Komise dnes předložila návrh nového aktu o kybernetické odolnosti, který má spotřebitele a podniky chránit před výrobky s nedostatečnými bezpečnostními prvky. Tento akt jako vůbec první unijní právní předpis svého druhu zavádí povinné požadavky na kybernetickou bezpečnost výrobků s digitálními prvky během celého jejich životního cyklu.
Předsedkyně Ursula von der Leyenová tento nový akt oznámila v září 2021 ve svém projevu o stavu Evropské unie. Staví na Strategii kybernetické bezpečnosti EU a Strategii bezpečnostní unie EU z roku 2020. Jeho cílem je zajistit, aby digitální výrobky, jako jsou bezdrátové i drátové výrobky a software, byly pro spotřebitele v celé EU bezpečnější. Na jedné straně zvyšuje odpovědnost výrobců, když jim ukládá povinnost poskytovat bezpečnostní podporu a aktualizace softwaru pro opravy odhalených zranitelností, a na straně druhé zajistí, aby spotřebitelé byli dostatečně informováni o kybernetické bezpečnosti produktů, které kupují a používají.
Margrethe Vestagerová, výkonná místopředsedkyně pro Evropu připravenou na digitální věk, k tomu uvedla: „Zasluhujeme si, abychom se s výrobky, které kupujeme na jednotném trhu, cítili v bezpečí. Stejně jako dnes důvěřujeme hračce či ledničce s označením CE, budeme díky aktu o kybernetické odolnosti moci mít jistotu, že připojené výrobky a software, které si pořizujeme, jsou dostatečně chráněny z hlediska kybernetické bezpečnosti. Akt přenese odpovědnost tam, kam patří, tedy na ty, kdo takové výrobky uvádějí na trh.“
Margaritis Schinas, místopředseda odpovědný za podporu evropského způsobu života, podotkl: „Akt o kybernetické odolnosti je naší odpovědí na moderní bezpečnostní hrozby, které jsou dnes v naší digitální společnosti všudypřítomné. EU jako jedna z prvních vytvořila kybernetickobezpečnostní ekosystém opírající se o pravidla pro kritickou infrastrukturu, pro připravenost a reakce v oblasti kybernetické bezpečnosti a pro certifikaci kyberneticky bezpečných výrobků. Dnes budování tohoto ekosystému završujeme legislativním aktem, který přináší bezpečnost do všech našich domovů, do všech našich podniků a do všech vzájemně propojených výrobků. Kybernetická bezpečnost je tak nyní věcí, kterou řeší společnost, nikoli průmyslové odvětví.“
Komisař pro vnitřní trh Thierry Breton k tomu dodal: „Pokud jde o kybernetickou bezpečnost, Evropa je pouze tak silná jako její nejslabší článek, ať už jde o zranitelný členský stát nebo o nebezpečný výrobek v dodavatelském řetězci. Počítače, telefony, domácí spotřebiče, virtuální asistenční zařízení, automobily, hračky... každý z těchto stovek milionů připojených výrobků je potenciálním cílem kybernetického útoku. A přesto se zatím na většinu hardwarových a softwarových výrobků nevztahují žádné povinnosti v oblasti kybernetické bezpečnosti. Zapracováním kybernetické bezpečnosti již do návrhu výrobků pomůže akt o kybernetické odolnosti ochránit evropské hospodářství a naši kolektivní bezpečnost.“
Útoky ransomware postihují organizace po celém světě každých 11 sekund a celosvětové roční náklady spojené s kyberkriminalitou dosáhly v roce 2021 odhadem 5,5 bilionu eur (zpráva Společného výzkumného střediska (2020): „Kybernetická bezpečnost – naše digitální opora; evropská perspektiva“). Je proto důležitější než kdy jindy zajistit vysokou úroveň kybernetické bezpečnosti a snížit zranitelnost digitálních výrobků, což je jeden z předpokladů úspěšného kyberútoku. S tím, jak inteligentních a propojených produktů neustále přibývá, může mít kybernetickobezpečnostní incident u jednoho výrobku dopad na celý dodavatelský řetězec. To pak může vést k vážnému narušení hospodářských a společenských činností, oslabit bezpečnost nebo dokonce ohrozit život.
Dnes navržená opatření vycházejí z nového legislativního rámce pro právní předpisy EU o výrobcích a stanoví:
a) pravidla pro uvádění výrobků s digitálními prvky na trh, která mají zajistit jejich kybernetickou bezpečnost;
b) základní požadavky na návrh, vývoj a výrobu výrobků s digitálními prvky a povinnosti hospodářských subjektů ve vztahu k těmto výrobkům;
c) základní požadavky na procesy řešení zranitelností zavedené výrobci s cílem zajistit kybernetickou bezpečnost výrobků s digitálními prvky během celého jejich životního cyklu a povinnosti hospodářských subjektů ve vztahu k těmto procesům. Výrobci budou rovněž muset aktivně hlásit případy zneužití zranitelností a incidenty;
d) pravidla dozoru nad trhem a jejich vymáhání.
