolnosti
Akt o kybernetické bezpečnosti (CSA)
V červnu 2019 vstoupilo v platnost nařízení Evropského parlamentu a Rady (EU) 2019/881 o agentuře ENISA („Agentuře Evropské unie pro kybernetickou bezpečnost“), o certifikaci kybernetické bezpečnosti informačních a komunikačních technologií a o zrušení nařízení (EU) č. 526/2013 (dále jen „Akt o kybernetické bezpečnosti“, „CSA“), které zavádí evropský rámec pro certifikaci kybernetické bezpečnost produktů, služeb a procesů informačních a komunikačních technologií (ICT). Cílem aktu o kybernetické bezpečnosti je zvýšení důvěry v ICT produkty, služby a procesy skrze certifikaci jejich bezpečnosti. Tato jednotná evropská certifikace osvědčí, že produkty, služby a procesy splňují stanovené bezpečnostní cíle aktu o kybernetické bezpečnosti co do ochrany dostupnosti, autentičnosti, důvěrnosti a integrity. Hlavním posláním evropského rámce pro certifikaci kybernetické bezpečnosti je nastolit důvěru v ICT produkty, služby a procesy, které budou firmy a občané na území EU využívat. A ačkoliv v současné době již některé členské státy pracují s vlastními certifikačními schématy, chybí jednotný a celoevropský systém zaručující stejná pravidla a úroveň zabezpečení pro všechny. To činí potíže především pro výrobce/poskytovatele, kteří pak případně musí podstoupit certifikaci v několika členských státech zvlášť, čímž se zvyšují jejich náklady. A právě na tyto problémy se zaměřuje akt o kybernetické bezpečnosti, jehož cílem je také harmonizace unijního trhu. Evropský rámec pro certifikaci kybernetické bezpečnosti tak vytváří prostředí pro vznik schémat s konkrétními pravidly a požadavky na ICT produkty, služby a procesy.
Více informací o tomto předpisu naleznete zde.
Akt o kybernetické odolnosti
Nařízení Evropského parlamentu a Rady (EU) 2024/2847 o horizontálních požadavcích na kybernetickou bezpečnost produktů s digitálními prvky a o změně nařízení (EU) č. 168/2013 a (EU) 2019/1020 a směrnice (EU) 2020/1828 (dále jen „Akt o kybernetické odolnosti", „CRA"), je přelomová legislativa Evropské unie, jejímž cílem je zvýšit kybernetickou bezpečnost produktů s digitálními prvky (hardware i software) po celou dobu jejich životního cyklu. Vztahuje se na širokou škálu produktů – od chytrých zařízení (IoT) přes operační systémy, aplikace až po síťové prvky – které lze připojit k zařízení nebo síti. Výrobci, dovozci a distributoři těchto produktů uváděných na trh EU budou muset dodržovat nové povinné požadavky na kybernetickou bezpečnost už ve fázi návrhu a vývoje. Důležitou součástí nařízení je také povinnost výrobců aktivně spravovat zranitelnosti a poskytovat bezpečnostní aktualizace po dobu životnosti produktu. CRA, které bylo zveřejněno koncem roku 2024, vstoupí plně v platnost po tříletém přechodném období, tedy koncem roku 2027.
Hlavní přínosy CRA spočívají v posílení důvěry spotřebitelů a podniků v digitální produkty a ve snížení nákladů spojených s kybernetickými incidenty. Díky jednotným standardům a transparentnosti informací o kybernetické bezpečnosti budou mít uživatelé možnost činit informovanější rozhodnutí při nákupu (např. díky označení CE, které bude indikovat shodu s požadavky CRA). Nařízení klade odpovědnost za bezpečnost přímo na výrobce, čímž je motivuje k vývoji produktů s méně zranitelnostmi od samého počátku. Pro podniky pak CRA znamená harmonizaci pravidel v rámci jednotného trhu EU, což zjednoduší dodržování předpisů oproti různým národním normám. V neposlední řadě, zavedením povinnosti rychlého hlášení incidentů a zranitelností orgánům EU (ENISA), CRA přispěje k celkovému zvýšení kybernetické odolnosti Unie.
Více informací k CRA naleznete zde.
Pokračujte kliknutím na modrou šipku a z uvedeného rejstříku si vyberte jedno z dalších témat.