[Partnerský rozhovor] Od letošního září začnou platit první povinnosti vyplývající z evropského nařízení o kybernetické odolnosti (Cyber Resilience Act, CRA, EU 2024/2847). Dotknou se všech výrobců či dovozců hardwaru s digitálními prvky nebo vývojářů softwaru působících na evropském trhu.
Co všechno nařízení změní? Co musí firmy splňovat? A jak se na start nové regulace připravit? O to jsme mluvili s právničkou a expertkou na kybernetickou bezpečnost Michaelou Holíkovou z advokátní kanceláře ROWAN LEGAL, která je partnerem dnešního vydání podcastu Lupa.cz.
Rozhovor si můžete poslechnout ve formě podcastu na svých oblíbených podcastových službách nebo přímo zde:
Níže vám nabízíme také přepis podcastového rozhovoru do textu:
Nařízení o kybernetické odolnosti patří do rodiny evropských nařízení, která se týkají kybernetické bezpečnosti. Nejvíc se píše samozřejmě o NIS2, ale nařízení Cyber Resilience Act, známé pod zkratkou CRA, se v titulcích ani v médiích tolik nevyskytuje. Čím to je? Máte pro to nějaké vysvětlení?
Máme a je to vlastně celkem nabíledni. Myslím, že asi nebude překvapením, že si většinu mediálního prostoru ukradla NIS2, potažmo její vnitrostátní implementace, zákon o kybernetické bezpečnosti. Nařízení CRA je přitom s námi vlastně i o něco déle. Znali jsme ho už od stádia návrhu, v účinnost vešlo v roce 2024, nicméně mediální pozornost si vzala NIS2. Pro většinu odvětví CRA prostě nebylo téma.
Na druhou stranu, v energetickém sektoru, kde jsem dřív pracovala, jsme vývoj CRA sledovali už velmi dlouho, protože se mimo jiné dotkne elektroměrů a dalších zařízení v rámci sítě. Takže to nařízení není úplně neznámé, ale pořád platí spíš za takovou nišovou oblast.
Pojďme ho tedy představit těm, kteří ho neznají. Čeho se týká a jaké změny má na evropském trhu přinést?
Nařízení upravuje kybernetickou odolnost produktů s digitálními prvky. NIS2 reguluje procesy a poskytované služby, ale samo o sobě nezajistí bezpečnost produktů na evropském trhu. Za tímto účelem tady máme právě nařízení CRA, které říká, že všechny produkty na trhu Evropské unie, které mají digitální prvek – to znamená nějaké digitální rozhraní, někam se připojují – musí být bezpečné. Nereguluje tedy proces nebo bezpečnost nějaké společnosti, ale bezpečnost daného produktu.
Předpokládám, že jde hlavně o kybernetickou bezpečnost. Bezpečnost produktů z hlediska toho, aby nezačaly hořet nebo něco podobného, upravují jiné zákony a jiné regulace.
Je to přesně tak. Jde vlastně o změnu paradigmatu. Bezpečnost produktů v tom smyslu, aby nám něco nevybuchlo v kapse a podobně, je dlouhodobě zajišťovaná nařízením o obecné bezpečnosti výrobků. Toto nařízení také doznalo aktualizace a zároveň tady máme i CRA, které doplňuje, že standardem každého výrobku s digitálním prvkem je i kybernetická bezpečnost.
Můžeme se na to podívat i jako na regulaci, která směřuje k ochraně spotřebitelů na evropském trhu. Kybernetická bezpečnost jako disciplína sama o sobě totiž není úplně každodenním tématem. Mobil si většinou vybíráme spíš podle toho, jak se nám líbí, jak se nám drží v ruce a jestli je to ten typ, který jsem zvyklá používat, než abych se zabývala tím, jestli je bezpečný a jestli výrobce dostatečně spravuje zranitelnosti. Jde tedy i o vytvoření systému důvěry – abychom se mohli spolehnout, že daný výrobek s digitálním prvkem je bezpečný.