Nová pravidla přesunou odpovědnost na výrobce, kteří budou muset zajistit soulad výrobků s digitálními prvky, jež jsou dodávány na trh EU, s bezpečnostními požadavky. Budou tak přínosem pro spotřebitele a občany, ale i pro podniky používající digitální výrobky, neboť nejenže zvýší transparentnost bezpečnostních charakteristik výrobků a podpoří důvěru ve výrobky s digitálními prvky, ale také zaručí lepší ochranu jejich základních práv, jako je právo na soukromí a ochranu údajů.
Jelikož jurisdikce jinde ve světě se těmito otázkami teprve začínají zabývat, akt o kybernetické odolnosti se pravděpodobně stane mezinárodně uznávaným referenčním bodem nad rámec vnitřního trhu EU. Evropské normy vycházející z aktu o kybernetické odolnosti, které usnadní jeho provádění, budou pro odvětví kybernetické bezpečnosti EU výhodou na světových trzích.
Navrhované nařízení se bude vztahovat na všechny výrobky, které jsou přímo nebo nepřímo připojeny k jinému zařízení nebo síti. Pro výrobky, u nichž jsou požadavky na kybernetickou bezpečnost stanoveny již ve stávajících předpisech EU, například zdravotnické prostředky, výrobky pro letecký průmysl nebo automobily, budou platit určité výjimky.
Další kroky
Návrh aktu o kybernetické odolnosti nyní posoudí Evropský parlament a Rada. Jakmile bude akt přijat, budou mít výrobci a členské státy dva roky na to, aby se novým požadavkům přizpůsobili. Výjimkou z tohoto pravidla bude povinnost výrobců hlásit aktivně zneužité zranitelnosti a incidenty. Ta by měla platit již jeden rok po vstupu aktu v platnost, neboť vyžaduje méně náročnou reorganizaci než ostatní nově zaváděné povinnosti. Komise bude akt o kybernetické odolnosti pravidelně přezkoumávat a bude podávat zprávy o jeho fungování.
Souvislosti
Kybernetická bezpečnost je jednou z hlavních priorit Komise a základním kamenem digitální a propojené Evropy. Nárůst kybernetických útoků během koronavirové krize ukázal, jak důležité je chránit nemocnice, výzkumná střediska a další infrastrukturu. Aby ekonomika a společnost EU obstály i v budoucnu, je potřeba v této oblasti přijmout důrazná opatření. Náklady spojené s narušením ochrany údajů činí podle odhadů nejméně 10 miliard eur ročně. Roční náklady spojené se škodlivými pokusy o narušení internetového provozu se pak odhadují na nejméně 65 miliard eur (zpráva o posouzení dopadů připojená k nařízení Komise v přenesené pravomoci, kterým se doplňuje směrnice o rádiových zařízeních).
Strategie kybernetické bezpečnosti představená v prosinci 2020 navrhuje začlenit kybernetickou bezpečnost do každého prvku dodavatelského řetězce a pokračovat v propojování činností a zdrojů EU ve všech čtyřech oblastech kybernetické bezpečnosti – vnitřní trh, vymáhání předpisů, diplomacie a obrana. Tato strategie vychází ze sdělení Formování digitální budoucnosti Evropy a ze Strategie bezpečnostní unie EU a opírá se o řadu legislativních aktů, opatření a iniciativ, které EU přijala s cílem posílit kapacity v oblasti kybernetické bezpečnosti a zajistit větší odolnost Evropy vůči kybernetickým útokům.
Nový akt o kybernetické odolnosti doplní rámec EU pro kybernetickou bezpečnost: směrnici o bezpečnosti sítí a informací, směrnici o opatřeních k zajištění vysoké společné úrovně kybernetické bezpečnosti v Unii (směrnice NIS 2), na níž se nedávno dohodly Evropský parlament a Rada, a akt EU o kybernetické bezpečnosti.
Další informace
Otázky a odpovědi: akt o kybernetické odolnosti
Informativní přehled o aktu o kybernetické odolnosti
Návrh aktu o kybernetické odolnosti
Informativní přehled o nové Strategii kybernetické bezpečnosti EU
Informativní přehled o návrhu směrnice o opatřeních k zajištění vysoké společné úrovně kybernetické bezpečnosti v Unii (směrnice NIS 2)
Informativní přehled o kybernetické bezpečnosti: Evropská služba pro vnější činnost
Otázky a odpovědi: nová Strategie kybernetické bezpečnosti EU a nová pravidla pro zvýšení odolnosti fyzických a digitálních kritických subjektů
Návrh směrnice o opatřeních k zajištění vysoké společné úrovně kybernetické bezpečnosti v Unii (směrnice NIS 2)
Návrh směrnice o odolnosti kritických subjektů
Podrobnosti
- Datum zveřejnění
- 15. září 2022