EU přijala nová pravidla, jejichž cílem je zvýšit úroveň zabezpečení všech připojených zařízení – s dopady na výrobce, dovozce i distributory.
Co je nařízení o kybernetické odolnosti
Nařízení o kybernetické odolnosti (Cyber Resilience Act, CRA) je nové nařízení Evropské unie zaměřené na zlepšení kybernetické bezpečnosti všech výrobků s digitálními síťovými prvky prodávaných v EU.
Stanovuje vůbec první celoevropské požadavky na kybernetickou bezpečnost připojených zařízení a softwaru. Harmonizuje stávající předpisy a zároveň doplňuje další, například NIS2, jejímž cílem je posílit kybernetickou bezpečnost v kritických odvětvích EU.
Hlavním cílem je chránit spotřebitele a podniky před výrobky s nedostatečnou kybernetickou bezpečností. Při nákupu připojených zařízení tak existuje větší jistota, že splňují standard, který pomáhá chránit před hrozbami.
Jaké jsou hlavní cíle nařízení o kybernetické odolnosti?
Hlavním, nikoli však jediným cílem CRA je zajistit, aby každý výrobek s digitálními prvky dodržoval zásady Secure by Design (bezpečnost již od návrhu).
A to od úplného počátku fáze návrhu a po celou dobu jeho životního cyklu. Regulátoři EU chtějí chránit zákazníky tím, že zajistí, aby žádné prodávané připojené zařízení nevystavovalo uživatele zvýšenému kybernetickému riziku.
Druhotným cílem je zvýšit transparentnost v oblasti zabezpečení a připojených zařízení. Výrobci musí poskytovat konkrétní informace, například:
- jak dlouho budou poskytovat bezpečnostní aktualizace,
- jak výrobek bezpečně nastavit a udržovat a
- jak identifikují, řeší a hlásí bezpečnostní zranitelnosti – jak uživatelům, tak příslušným orgánům.
Na koho a na co se nařízení o kybernetické odolnosti vztahuje?
Nařízení o kybernetické odolnosti má širokou působnost. Ačkoli se zjevně týká každého, kdo připojené zařízení vyrábí nebo prodává, existuje mnoho dalších článků dodavatelského řetězce, které mu musí věnovat pozornost.
Definice „výrobků s digitálními prvky“
Nařízení o kybernetické odolnosti definuje výrobek s digitálními prvky jako „softwarový nebo hardwarový výrobek a jeho řešení pro dálkové zpracování dat, včetně softwarových nebo hardwarových komponent uváděných na trh samostatně“.
Definováno je rovněž dálkové zpracování dat, které zahrnuje „takové, jehož absence by výrobku s digitálními prvky bránila ve výkonu některé z jeho funkcí“.
Do působnosti nařízení o kybernetické odolnosti spadá například síťová kamera. Výsledný hardware i software musí splňovat tyto standardy. Totéž však platí i pro veškeré operační systémy, knihovny třetích stran a vše ostatní, co zařízení a jeho používání tvoří.
Role výrobců, dovozců a distributorů
Široká působnost nařízení o kybernetické odolnosti znamená značný díl sdílené odpovědnosti. Výrobci musí zajistit, aby každá relevantní část jejich výrobku splňovala standardy kybernetické bezpečnosti, stejně jako u kterýchkoli jiných předpisů.
Dovozci a distributoři pak totéž vyžadují od výrobců. Celý ekosystém závisí na koordinaci a spolupráci napříč dodavatelským řetězcem, aby byly požadavky CRA splněny.
Klíčové výjimky z nařízení o kybernetické odolnosti
Z nařízení o kybernetické odolnosti existují některé výjimky, zejména nekomerční software s otevřeným zdrojovým kódem a zdravotnické prostředky. Uplatňují se zde však jiné předpisy o kybernetické bezpečnosti. Výrobci mají povinnost postupovat s náležitou péčí, pokud do svých výrobků integrují bezplatný open-source software.
Jaké jsou klíčové požadavky pro odvětví kamerových systémů?
Odvětví kamerových systémů má povinnost dodávat výrobky, které splňují standardy kybernetické bezpečnosti. Nejenže poskytuje připojený hardware, jenž by při nedostatečném zabezpečení představoval riziko. Zároveň zaznamenává data, která je třeba uchovávat v bezpečí.
