Cyber Resilience Act

Nová éra kybernetické bezpečnosti v EU - Cyber Resilience Act

Akt o kybernetické odolnosti (Cyber Resilience Act) je nařízením Evropské unie, jehož cílem je posílit kybernetickou bezpečnost produktů obsahujících digitální prvky. Nařízení bylo přijato dne 23. října 2024, vyhlášeno v Úředním věstníku EU dne 20. listopadu 2024 a vstoupilo v platnost 10. prosince 2024, tedy dvacet dní po vyhlášení. Jde o první evropský zákon, který stanovuje komplexní požadavky na kybernetickou bezpečnost produktů s digitálními prvky prodávaných v EU. Doplňuje stávající legislativu, jako je GDPR nebo směrnice NIS2, a zajišťuje, aby všechny digitální produkty splňovaly odpovídající bezpečnostní standardy

European Cyber ​​Resilience Act je právní rámec, který popisuje požadavky na kybernetickou bezpečnost pro hardwarové a softwarové produkty s digitálními prvky uváděné na trh Evropské unie. Výrobci jsou nyní povinni brát bezpečnost vážně po celou dobu životního cyklu produktu.

Digitální hardwarové a softwarové produkty představují jednu z hlavních cest pro úspěšné kybernetické útoky. V propojeném prostředí může kybernetický bezpečnostní incident v jednom produktu ovlivnit celou organizaci nebo celý dodavatelský řetězec a často se během několika minut rozšíří přes hranice vnitřního trhu.

Kybernetická bezpečnost těchto produktů má obzvláště silný přeshraniční rozměr, protože produkty vyrobené v jedné zemi často používají organizace a spotřebitelé na celém vnitřním trhu.

Řeší se dva hlavní problémy:

1. Nízká úroveň kybernetické bezpečnosti produktů s digitálními prvky, projevující se rozšířenými zranitelnostmi a nedostatečným a nekonzistentním poskytováním bezpečnostních aktualizací k jejich řešení.

2. Nedostatečné porozumění a přístup k informacím ze strany uživatelů, které jim brání ve výběru produktů s odpovídajícími vlastnostmi kybernetické bezpečnosti nebo jejich používání bezpečným způsobem.

Za určitých podmínek mohou všechny produkty s digitálními prvky integrovanými nebo připojenými k většímu elektronickému informačnímu systému sloužit jako vektor útoku pro útočníky.

Výsledkem je, že i hardware a software, které jsou považovány za méně kritické, mohou usnadnit počáteční kompromitaci zařízení nebo sítě a umožnit zlomyslným aktérům získat privilegovaný přístup k systému nebo se pohybovat napříč systémy.

Příklady produktů s digitálními prvky

• Koncová zařízení

- notebooky
- smartphony
- senzory a kamery
- chytré roboty
- smart karty
- chytré měřiče
- mobilní zařízení
- chytré reproduktory
- routery
- switche
- průmyslové řídicí systémy.

• Software

- firmware
- operační systémy
- mobilní aplikace
- desktopové aplikace
- videohry

• Komponenty (hardwarové i softwarové)

- počítačové procesorové jednotky
- grafické karty
- softwarové knihovny

Příklady kybernetických útoků, zneužívání bezpečnosti produktů s digitálními prvky

- Spyware Pegasus, který zneužíval zranitelnosti v mobilních telefonech.

- Ransomware WannaCry, který zneužil zranitelnost systému Windows, která postihla počítače ve 150 zemích.

- Útok na dodavatelský řetězec Kaseya VSA, který použil software pro správu sítě k útoku na více než 1000 společností.

10. října 2024 – Rada přijala Evropský zákon o kybernetické odolnosti (CRA)

Rada přijala nový zákon o požadavcích na kybernetickou bezpečnost pro produkty s digitálními prvky s cílem zajistit, aby produkty, jako jsou připojené domácí kamery, ledničky, televizory a hračky, byly před uvedením na trh bezpečné.

Nové nařízení si klade za cíl zaplnit mezery, vyjasnit souvislosti a učinit stávající legislativní rámec kybernetické bezpečnosti soudržnějším a zajistit, aby produkty s digitálními součástmi, například produkty „internet věcí“ (IoT), byly zabezpečeny v celém dodavatelském řetězci a po celý jejich životní cyklus.

Další krok:

Zákon podepíší předsedové Rady a Evropského parlamentu a v příštích týdnech bude zveřejněn v oficiálním věstníku EU. Nové nařízení vstoupí v platnost dvacet dní po tomto zveřejnění a použije se 36 měsíců po svém vstupu v platnost, přičemž některá ustanovení se použijí dříve.

Byly stanoveny čtyři konkrétní cíle:

1. Zajistit, aby výrobci zlepšili zabezpečení produktů s digitálními prvky již od fáze návrhu a vývoje a během celého životního cyklu;
2. Zajistit soudržný rámec kybernetické bezpečnosti, který výrobcům hardwaru a softwaru usnadní dodržování předpisů;
3. Zvýšit transparentnost bezpečnostních vlastností produktů s digitálními prvky a
4. Umožněte podnikům a spotřebitelům bezpečně používat produkty s digitálními prvky.

Nařízení stanovuje:

- Povinné bezpečnostní požadavky pro výrobce

- Proces posuzování shody 

- Povinnosti týkající se oznamování zranitelností 

- Pravidla pro uvádění produktů na trh 

- Požadavky na dokumentaci a transparentnost

 Dopad na průmysl CRA se vztahuje na širokou škálu produktů, od IoT zařízení přes software až po průmyslové systémy.

 Výrobci budou muset: 

- Implementovat bezpečnostní opatření již ve fázi návrhu 

- Poskytovat bezpečnostní aktualizace 

- Dokumentovat bezpečnostní vlastnosti produktů

- Hlásit bezpečnostní incidenty 

Sankce a vymáhání

za porušení nařízení hrozí významné sankce:

- Až 15 milionů EUR nebo 2,5 % celkového ročního obratu

- Zákaz uvádění nevyhovujících produktů na trh EU

- Povinnost stažení nebezpečných produktů 

Časový harmonogram 

CRA vstoupíl v platnost v roce 2024, s přechodným obdobím: 

- 24 měsíců pro většinu ustanovení

- 36 měsíců pro povinnosti hlášení incidentů 

Máte-li zájem o bližší informace o našem portfoliu zahrnujícím celou paletu řešení této problematiky neváhejte nás kontaktovat nabízíme bezplatnou online konzultaci.