Akt o kybernetické odolnosti: První díl seriálu
Mgr. Michaela Holíková
Vítám Vás u nového seriálu Rowan Legal z oblasti kybernetické bezpečnosti. V tomto seriálu se zaměříme na nové evropské nařízení o horizontálních požadavcích na kybernetickou bezpečnost produktů s digitálními prvky, které je také známé jako nařízení o kybernetické odolnosti.
V celkem 5 dílech si představíme základní oblasti nové regulace, přiblížíme si regulované osoby a regulované produkty a podíváme se na nové povinnosti, které bude potřeba splnit. Na závěr se samozřejmě dotkneme i praktických kroků ke zvládnutí těchto nových povinností.
Akt o kybernetické odolnosti a jeho dopad na kybernetickou bezpečnost v EU
Protože se jedná o nařízení, nebude ho potřeba převádět do právního pořádku České republiky, jako tomu bylo u směrnice NIS2. Nařízení bude působit přímo, podobně jako třeba nařízení o ochraně osobních údajů, a to od 11. prosince 2027. Nicméně některé povinnosti začnou platit i dřív – o tom si povíme více v díle o povinnostech výrobců.
Nařízení, podobně jako jeho starší sestry směrnice NIS2 a nařízení DORA, reguluje oblast kybernetické bezpečnosti. Na rozdíl od nich se však zaměřuje na bezpečnost produktů s digitálními prvky.
Produktem s digitálním prvkem se rozumí softwarový nebo hardwarový produkt a jeho řešení pro zpracování dat na dálku, včetně softwarových nebo hardwarových komponent, které jsou uváděny na trh samostatně. Produkt s digitálním prvkem je tak vlastně cokoliv, co se připojuje k jiným zařízením nebo sítím.
Nařízení se nevztahuje pouze na produkty jako jsou zdravotnické prostředky, motorová vozidla, lodní výstroj, prostředky civilního letectví, produkty obranného průmyslu, produkty určené ke zpracování utajovaných informací nebo náhradní díly. Nařízení se dále nebude vztahovat ani na takové produkty, pro které už existuje regulace se stejnou nebo vyšší úrovní zajištění kybernetické bezpečnosti.
Nová pravidla kybernetické bezpečnosti: Co musí výrobci a distributoři splnit?
Produkty s digitálními prvky nařízení rozděluje do tří skupin – základní, důležité a kritické. Tyto kategorie si více přiblížíme v následujícím díle.
Jaké jsou základní povinnosti, které vyplývají v nařízení o kybernetické odolnosti? Nově bude možné na trh Evropské unie uvádět pouze takové produkty s digitálními prvky, které budou splňovat základní požadavky na kybernetickou bezpečnost. Zároveň musí být v souladu i postupy zavedené výrobcem. Podrobný výčet těchto požadavků upravují přílohy nařízení.
Nová pravidla, která nařízení přináší, se dotknou výrobců, dovozců a distributorů produktů s digitálními prvky. Nové povinnosti se liší nejen podle toho, zda je hospodářský subjekt výrobcem, dovozcem či distributorem, ale i podle toho, jak velkým podnikem je.
Nyní již víme, co je to nařízení o digitální odolnosti, známe základní pojmy a obecné povinnosti, které z něj vycházejí. V příštím díle se podíváme na detail zařazení produktů s digitálními prvky do kategorií a tříd. Také si upřesníme, kdo je povinnou osobou.
Děkuji za Vaši pozornost a brzy na slyšenou.