Použila jsem příklad mobilu, ale typově dopadá i na různé dětské chůvičky nebo dětské hračky, které se zase někam připojují, můžeme do nich dětem nahrát pohádky nebo mají třeba i kameru. Jsou to výrobky každodenní spotřeby. A potom samozřejmě jde o software a další věci.
Takže nejde jen o výrobky, ale i o aplikace, které používáme nebo které jsou ve výrobcích nahrané?
Přesně tak. CRA operuje s tím, že produkt je jak hardware, tak software. Hardware je pro nás lehce představitelný, ale musíme myslet na to, že jde i o software. Ve chvíli, kdy si do svého telefonu stahuji aplikace, aby fungoval tak, jak si přeju, bude každý z výrobců aplikace považován za výrobce. A i samotná aplikace, která se stahuje do mého zařízení, je považována za výrobek, takže musí naplňovat nařízení CRA.
Digitální rozhraní, čip nebo něco podobného najdeme dnes opravdu skoro všude. Vztahuje se to nařízení třeba i na pračky, které se umějí připojit a nějak digitálně řídit svůj provoz, nebo na chytré hodinky, prsteny s čipem a podobné věci? Je tam nějaká hranice, čeho se ještě týká a čeho ne? Napadají mě i automobily, které jsou dnes spíš takové „počítače na čtyřech kolech.“
Začnu u automobilů, protože ty jsou z působnosti nařízení CRA vyňaty. Bezpečnostní normy v rámci automotive jsou dané homologačními normami a nařízení CRA vyloženě obsahuje seznam výrobků a odvětví, které jsou z jeho působnosti vyňaty.
A teď k začátku vaší otázky, jestli někde existuje červená linka, kterou bychom mohli kolem produktu narýsovat, abychom si odpověděli, zda se u něj musíme CRA zabývat. V zásadě produkt s digitálním prvkem je každý produkt, který se někam připojuje. Takže ano, hodinky, prsteny, pračky…
U praček se na chvilku zastavím, jsem známá tím, že tenhle spotřebič většinou nestíhám doma obsluhovat (smích). Máme chytrou pračku, ke které patří i aplikace. A je potřeba si uvědomit, že ta aplikace je sama o sobě taky produktem s digitálním prvkem. To znamená, že kdybych byla výrobcem, který na trh EU dováží pračku s nějakým rozhraním, někam se připojuje a uživatelé pak vidí data v telefonu, musím myslet na to, že požadavky nařízení CRA musí splňovat jak ta pračka, tak ta aplikace. (Otázku dovozce nechme stranou, ta je složitější.)
Potom je otázka, jestli je potřeba nařízení aplikovat i na rozhraní, které je v back-endu. A tady je pračka dobrý příklad. CRA nereguluje služby jako takové, protože ty pokrývá NIS2. Takže většina SaaS služeb nám z působnosti nařízení vypadne. Nicméně ve chvíli, kdy back-end potřebuji k tomu, aby produkt plnil svoji podstatnou funkci, „nakazí" produkt tu SaaS službu, a i u ní se pak musím zabývat veškerými požadavky, které CRA stanovuje.
Zkusím dát další příklad z domácnosti. Když si koupíte motorovou pilu, je to produkt, který je víceméně offline. Nikam se nepřipojuje, prostě vidím, kdy potřebuji dotáhnout řetěz nebo ji vyčistit, a hotovo. Ve chvíli, kdy si koupím chytrou zahradní sekačku, která má cloudové rozhraní – a možná službu běžící v back-endu potřebuje k tomu, aby vůbec zahradu posekala, protože mám třeba velkou zahradu, stahuji data z GPS a tak dále – tam už tu úvahu udělat musím.
Pokud se sekačka nikam nepřipojuje, všechno mám nahrané v ní, můžu tam mít i nějaký AI vzorek, který mi naskenuje zahradu a sekačka si vypočítá trasu, je mi to jedno, neřeším to. Ale ve chvíli, kdy komunikuje s nějakou SaaS službou – což bude asi případ, kdy ji můžu spustit přes mobil, možná i zapnout kameru, abych viděl, kudy sekačka zrovna jede – i ta SaaS služba musí naplňovat požadavky CRA.
