CRA

Toto nařízení představuje zásadní změnu v přístupu k bezpečnosti produktů s digitálními prvky (tedy softwaru i hardwaru), protože přesouvá odpovědnost za kybernetickou bezpečnost od koncových uživatelů na výrobce a distributory těchto produktů. 

Vývoj CRA 

Návrh CRA byl představen Evropskou komisí během českého předsednictví Rady EU v září 2022 v reakci na rostoucí počet kybernetických útoků a nedostatečnou úroveň kybernetické bezpečnosti mnoha produktů dostupných na evropském trhu. Nad textem bylo vedeno 22 rozprav na úrovni Rady EU a politické dohody bylo dosaženo až v prosinci 2023. Následovalo schválení zákona Evropským parlamentem v březnu 2024 a formální přijetí Radou EU dne 10. října 2024. 

CRA vstoupil v platnost 10. prosince 2024 poté, co byl 20. listopadu 2024 zveřejněn v Úředním věstníku Evropské unie. U nařízení se jedná o právní akt s přímou účinností, který nevyžaduje transpozici do národních právních řádů členských států. Současně se však předpokládá, že členské státy budou muset pro plnou implementaci CRA upravit některé své právní předpisy. 

Plná účinnost CRA je naplánována na konec roku 2027, tedy 36 měsíců od začátku platnosti. To znamená, že výrobci a další dotčené subjekty mají přechodné období na přípravu a implementaci požadavků CRA. 

Předmět a rozsah působnosti 

CRA se vztahuje na všechny produkty s digitálními prvky, které jsou přímo nebo nepřímo připojeny k jinému zařízení nebo síti. Tato definice pokrývá jak hardwarové, tak softwarové produkty, jejichž zamýšlené a předvídatelné použití zahrnuje přímé nebo nepřímé datové připojení k jiným zařízením nebo k síti. Prakticky se jedná o široké spektrum produktů od spotřebních zařízení jako chytré telefony, tablety, síťové prvky a senzory až po průmyslové řídicí systémy. 

Nařízení výslovně pokrývá také samostatné softwarové produkty včetně operačních systémů, mobilních aplikací, videoher a chytrých hraček. Jde o relativně novou oblast regulace, která se zaměřuje na bezpečnost produktů již od fáze jejich návrhu (tzv. princip Secure by Design). 

Podle úrovně jejich rizikovosti rozlišuje CRA následující kategorie produktů: 

• Obecné produkty tvoří přibližně devadesát procent všech produktů s digitálními prvky a výrobci u nich musí provádět vlastní hodnocení bezpečnosti.  
• Významné a kritické produkty představují zhruba deset procent všech produktů a jsou rozřazeny do dvou speciálních tříd. Zahrnují například prohlížeče, operační systémy, procesory a firewally. Tyto produkty podléhají přísnějším požadavkům a mohou vyžadovat certifikaci třetí stranou. 

Nařízení obsahuje specifické výjimky pro produkty, které jsou již pokryty existujícími pravidly. Jde například o zdravotnické prostředky nebo produkty spojené s leteckým a automobilovým průmyslem. Podobně jsou vyloučeny některé open source softwarové produkty a služby typu Software as a Service, s výjimkou některých řešení pro zpracování dat na dálku. 

Základní principy a cíle nařízení CRA 

CRA sleduje několik hlavních cílů, které mají zlepšit současný stav kybernetické bezpečnosti produktů na evropském trhu. Prvním cílem je zajistit, aby byly hardwarové a softwarové produkty uváděné na trh EU navrženy a vyvinuty tak, aby byla minimalizována rizika z pohledu kybernetické bezpečnosti (například v podobě bezpečnostních zranitelností). 

Dalším cílem je vytvořit podmínky, které uživatelům umožní zohlednit kybernetickou bezpečnost při výběru a používání produktů s digitálními prvky. To znamená poskytovat dostatečné informace o vlastnostech produktů z hlediska jejich kybernetické bezpečnosti, na jejichž základě se zákazníci mohou informovaně rozhodovat o nákupu.  

Třetím cílem je zajištovat bezpečnost produktů po celou dobu jejich životního cyklu prostřednictvím bezpečnostních aktualizací, zjistí-li se zneužitelné zranitelnosti. Výrobci mají povinnost aktivně dodržovat standardy kybernetické bezpečnosti i po uvedení produktu na trh a poskytovat bezpečnostní podporu po stanovené období. 

Nařízení zavádí koncept „Security by Design“, který vyžaduje, aby byly bezpečnostní aspekty integrovány do celého procesu vývoje produktu. To zahrnuje ochranu přístupu i zajištění důvěrnosti, integrity a dostupnosti dat, které musí být zohledněny již během návrhu, vývoje a výroby produktu. 

Povinnosti výrobců a distributorů 

Primární odpovědnost za kybernetickou bezpečnost svých produktů s digitálními prvky nesou podle nařízení CRA výrobci. Tato odpovědnost zahrnuje implementaci komplexních opatření během plánování, návrhu, vývoje, výroby, testování i údržby produktů. Výrobci musí zajistit, aby byly jejich produkty navrženy, vyvinuty a vyrobeny tak, aby zaručovaly přiměřenou úroveň kybernetické bezpečnosti. 

Konkrétní povinnosti výrobců zahrnují dodávání produktů bez známých zneužitelných zranitelností, nastavení bezpečné výchozí konfigurace a ochranu proti neoprávněnému přístupu. Produkty musí zajišťovat důvěrnost, integritu a dostupnost dat a minimalizovat použití dat i dopad na další služby. Výrobci jsou také povinni zajistit bezpečnost produktů s digitálními prvky již při dodání. 

