Kategorie produktů s digitálními prvky: Druhý díl seriálu
Mgr. Michaela Holíková
Milé posluchačky a milí posluchači, vítáme Vás u druhého dílu seriálu o nařízení o kybernetické odolnosti. V dnešním díle se podíváme blíže na obsah jednotlivých kategorií produktů s digitálními prvky.
Jako softwarový nebo hardwarový produkt se rozumí produkt s digitálními prvky a jeho řešení pro zpracování dat na dálku, včetně softwarových nebo hardwarových komponent, které jsou uváděny na trh samostatně. Produkt s digitálním prvkem je vlastně cokoliv, co se připojuje k jiným zařízením nebo sítím.
Rozdělení kategorie produktů s digitálními prvky
Nařízení rozděluje produkty s digitálními prvky do tří skupin – základní, důležité a kritické.
Základní produkty s digitálními prvky by měly tvořit zhruba 90 % všech produktů. Jde o takové produkty s digitálními prvky, které nejsou nařízením zařazeny mezi důležité nebo kritické. Na tyto produkty se uplatní obecná ustanovení ohledně požadavků na kybernetickou bezpečnost produktu a na bezpečné postupy zavedené výrobcem.
Důležité produkty s digitálními prvky zajišťují bezpečnost jiných produktů, sítí nebo služeb, jinými slovy tedy plní funkce, které mají zásadní význam z pohledu kybernetické bezpečnosti, anebo plní funkci, která s sebou nese značné riziko případných nepříznivých účinků.
Důležité produkty s digitálními prvky jsou rozděleny do dvou tříd. První třída obsahuje například software pro řízení správy identity a pro správu privilegovaného přístupu, prohlížeče, správce hesel, mikroprocesory s bezpečnostními funkcemi, až po virtuální asistenty chytrých domácností, hračky připojené k internetu a osobní výrobky typu fitness náramků a chytrých hodinek. Druhá třída důležitých produktů s digitálními prvky potom obsahuje firewally, hypervizory a systémy podporující virtualizaci operačních systémů a obdobných prostředí.
Evropská komise zpřesní technické požadavky na kritické produkty do roku 2025
Evropská komise má za úkol do 11. prosince 2025 přijmout prováděcí akt, který upřesní technický popis jednotlivých tříd důležitých produktů, takže můžeme očekávat, že v této oblasti ještě dojde ke konkretizaci typových produktů.
Do poslední kategorie patří kritické produkty s digitálními prvky. Mezi tyto produkty řadíme například hardwarová zařízení s bezpečnostními schránkami, chytré měřící přístroje (např. nová generace chytrých elektroměrů), nebo čipové karty. Produkty v kritické kategorii budou muset získat evropský certifikát kybernetické bezpečnosti, kterým prokážou shodu se základními požadavky na kybernetickou bezpečnost. Ty jsou stanoveny v příloze číslo I nařízení.
Nařízení ukládá povinnosti povinným osobám, které označujeme jako hospodářské subjekty. Jako hospodářský subjekt se rozumí každý výrobce, zplnomocněný zástupce, dovozce, distributor nebo jiná fyzická nebo právnická osoba, na kterou se vztahují povinnosti v souvislosti s výrobou produktu s digitálními prvky nebo s jejich dodáváním na trh v Evropské unii.
Povinnosti výrobců a dalších subjektů podle nařízení o digitálních produktech
Nařízení tedy dopadne na každého výrobce, dovozce a distributora produktu s digitálními prvky, bez ohledu na počet zaměstnanců a roční obrat. Menší podniky mají však v rámci některých povinností výhodnější postavení a rozsah jejich povinností je omezen.
Nyní už víme, co je to produkt s digitálními prvky a jaké kategorie nařízení předpokládá. V příštím díle se podíváme blíže na výrobce a jejich povinnosti vyplývající z nařízení o kybernetické odolnosti.
Děkuji za Vaši pozornost a budu se těšit opět na slyšenou