A co různé chytré měřáky energií, které se připojují přes mobilní síť a posílají data? Nebo systém, který řídí domácí vytápění a můžu ho nastavovat přes internet? Předpokládám, že také budou spadat pod CRA.
Přesně tak. V CRA jde primárně o větší ochranu spotřebitelů. Cílem je, aby se spotřebitelé na evropském trhu mohli lépe spolehnout na to, že výrobky jsou a priori bezpečné. A že nemusíte vyvíjet nějakou, na typického spotřebitele až nadstandardní péči v oblasti kybernetické bezpečnosti, abyste si zajistil, že tam nejsou nějaké známé zranitelnosti a podobně.
Chtěl jsem se původně zeptat, proč tahle nová regulace vznikla a k čemu má sloužit. Ale je pravda, že případů, kdy byly domácí přístroje nedostatečně zabezpečené – mluvila jste o chůvičkách, domácích kamerách – je velká spousta a dost se o nich píše. Předpokládám, že důvodem vzniku tohoto nařízení bylo, aby k těmto incidentům, pokud možno, nedocházelo.
Ano, a myslím si, že je to zejména kvůli incidentům, které jsou způsobené zranitelnostmi v produktech. Co se týče domácího užití, tam je to pro nás celkem dobře představitelné. Když se ale podíváme na software a další řešení třeba i v B2B nebo B2G oblasti, tak tam na základě dosavadní úpravy, NIS1 a teď NIS2, vznikal jakýsi slepý úhel.
Mohl jsem mít perfektně vyladěnou dokumentaci, mohl jsem mít nastavené procesy, ale ve chvíli, kdy používám hardware či software, který v sobě defaultně obsahuje zranitelnosti a výrobce za to neodpovídá, můžu mít systém řízení kybernetické bezpečnosti nastavený sebelíp, ale stejně to možná nakonec neuřídím. V samotných produktech s digitálními prvky se totiž objevovaly díry.
Řekli jsme si, čeho se nařízení CRA týká. Ale koho se týká?
Nařízení kategorizuje subjekty do tří hlavních kategorií: výrobce produktů s digitálním prvkem, dovozce a distributor. Na dovozce a distributora dopadá omezený set povinností – víceméně kontrolují, že výrobce splnil veškeré povinnosti, které měl. Zároveň ale nařízení v určitých případech presumuje i jakousi fikci výrobce. To znamená, že výrobce není jen ten, kdo daný hardware nebo software opravdu vyrábí, ale za výrobce se považuje i ten, kdo ho svým jménem uvádí na trh.
Vezmu si tady na příklad aplikaci v telefonu. Je možné, že máte aplikaci své banky, aplikaci své zdravotní pojišťovny, aplikaci vašeho distributora elektrické energie, anebo máte auto – dnes už má každá značka také svoji aplikaci. A ve chvíli, kdy je aplikace distribuovaná pod jménem daného subjektu, tak se ten subjekt považuje za výrobce, i kdyby si celou aplikaci nechal outsourcovat.
Tady už se trošičku dostáváme k tomu, jak vůbec do compliance s CRA vstoupit: zmapovat si, co kde mám a koho k tomu využívám. Ve chvíli, kdy vím, že mi celou aplikaci vytváří nějaký dodavatel, potřebuji si především smluvně pohlídat, že na toho dodavatele přenesu všechny povinnosti, které musím plnit já jako výrobce, abych pak mohl klidně spát.
Stačí si tedy zařídit, že všichni dodavatelé dají tzv. papírově souhlas, že všechno zabezpečili a že nemají žádné bezpečnostní díry? Přijde mi, že to se v IT světě ani zaručit nedá. Nebo mají i jiné povinnosti? A jaké tedy?
Bohužel to není jenom papírové cvičení. V první řadě by si výrobci měli udělat jakousi analýzu, aby vůbec zjistili, jestli a jaké produkty s digitálními prvky poskytují, vyrábějí nebo nějakým způsobem uvádějí na trh. Určitě je důležité zmapovat si současný stav, abych věděl, co mě potom čeká. Nejde jenom o zasmluvnění dodavatelů, ale i o dalších povinnostech, které se s tím pojí.