Provedení posouzení kybernetických rizik
U každého výrobku se vyžaduje posouzení kybernetických rizik. Výsledek tohoto posouzení se poté zohledňuje po celou dobu životního cyklu výrobku, od plánování a návrhu až po údržbu.
Posouzení rizik musí být zdokumentováno a aktualizováno a musí odkazovat na požadavky nařízení o kybernetické odolnosti tam, kde se uplatní. Od výrobců se očekává, že zdokumentují všechny relevantní aspekty kybernetické bezpečnosti svých výrobků a zaznamenají veškeré zranitelnosti, které objeví nebo o nichž vědí.
Zajištění bezpečného návrhu a vývoje výrobku
Připojená zařízení je třeba navrhovat a vyvíjet s kybernetickou bezpečností zabudovanou od samého počátku. Tím vzniká zabezpečení již od návrhu a ve výchozím nastavení. EU chce, aby výrobky prodávané na jejích trzích byly bezpečné „ihned po vybalení“, a nevyžadovaly složité nastavování a konfiguraci. Vyžaduje rovněž, aby zůstaly bezpečné, jsou-li používány zamýšleným způsobem.
Skutečné Secure by Design zásadně spoléhá na hardwarový kořen důvěry (hardware root of trust, HRoT) a základní operační systém. Tímto operačním systémem je software běžící v zařízení.
Základní ochranu poskytuje hardwarově podložené zabezpečení, například bezpečné spouštění (secure boot) na systému na čipu (SoC) a využití bezpečnostního prvku (secure element) pro bezpečné ukládání klíčů. Operační systém na tomto základu staví a poskytuje zákazníkovi bezpečnostní funkce.
Tyto základní hardwarové ochrany často zajišťuje důvěryhodný ekosystém dodavatelů komponent a partnerů z oblasti polovodičů.
Hlášení aktivně zneužívaných zranitelností a incidentů
Pro hlášení zranitelností a bezpečnostních incidentů platí přísné lhůty. Včasné varování je nutné podat do 24 hodin od zjištění a úplné oznámení do 72 hodin.
Závěrečnou zprávu je nutné podat do 14 dnů od nápravného opatření u zneužitých zranitelností a do jednoho měsíce u závažných incidentů. Platforma pro hlášení bude k dispozici do 11. září 2026, kdy vstoupí v platnost oznamovací povinnosti.
Poskytování bezpečnostních aktualizací po celý životní cyklus výrobku
Bezpečnostní aktualizace musí být k dispozici po celou dobu životnosti výrobku a musí být zabudovány jako výchozí chování. Stejně jako se s relativní snadností aktualizuje operační systém notebooku či chytrého telefonu, musí se aktualizovat i digitální komponenty každého připojeného zařízení.
Nařízení stanovuje minimální dobu podpory bezpečnostních aktualizací nejméně pět let (s určitými výjimkami).
Vytvoření srozumitelné technické dokumentace a návodů k použití
Většina výrobců poskytuje nějakou formu technické dokumentace. Nyní je však právně vyžadována a je součástí dokladu o dodržení pravidel. Technická dokumentace musí obsahovat podrobnosti o posouzení kybernetických rizik a další náležitosti.
Požadavky na návod k použití zahrnují kontaktní údaje výrobce, podrobnosti o poskytované kybernetické podpoře a informace o tom, jak instalovat bezpečnostní aktualizace. Mělo by jít o „živé dokumenty“, které se podle potřeby aktualizují.
Jak Axis plní požadavky nařízení o kybernetické odolnosti
Axis je na základní požadavky CRA dobře připraven – a má ambici je překonat. Je důležité úzce spolupracovat s partnery, jako je společnost NXP Semiconductors, která dodává bezpečnostní prvky EdgeLock® certifikované podle FIPS a Common Criteria, aby distributoři i koncoví zákazníci měli jistotu, že výrobky jsou v souladu s předpisy:
- Model bezpečného vývoje Axis (Security Development Model, SDM) zabudovává zabezpečení do celého životního cyklu softwaru, od úvodního modelování hrozeb a penetračního testování před vydáním až po průběžnou správu zranitelností a program bug bounty po vydání. To zajišťuje proaktivní a soustavný přístup k bezpečnosti softwaru.
