Přísnější pravidla pro chytré výrobky: Česko zavádí akt o kyberbezpečnosti

Autoři | Foto Pixabay

Trh s připojenými zařízeními zažívá doslova exponenciální nárůst a odhaduje se, že do roku 2030 bude celosvětově propojeno neuvěřitelných 40 miliard přístrojů. S masivním rozvojem internetu věcí však úměrně rostou i bezpečnostní rizika. Chytré domácí spotřebiče, kamery či průmyslové senzory se kvůli slabému zabezpečení stávají častým terčem útoků. Dopady jsou přitom hrozivé – jen v Evropské unii totiž dosahují škody způsobené kybernetickými incidenty 180 až 290 miliard eur ročně.

Reakcí na tuto neudržitelnou situaci je návrh nového zákona o požadavcích na kybernetickou bezpečnost výrobků s digitálními prvky. Jeho prostřednictvím Ministerstvo průmyslu a obchodu do českého práva implementuje evropské nařízení o kybernetické odolnosti (CRA).

Co je to výrobek s digitálními prvky?

V praxi jde o jakékoliv softwarové nebo hardwarové výrobky a k nim přidružená řešení pro zpracování dat na dálku. Do této kategorie spadají i samotné softwarové nebo hardwarové komponenty, které se na trh uvádějí zcela samostatně.

Patří sem prvky chytré domácnosti (lednice, vysavače a další spotřebiče připojené k internetu), zabezpečovací a monitorovací technika (inteligentní dveřní zámky, poplašné systémy či chytré chůvičky), osobní elektronika pro zábavu (chytré hodinky, interaktivní hračky a mobilní telefony) a IT infrastruktura se softwarem (servery, routery, operační systémy a specifické průmyslové výrobky).

Nové povinnosti: Odpovědnost přechází na výrobce

Evropská unie usiluje především o to, aby státy dokázaly efektivně a plošně vynutit prodej výhradně bezpečných produktů. Ty musí být již od počátku vyvinuty podle principu „security by design“. Tento přístup zároveň definitivně sejme odpovědnost za vyhledávání a záplatování softwarových chyb z ramen koncových uživatelů a přenese ji přímo na výrobce a celý dodavatelský řetězec.

Z toho plynou zásadní procesní a technické změny pro kohokoliv, kdo digitální produkty v Česku vyrábí, dováží nebo distribuuje. Návrh především zavádí striktní povinnost garantovat bezpečnost po celou dobu životního cyklu produktu. Aby výrobci tato nová pravidla splnili, budou muset při prodeji povinně uvádět přesný měsíc a rok ukončení podpory a navíc se nevyhnou nutnosti pravidelně provádět posouzení rizik. Jakékoliv aktivně zneužívané zranitelnosti se pak musí neprodleně hlásit vládnímu týmu CERT (součást NÚKIB) a evropské kybernetické agentuře (ENISA) prostřednictvím jednotné platformy pro podávání zpráv. Novinkou s obrovským praktickým dopadem na trh je rovněž přísné nařízení týkající se jazyka: veškeré uživatelské pokyny, bezpečnostní informace a EU prohlášení o shodě musí být k dispozici v povinném českém jazyce. Výrobci a dovozci navíc musí přímo na výrobku, obalu nebo v průvodním dokumentu uvést v češtině i své kontaktní údaje.

Splnění těchto kritérií bude podmínkou pro udělení označení CE, bez kterého nebude možné výrobek vůbec uvést na trh. Z této plošné povinnosti jsou však výslovně vyjmuty specifické kategorie, jež podléhají vlastní legislativě. Patří sem například motorová vozidla, civilní letectví, lodní výstroj, zdravotnické prostředky nebo systémy vyvinuté výhradně pro obranu a národní bezpečnost.

Kdo si na trh posvítí

Výkon dozoru nad trhem bude nově rozdělen mezi 12 stávajících inspekčních orgánů. Hlavní agenda, která pokrývá přibližně 98 % trhu zahrnujícího software či spotřební elektroniku, připadne České obchodní inspekci (ČOI). Specifické segmenty pak budou kontrolovat další úřady, jako je například Český báňský úřad nebo Státní energetická inspekce. Z tohoto rozdělení kompetencí však existuje jedna výjimka – tou jsou vysoce rizikové systémy umělé inteligence – nad těmi totiž převezmou dohled speciální orgány podle nově chystaného zákona o umělé inteligenci.

Autor textu je zakladatel projektu Reguluju.

Hodnocení článku

Chceš mít přehled o tom, co se děje kolem tebe?

Štítky Česko, počítačová bezpečnost, Evropská unie, Česká obchodní inspekce, Ministerstvo průmyslu a obchodu České republiky, Národní úřad pro kybernetickou a informační bezpečnost, Evropská agentura pro bezpečnost sítí a informací, Český báňský úřad

Komentáře

Dan Kokora

Dan Kokora

EUroSojuz = šmírovací diktatura!

Dnes, 22:58Odpovědět

Přihlášení uživatele

Přihlásit se pomocí GoogleZaložením účtu souhlasím s obchodními podmínkami, etickým
kodexem
a rozumím zpracování osobních údajů dle poučení.

Zapomenuté heslo

Na zadanou e-mailovou adresu bude zaslán e-mail s odkazem na změnu hesla.

Pošli tip na kulturní akci

Publikace zaslané kulturní či sportovní akce není garantována a vždy o publikaci rozhoduje redakce.
Zasláním tipu do redakce zároveň deklaruji, že mám svolení s užitím fotografie.

* Soubor není povinné přikládat.
Napište první písmeno abecedy.

Odesláním formuláře souhlasím s obchodními podmínkami, etickým kodexem a rozumím zpracování osobních údajů dle poučení.

O jaký newsletter máte zájem?

Vyber jednu, nebo více možností a my se postaráme o to, aby do emailu přišly jen zprávy, které tě zajímají.

Napište první písmeno abecedy.