Udělám teď úkrok stranou, než začneme strašit všemi povinnostmi. Pojďme si říct něco o účinnosti nařízení. Ono totiž dopadá v plné síle na produkty s digitálním prvkem, které budou uvedeny na trh EU až po 11. prosinci 2027. A když mám nějaký výrobek, který už dnes distribuuji, neznamená to, že se mi na něj retroaktivně „navalí“ veškeré povinnosti z nařízení.
Zároveň je ale dobré na CRA už myslet. Pokud plánuji rozvoj, novou aplikaci nebo nějakou takzvaně podstatnou změnu produktu s digitálním prvkem, která bude uvedena na trh až po tom rozhodném datu 11. prosince 2027, tak v tu chvíli už potřebuji dosáhnout plné compliance s nařízením. A pokud to teď začínám připravovat, už na tom musím „vyšívat".
Ale některé části nařízení mají platit už od září letošního roku. O co tam půjde, když ta hlavní část je účinná až od konce roku 2027?
Nařízení má takzvaně dělenou účinnost, jak říkáme my právníci. Od září letošního roku vchází v účinnost povinnost hlásit zranitelnosti a hlásit závažné kybernetické bezpečnostní incidenty. Abych jako výrobce byla schopná téhle povinnosti dostát, je jasné, že už potřebuji mít zavedené základní procesy, které mi s tou povinností pomůžou. Potřebuji mít zavedený nějaký monitoring, incident handling, vulnerability disclosure procesy a tak dále. S částí CRA je potřeba se začít vypořádávat už teď. Nicméně to neznamená, že už v září musím mít v provozu 100 % toho, co po mně CRA vyžaduje.
Některé evropské regulace mají různé úrovně povinnosti podle toho, jak je firma velká. Platí to i u CRA?
U CRA nás tolik nezajímá velikost firmy jako kritičnost produktu s digitálními prvky. CRA mluví o třech kategoriích, plus je tam taková čtvrtá, která není úplně vyřčená.
Máme za to, že nějakých 96 % produktů s digitálními prvky na trhu spadne do takzvané běžné kategorie. To je kategorie produktů, která nemá žádné specifické povinnosti nad rámec toho, že by měla být v souladu s přílohou 1. Tu pro zjednodušení přirovnávám třeba k vyhlášce o kybernetické bezpečnosti. Dává totiž seznam základních požadavků na kybernetickou bezpečnost produktu.
Dále nařízení stanovuje takzvaně důležitou kategorii produktů s digitálními prvky, kterou ještě dělí na první a druhou třídu. A potom tam máme kritické produkty, kam mimo jiné patří Smart Meter Gateway, což je celé určitý systém v rámci energetického sektoru. Platí tady otázka, která mně osobně přijde extrémně zajímavá, do jaké míry vůbec máme Smart Meter Gateway na území České republiky. Ale to je na jinou diskuzi (smích).
Takže když to shrnu: CRA nestanovuje povinnosti podle toho, jak je společnost velká, ale podle toho, jaký produkt dodává na trh nebo vyrábí.
Můžete zase říct konkrétní příklady, abych si dovedl představit, co jsou běžné výrobky a co jsou pak ty v kategorii jedna a dvě? A jak se to vlastně rozlišuje?
Seznam výrobků najdete v příloze nařízení, plus je ještě upřesňuje prováděcí nařízení Komise. Ale ať si dáme nějaký příklad: co se týče těch základních produktů, tam by nám spadla ta sekačka, jak jsem o ní mluvila.
Ve chvíli, kdy se podíváme do kategorie důležitých produktů, jsou to produkty, které vyžadují vyšší standard kybernetické bezpečnosti. Často jde o softwarové produkty, různé hypervizory, autentizační mechanismy, firewally – vlastně cokoliv, co v B2B segmentu potřebujete mít opravdu bezpečné. A v kritické kategorii jsou v tuhle chvíli kromě Smart Meter Gateway snad nějaké čipy nebo tokeny. Ve chvíli, kdy budete přemýšlet o tom, jestli se na vás nařízení CRA uplatní, určitě doporučuji podívat se do té přílohy.
