Zákon o kybernetické bezpečnosti

CRA se týká výrobců, dovozců a distributorů výrobků s digitálními prvky. Týká se téměř všech digitálních a síťových výrobků, včetně hardwaru, jako jsou chytré domácí spotřebiče nebo chytré telefony, softwaru i průmyslových a kritických systémů. Vzhledem k tomu, že digitální systémy jsou dnes ve výrobcích implementovány prakticky všude, dotýká se tato směrnice téměř všech segmentů ekonomiky. Směrnice CRA oficiálně vstoupila v platnost 10. prosince 2024, ale navzdory přechodnému období 36 měsíců existují ustanovení, u kterých bude uplatňována dříve než po uplynutí přechodného tříletého období.

Které lhůty platí

• Většina předpisů musí být plně provedena až od 11. prosince 2027.
• Od 11. června 2026: ohlašovací povinnost pro výrobce, orgány posuzování shody mohou posuzovat soulad s požadavky nařízení CRA
• Od 11. září 2026: ohlašovací povinnost zranitelnosti a závažných bezpečnostních incidentů vnitrostátním orgánům

Jaké jsou sankce za nedodržení předpisů?

• Až 15 milionů eur nebo
• až 2,5 % ročního celosvětového obratu (podle toho, která částka je vyšší)

Za porušení se považuje, pokud nejsou dodržovány klíčové požadavky, jako je řízení rizik, aktualizace zabezpečení nebo ochranná opatření, nejsou hlášeny incidenty nebo zranitelnosti z hlediska bezpečnosti nebo není dbáno na bezpečný vývoj a poskytování softwaru nebo hardwaru.

Zákon EU o kybernetické bezpečnosti (CRA) vytváří nové podmínky a začleňuje kybernetickou bezpečnost do celého životního cyklu výrobku. Výrobci musí bezpečnostní opatření zabudovat do architektury výrobku již od počátku a určité bezpečnostní požadavky musí splňovat i výchozí nastavení. Dále jsou organizace povinny zajišťovat pravidelné aktualizace zabezpečení, podrobnou dokumentaci všech opatření, plnou transparentnost vůči zákazníkům a okamžité hlášení kritických zranitelností a bezpečnostních incidentů. Agentura CRA v zásadě rozlišuje mezi běžnými produkty, důležitými produkty a kritickými produkty a bezpečnostní kritéria jsou stále přísnější. Předpisy, které budou platit od prosince 2027, představují pro společnosti velkou výzvu – zejména proto, že pokuty za nedodržení předpisů mohou dosáhnout až 15 milionů eur nebo 2,5 %  jejich ročního celosvětového obratu.

Tendence je jasná: u kybernetické bezpečnosti již nestačí přístup „nice to have“, kybernetická bezpečnost je nutností. Aby bylo možné účinně a nákladově efektivně zajistit bezpečnost v odvětví výroby a údržby, je nutné vytvářet ucelenou bezpečnostní kulturu. Zavedení systémů řízení je nejlepší způsob, jak organizaci dlouhodobě připravit na právní výzvy v oblasti kybernetické bezpečnosti.

Bezpečnost výrobku přímo souvisí s interními procesy organizace, které jsou v něm zakotveny. Certifikovaný systém bezpečnosti informací podle normy ISO 27001 zabraňuje kybernetickým útokům, vytváří kulturu bezpečnosti informací v organizaci, a je proto silnou reakcí na zákon EU o kybernetické bezpečnosti.

Zákon EU o kybernetické bezpečnosti činí odpovědným nejen koncového výrobce, ale všechny účastníky dodavatelského řetězce. Objektivně ověřená certifikace ukazuje obchodním partnerům, že nový právní rámec berete vážně a že je bezpečné s vámi spolupracovat.

Pro dlouhodobé fungování v nové právní situaci je nezbytné brát vážně také bezpečnost cloudu. Narušení bezpečnosti vašeho cloudu a s tím spojená potenciální ztráta kritických dat může ohrozit celé produktové řady. V případě nedostatečného zabezpečení (například v důsledku úniku důvěrných údajů při hackerském útoku) mohou úřady stáhnout váš produkt z trhu.

Investujte do své budoucnosti – získejte pro svůj cloud computing certifikaci podle ISO 27017 & ISO 27018.

Vzhledem k rychlému nárůstu kybernetických útoků po celém světě musí být organizace – i v případě, že již zavedly rozsáhlá kybernetická bezpečnostní opatření – připraveny na nejhorší. V případě úspěšného útoku stanoví certifikovaný systém řízení kontinuity podnikání v souladu s ISO 22301 jasné kroky a krizové plány, které zabrání šíření útoku, ochrání kritické systémy a zabrání tak v organizaci velkým škodám. Přísná právní realita zákona EU o AI zdůrazňuje význam takových systémů a výrazně zvyšuje přidanou hodnotu zavedení systému řízení kontinuity podnikání.

Tým CIS vám rád zodpoví všechny vaše dotazy!