Významnou povinností je kontinuální monitoring a hlášení nových a aktivně zneužívaných zranitelností po celou dobu životnosti produktu. Výrobci musí do 24 hodin od zjištění zneužitelné zranitelnosti nahlásit incident prostřednictvím platformy ENISA a přijmout opatření k jeho řešení. 

Také distributoři a dovozci mají povinnost zajistit, aby všechny relevantní produkty splňovaly požadavky na kybernetickou bezpečnost. To zahrnuje ověření, že výrobci splnili své povinnosti, zajištění správného označení produktů a spolupráci s příslušnými orgány při výkonu dohledu. 

Označování a certifikace produktů podle CRA 

Produkty, které splňují požadavky CRA, budou opatřeny značkou „CE“, což znamená, že splňují minimální stanovenou úroveň opatření pro jejich kybernetickou bezpečnost. Toto označení má zákazníkům garantovat kybernetickou bezpečnost produktů prodávaných v rámci Evropské unie. 

U obecných produktů budou výrobci provádět vlastní hodnocení souladu na základě harmonizovaných standardů, které budou vypracovány evropskými standardizačními organizacemi. Tyto standardy budou konkretizovat požadavky stanovené v přílohách nařízení a poskytnou praktické návody pro implementaci bezpečnostních opatření. 

Významné a kritické produkty mohou vyžadovat hodnocení souladu třetí stranou a certifikaci nebo schválení příslušnými orgány. Tyto přísnější postupy mají zajistit vyšší úroveň důvěry v bezpečnost produktů s vyšším rizikem. 

CRA stanovuje základní požadavky ve dvou úrovních – požadavky na kybernetickou bezpečnost produktů a požadavky na procesy řešení zranitelností. Tyto požadavky budou předmětem standardizačního procesu evropských standardizačních organizací, které je vyjádří ve formě specifikací v harmonizovaných standardech.  

Harmonizované standardy budou poskytovat praktické návody pro implementaci bezpečnostních opatření a pomohou výrobcům prokázat soulad s požadavky CRA. Významnou roli bude hrát také mezinárodní standard IEC 62443, který se zabývá kybernetickou bezpečností průmyslových systémů a může sloužit jako reference pro implementaci CRA v průmyslu. 

Sankce a vymáhání 

Nařízení CRA zavádí významné sankce za nedodržení požadavků na kybernetickou bezpečnost produktů s digitálními prvky. Pokuty mohou dosáhnout až 15 milionů eur nebo až 2,5 procenta celosvětového ročního obratu organizace – podle toho, která z částek je vyšší. Tyto sankce mají výrobce motivovat k důslednému dodržování požadavků na kybernetickou bezpečnost jejich produktů. 

Příslušné orgány pro dohled nad trhem v jednotlivých členských státech budou odpovědné za vymáhání CRA a mohou nařídit zlepšení produktů, jejich stažení z trhu nebo uložit jiná nápravná opatření. Nedodržení předpisů může vést k zákazu uvedení produktu na trh. 

Systém vymáhání je navržen tak, aby byl proporcionální a zohledňoval závažnost porušení, rozsah dopadu a úmyslnost jednání. Příslušné orgány budou muset koordinovat svou činnost na evropské úrovni, aby zajistily konzistentní přístup k vymáhání napříč jednotným trhem. 

Implementace CRA v České republice  

Přestože CRA jako nařízení nevyžaduje formální transpozici do českého právního řádu, Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB) se na jeho implementaci připravuje velmi aktivně. NÚKIB například pořádal konzultace s výrobci významných a kritických produktů, aby vypracoval technické specifikace a získal zpětnou vazbu. Tyto konzultace byly zaměřeny na praktické aspekty implementace a pomohly identifikovat specifické výzvy, kterým budou čelit čeští výrobci. 

Předpokládá se, že členské státy budou potřebovat upravit některé své právní předpisy, aby bylo možné pravidla CRA plně implementovat. To může zahrnovat úpravy v oblasti dohledu nad trhem, sankčních mechanismů a koordinace s dalšími regulatorními rámci. 

Souvislosti s dalšími regulacemi 

Nařízení CRA doplňuje existující legislativu v oblasti kybernetické bezpečnosti, zejména směrnici NIS2. Ale zatímco NIS2 se zaměřuje na poskytovatele základních služeb, CRA se soustředí na samotné produkty. 

Významný je také vztah k nařízení o umělé inteligenci (AI Act), kdy se mohou u produktů zahrnujících komponenty AI některé požadavky překrývat. 

V sektoru finančních služeb bude nutné koordinovat implementaci CRA s nařízením DORA, které se týká digitální provozní odolnosti finančního sektoru. Finanční instituce budou muset zajistit, aby produkty s digitálními prvky, které používají, splňovaly požadavky obou předpisů. 

Implementace CRA může pro výrobce znamenat dodatečné náklady na zajištění kybernetické bezpečnosti. Bude nutné investovat do bezpečných vývojových procesů, kontinuálního monitoringu bezpečnosti a implementace komplexních bezpečnostních opatření.  

Na druhou stranu slibuje CRA značné výhody pro koncové uživatele, protože zvyšuje úroveň bezpečnosti a významně minimalizuje rizika kybernetické bezpečnosti. Pro výrobce, kteří úspěšně implementují požadavky CRA, může označení „CE“ představovat konkurenční výhodu na trhu. Produkty splňující požadavky CRA mohou získat důvěru spotřebitelů nejen v EU, ale rovněž na trzích ve třetích zemích.