Říkala jste, že firmy by si už teď měly udělat aspoň základní inventuru, jestli nějaká taková zařízení nebo software vyrábějí. A s tím se pak budou pojit nějaké další povinnosti v případě, že jako firma zjistím, že nějakou takovou věc vyrábím. Jaké pak mám jako výrobce povinnosti?
Pojďme se na to podívat prakticky. Ve chvíli, kdy už vím, že vyrábím produkt s digitálním prvkem, tak bych si k tomu měl dohrát i kategorii, ve které se můj produkt nachází. A následně si potřebuji interně nastavit proces pro posuzování podstatné změny.
Protože pokud budu i po roce 2027 stále dodávat na trh stejný produkt, bude mě pořád zajímat jenom hlášení incidentů a zranitelností. Ale ve chvíli, kdy produkt po datu plné účinnosti projde podstatnou změnou, aktivují se mi veškeré povinnosti.
Podstatná změna je v nařízení definovaná zejména změnou nějaké funkcionality, která souvisí s kybernetickou bezpečností produktu. A k tomu si potřebuji nastavit nějaký proces, schvalovací kritéria a tak dále. Ve chvíli, kdy vím, že se na produkt bude aplikovat plná palba nařízení, podívám se do přílohy číslo jedna a jdu po konkrétních povinnostech.
Z nich stojí za to vypíchnout řešení zranitelností, mít bezpečnost pokrytou v celém životním cyklu produktu, mít zmapovaný Software Bill of Materials, což má roztomilý český překlad: softwarový kusovník. A ten souvisí s dodavateli a s tím, že potřebuji vědět, co mám kde zakomponováno. A pro produkty, které jsou v důležité nebo kritické kategorii, přichází na řadu buď samoposouzení, anebo externí certifikace.
Co znamená to samoposouzení? Že já sám řeknu „ano, můj výrobek je zcela bezpečný, můžou ho všichni bez obav používat a žádný hacker se do něj nedostane"?
Je to něco podobného, ale nezaměřuje se tolik na produkt jako spíš na procesy, které jsou okolo něj. V dnešní době, i kvůli rozvoji AI, vidíme, jakou rychlostí přibývají objevené zranitelnosti. CRA negarantuje, že produkt, který uvádím na trh, je bez zranitelností. Garantuje mi ale to, že byl navržen a je provozován v souladu s tím, že ve chvíli, kdy se objeví nová zranitelnost, výrobce o ní bude vědět a okamžitě spustí proces, aby ji vyřešil. Aby v co nejrychlejší možné době zajistil patch nebo workaround a celkově vyvinul maximální úsilí směrem k tomu, aby ta zranitelnost byla mitigována.
Je v nařízení povinnost vydávat pravidelné updaty firmwaru nebo něčeho podobného, dělat to na nějaké pravidelné bázi, anebo se musí reagovat až na případné bezpečnostní incidenty?
Mám za to, že se musí primárně reagovat na bezpečnostní incident nebo zranitelnost. Nařízení není slepé v tom smyslu, že by řeklo „každé dva měsíce musíte vydávat update, protože jsme řekli, že to mají být dva měsíce". Škála produktů s digitálními prvky je velká a nároky jsou různé. Zároveň je potřeba si uvědomit, že v kontextu evropské regulace se CRA potkává s dalšími nařízeními – ať už je to obecná bezpečnost, přístupnost a podobně, takže zařízení může procházet i dalšími updaty, které budou vyvolány dalšími regulacemi.
Pozor si musíte obecně dávat na bezpečnostní aktualizace. U nich totiž vždy musím posoudit, jestli daná aktualizace nepředstavuje podstatnou změnu. Jestli nějakým způsobem nezasahuje do funkcionality tak, že mi produkt třeba i přeleze danou kategorii a už to není ten basic produkt, ke kterému vydám samoposouzení a označím ho značkou CE, ale kvůli nové funkcionalitě se z něj stává produkt z kategorie důležitý nebo kritický.