- Spolupráce s NXP podporuje integraci hardwarových bezpečnostních funkcí. Ta zahrnuje využití důvěryhodných a certifikovaných bezpečnostních prvků EdgeLock. Pomáhá vytvořit hardwarový kořen důvěry v zařízeních Axis a umožňuje řešit bezpečnostní aspekty již od nejranějších fází návrhu.
- Axis je CNA (CVE Numbering Authority) s oprávněním přidělovat identifikátory CVE pro zranitelnosti. Činí tak prostřednictvím webu CVE, vlastního webu a e-mailů odběratelům, čímž zajišťuje, aby byli všichni uživatelé na rizika upozorněni co nejdříve.
- Software pro správu zařízení Axis poskytuje oznámení o bezpečnostních aktualizacích a možnost automatické či ruční aktualizace systému AXIS OS v případě potřeby na stovkách zařízení. Data ukončení softwarové podpory jsou snadno dostupná.
- Pro většinu výrobků založených na AXIS OS, síťových videorekordérů i pro většinu softwaru Axis pro správu videa a zařízení jsou k dispozici seznamy SBOM.
- Další podrobnosti naleznete v prohlášení společnosti Axis Communications k nařízení EU o kybernetické odolnosti.
Jaký je harmonogram nařízení o kybernetické odolnosti?
Plné vymáhání nařízení o kybernetické odolnosti začíná 11. prosince 2027. Od té doby musí být všechny hardwarové a softwarové výrobky na trhu EU plně v souladu s předpisy a nést označení CE. U výrobků, které se již vyvíjejí, je zásadní včasná příprava.
Je však třeba mít na paměti důležitá data. Dne 11. června 2026 začne platit rámec pro oznamování subjektů posuzování shody. To je důležité pro výrobky spadající do kategorie „důležité“ nebo „kritické“, které vyžadují posouzení třetí stranou.
Šířeji se uplatní 11. září 2026, kdy nabývají účinnosti oznamovací povinnosti. Výrobci musí po tomto dni začít hlásit aktivně zneužívané zranitelnosti.
CRA se bude vztahovat na všechny výrobky uvedené na trh poté, co nařízení nabude použitelnosti, i když byly navrženy a vyvinuty před jeho vstupem v účinnost.
Jaké jsou sankce za nedodržení?
Sankce za nedodržení jsou přísné a mají motivovat podniky všech velikostí k dodržování pravidel. Nejvyšší možnou pokutou je až 15 milionů eur, nebo 2,5 % celkového celosvětového ročního obratu za předchozí účetní období, podle toho, která hodnota je vyšší.
Ta je vyhrazena pro nedodržení základních požadavků na kybernetickou bezpečnost. Za porušení, jako je selhání při řešení zranitelností nebo poskytnutí neúplných či nesprávných informací v reakci na žádost, se uplatní nižší, avšak stále významné pokuty.
Dodržování nařízení o kybernetické odolnosti není dobrovolné
I pro výrobce, kteří usilovně pracují na tom, aby jejich výrobky byly a zůstaly bezpečné, zavádí CRA přísná pravidla, jak to dokumentovat a prokazovat – regulátorům, zákazníkům i distributorům.
Nová pravidla posilují potřebu zabezpečení již od návrhu, zabudovaného do každého rozhodnutí učiněného při tvorbě výrobku. Znamená to, že dlouhodobá bezpečnostní připravenost závisí na rozhodnutích o návrhu učiněných roky před nasazením – nelze ji doplnit dodatečně ani „záplatovat“.
Existuje také otázka přístupu a důvěry. Vzhledem k tomu, že dodržování předpisů závisí na různých článcích dodavatelského řetězce, je zřejmá potřeba, aby podniky předpisy dodržovaly a navzájem se tak chránily. Zákazníci navíc spíše dají důvěru poskytovatelům a výrobcům s čistým štítem.
To zdůrazňuje význam úzké spolupráce v celém hodnotovém řetězci, od dodavatelů komponent po výrobce zařízení, s cílem podpořit dlouhodobou kybernetickou připravenost.
Pokud jde o úzkou spolupráci mezi NXP Semiconductors a Axis Communications, poslechněte si nově vydaný podcast s podrobnou odbornou diskusí o CRA.