Kdy stačí to samoposouzení a kdy je potřeba, aby výrobek nebo software posoudil nějaký úřad nebo třetí strana?
Ta hranice se odvíjí od dané kategorie. Certifikace je určitě potřeba u kritických produktů a u důležitých produktů vyšší třídy. A ještě je tam taková zkratka. Možná všichni trochu tušíme, že proces přijímání schémat, oproti kterým bude certifikace probíhat, není úplně jednoduchý. Takže dokud certifikace není dostupná, je pořád na řadě samoposouzení.
Zmínila jste značku CE. To znamená, že od začátku roku 2028 budou výrobky budou označené značkou CE, včetně softwaru, který bude dostávat stejnou certifikaci?
Ano, zároveň si pojďme říct, že na většině zařízení už to označení CE vidíme, protože odkazuje na obecnou bezpečnost výrobků. Nově to ale bude znamenat i kybernetickou bezpečnost. Stejně to bude u softwaru, kde by ta značka taky měla být někde viditelně vystavena. CRA k tomu dává nějaké guideliny: reálně musí být umístěna viditelně tak, aby to bylo očekávané. Neznamená to, že to bude vodoznak na pozadí aplikace, ale například když si ji budu stahovat z App Storu, měla bych tam někde umístění CE najít, abych se mohla spolehnout, že aplikace je navržena v souladu s CRA.
A to i v případě softwaru, který je vyvíjen mimo Evropskou unii?
Pokud je zpřístupňován na trh Evropské unie, tak ano.
V případě vývoje softwaru dneska existuje fenomén umělé inteligence a tzv. vibe codingu, kdy aplikaci nebo její část vyvine nějaký velký jazykový model. Jak se to bude v rámci CRA? Zmiňovala jste ten softwarový kusovník, tedy seznam komponent, které software obsahuje – jak se v něm bude řešit AI?
Obecně se bude muset řešit v souladu s regulací umělé inteligence. Ale když zůstaneme u CRA, hlavně potřebuju vědět, že kus kódu vygenerovala umělá inteligence. Pojďme téma posunout obecněji, směrem k open source a ke kódu, který není udržovaný ve smyslu klasické správy. Spoustu knihoven mají například ve správě nějaká sdružení. CRA na to pamatuje. Říká: „Hele, my si uvědomujeme, že podstatná část softwaru závisí na knihovnách, které jsou nějakým způsobem volně dostupné." A přichází s konceptem, který má vybalancovat odpovědnost za bezpečnost s tím, že potřebujeme zachovat volnost ve využívání i v produkování open source.
Podstatným momentem je takzvané uvedení produktu s digitálním prvkem na trh. CRA přichází s tím, že když sdružení, skupina osob nebo kdokoliv vyvíjí a udržuje kód, tak pokud to nedělá za účelem komerčního využití, nepovažuje se to ve smyslu CRA za uvedení na trh. Na taková sdružení nebo jednotlivce tudíž plné povinnosti CRA nedopadají. Začnou se aktivovat až ve chvíli, kdy je kód zkomercializován a uveden na trh ve smyslu, že je nějakým způsobem využit k zisku.
Takže jestli tomu dobře rozumím: když si od začátku roku 2028 koupím nějaký software, který bude nově uvedený na trh, budu u něj někde mít seznam toho, jaké komponenty v něm jsou a jaké služby jsou do něj zahrnuty? Včetně třeba informace, že byl zčásti vibe-codovaný nějakým velkým jazykovým modelem? To prostě výrobci budou muset všechno uvádět?
CRA opravdu předepisuje seznam informací, které výrobci musí uvádět, takže byste je měl najít.
U každé regulace je zajímavá otázka sankcí. Jaké pokuty budou hrozit, pokud výrobci nebudou nařízení CRA dodržovat?
Určování výše sankcí je dlouhodobě inspirovaná nařízením GDPR. Nicméně když se podíváme na řetězec výrobce (včetně mimoevropského výrobce), dovozce na trh a distributor, tak nařízení CRA počítá s tím, že role dovozců a distributorů nebude úplně pasivní. Takže tam není jenom finanční sankce ve smyslu nějaké pokuty od dozorového orgánu, ale možná i citelnější sankce, kterou je zákaz další distribuce nebo zákaz dovozu daného produktu na evropský trh, dokud se neuvede v soulad.
Za co se budou případné sankce udělovat? Za to, že jsem neprovedl samozhodnocení, nezískal certifikát, neuvedl všechny informace a podobně? Nebo i za to, že se ve výrobku nebo softwaru objeví zranitelnost a způsobí lidem nějakou škodu, i když ji já jako výrobce posléze opravím?
Jednoduchá odpověď zní, že za tu druhou záležitost ne. Zároveň ale platí, že CRA má za cíl to, aby na trh Evropské unie nebyly dodávány výrobky se známými zranitelnostmi. Takže ve chvíli, kdy se mi zranitelnost objeví, a já dodržím procesy, jsem v souladu s nařízením, získal jsem třeba i certifikát, počítá nařízení s tím, že se stál objevují nové zranitelnosti a regulace si udržela jakýsi „selský rozum“. Sankce nepřichází v případě, kdy se objeví nová zranitelnost, ale v případě, kdy nenastartuji své procesy tak, abych ji zmitigoval, případně i zcela odstranil.
Počítá nařízení také s nějakou odpovědností uživatelů? Například když se jako zákazník, který si koupil chytrou sekačku, dozvím, že má zranitelnost a že na ni byl vydán patch, ale já si ji nenainstaluji a pak se mi něco stane – třeba mi s ní někdo odjede a bude ji řídit na dálku? Vymýšlím teď absurdní příklad, ale počítá CRA s odpovědností uživatele, že se o zařízení nebo software musí odpovídajícím způsobem starat?
Zkusím to trošku obrátit. Ve chvíli, kdy nařízení ukládá povinnosti výrobcům, dovozcům a distributorům, operuje s tím, že musí podchytit životní cyklus v rámci očekávaného použití daného výrobku. Takže ve chvíli, kdy bych výrobek používala k něčemu, k čemu se používat nemá, neměla by odpovědnost výrobce vlastně vůbec naskočit.
Kdy zůstaneme u té sekačky: kdybych si ji navíc připojila k nějakému softwaru, díky kterému by mohla sloužit třeba jako sledovací zařízení, a pak zjistím, že mi do zařízení „vlezla" cizí mocnost a sleduje všechno se mnou, tak v tu chvíli by výrobce neměl nést odpovědnost za to, že se to takhle celé zamotalo. Sekačka totiž nebyla použita k předvídanému účelu, který tam byl na začátku při uvedení výrobku na trh.
Říkala jste, že na staré výrobky se nařízení nevztahuje. Znamená to tedy, že když bude někdo prodávat sekačky, které vyrobil před prosincem 2027, tak se novým povinnostem vyhne – pokud tedy neuvede nový model? A obdobně u softwaru: když si koupím aplikaci, která byla vyvinuta před datem plné účinnosti, ani u té regulace platit nebude?
Je to tak. Nicméně nesmíme zapomenout na povinnosti, které budou platit už letos od září, což je tedy alespoň nějaký základní monitoring, patch management, vulnerability disclosure a incident handling.
A co když produkt vyrábím ještě před letošním zářím? Budu se na mě tyto povinnosti vztahovat, i když mám starší výrobek nebo starší software?
Ano, je to přesně tak. CRA nepůsobí retroaktivně. Má dělenou účinnost a říká, že od září 2026 bude každý výrobce produktu s digitálním prvkem ohlašovat kybernetické bezpečnostní incidenty spojené s daným produktem a zranitelnosti. A tady vůbec nezáleží na uvedení produktu na trh ani na nějakém pozdějším datu. Když už teď dodávám produkt s digitálním prvkem, musím zavést interní proces, abych byl schopen hlásit incidenty a zranitelnosti.
V rámci České republiky bude na plnění nařízení CRA bdít dohledový orgán. Pokud vím, měl by to být Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB). Vzhledem k tomu, že nařízení má aspoň zčásti platit už letos v září, můžeme se už na NÚKIB obracet a něco s ním řešit?
Čeká nás ještě přijetí adaptačního zákona, který v každém členském státě upřesňuje povinné náležitosti – mimo jiné právě dozorový orgán, sankce a podobně. V tuhle chvíli máme za to, že dozorovým orgánem v České republice bude NÚKIB. Zároveň prosakují informace, že adaptační zákon je ve stádiu sepsaného návrhu, takže všichni netrpělivě čekáme, až si ho budeme moct přečíst. A to je vše, co v tuhle chvíli k adaptaci víme.
Vy už v praxi nejspíš pracujete s firmami, které se na platnost nařízení připravují. Jaké největší zádrhele a problémy řeší a jaké nejčastější chyby podle vás dělají?
Co se týče toho, co by měly řešit, tak je to za mě opravdu ten pomyslný „úklid“: udělat si inventuru, zjistit, jestli dodávám na trh nebo vyrábím nějaký produkt s digitálním prvkem, a ideálně si ho rovnou zařadit do příslušných kategorií. Pokud produkt uvádím na trh už teď a stejně tak ho budu uvádět i po roce 2028, tak mě to nemusí úplně zajímat. Ale ve chvíli, kdy bych do produktu dostal podstatnou změnu, potřebuju vědět, na co mám být připravený.
S tím se pojí druhá část, o které jsem taky mluvila: stanovit si kritéria, která by znamenala podstatnou změnu. Proč je to důležité a proč tohle s klienty často řešíme? V tuto chvíli to vypadá, že uvedením na trh bude i výroba jednotlivého softwaru na zakázku. A tady potřebuju vědět, jestli se mi nějakým změnovým požadavkem klienta ten produkt nedostane do vyšší kategorie, případně vůbec do nějaké kategorie produktu s digitálním prvkem. Ve chvíli, kdy se mi tam dostane a zároveň na mě klient začne tlačit, aby byl v souladu s CRA, potřebuju to i odpovídajícím způsobem nacenit. Z toho důvodu určitě doporučuji nepřeskočit úvodní analýzu a zahrnout do ní i úvahy nad podstatnou změnou, ať jsem připravený.
Třetí věc, se kterou se potkáváme velmi často, je vypořádání se s fikcí výrobce: kdy už jsem výrobce a kdy ještě nejsem. Velmi úzce to souvisí s tím prvním krokem, ale i v tomhle doporučuji udělat si jasno, ať víte, jestli na vás při přeprodeji produktu dopadají pouze povinnosti dovozce, případně distributora, anebo budete v kontextu CRA považováni za výrobce a odpovědnost za nastavení povinností dopadne na vaši hlavu. U CRA opravdu doporučuji udělat si docela důslednou přípravu, abych pak nebyl překvapený.
A čtvrtá věc: ve chvíli, kdy subjekt vyhodnotí, že nějaký produkt s digitálním prvkem poskytuje, doporučuji podívat se o level níž: na to, z jakých komponent produkt skládá. Už jsme tom mluvili, je to jakýsi základ pro ten softwarový kusovník. Ale kromě toho, že mě zajímá, z jakých komponent se daný produkt skládá, je důležité i to, kdo je mým dodavatelem. Protože podobně jako u zákona o kybernetické bezpečnosti nás i v rámci CRA budou podstatným způsobem zajímat dodavatelské vztahy, nastavení přiměřených povinností a potom samozřejmě celková odpovědnost za jednotlivé požadavky, které nám CRA ukládá.
- Chcete mít Lupu bez bannerů?
- Chcete dostávat speciální týdenní newsletter o zákulisí českého internetu?
- Chcete mít k dispozici strojové přepisy podcastů?
- Chcete získat slevu 1 000 Kč na jednu z našich konferencí?
Staňte se naším podporovatelem
ČLÁNKY DO MAILU