Výrobce a jeho povinnosti: Třetí díl seriálu
Mgr. Michaela Holíková
Vítejte u třetího dílu seriálu ROWAN LEGAL na téma nařízení o kybernetické odolnosti. V minulých epizodách jsme si nařízení představili a podívali se na jednotlivé kategorie produktů s digitálními prvky. Nyní se zaměříme na výrobce a jejich povinnosti.
Výrobce a jeho povinnosti: Posouzení rizik a zajištění shody produktu
Přestože se nařízení týká nejen výrobců, ale i dovozců a distributorů, jsou to právě výrobci, na koho dopadá nejvíce povinností. Výrobci musí v první řadě zajistit, aby byl produkt navržen, vyvinut a vyroben v souladu se základními požadavky na kybernetickou bezpečnost stanovených v nařízení. Pro tyto účely musí výrobce provést posouzení kybernetických bezpečnostních rizik spojených s produktem s digitálními prvky a výsledky tohoto posouzení průběžně aktualizovat, aby došlo k minimalizaci kybernetických bezpečnostních rizik, předcházení incidentů a omezení dopadů případných incidentů na zdraví a bezpečnost uživatelů. Posouzení rizik musí být dokumentováno a pravidelně aktualizováno, a to minimálně během trvání doby podpory.
Doba podpory musí být stanovena každému produktu s digitálními prvky. Její délka má odrážet dobu, po kterou se předpokládá užívání daného produktu. Nařízení stanovuje minimální dobu podpory na pět let.
Další povinností je vypracování technické dokumentace. Ta musí být vypracována před uvedením produktu na trh, pravidelně aktualizována a musí být uchovávána minimálně po dobu deseti let od uvedení produktu s digitálními prvky na trh nebo po dobu podpory – podle toho, které časové období je delší. Dokumentace musí být vypracována v úředním jazyce členského státu, kde je daný výrobce usazen. Technická dokumentace musí dále obsahovat všechny informace potřebné k prokázání shody produktu s digitálními prvky se základními požadavky na kybernetickou bezpečnost, čímž se dostáváme k dalším povinnostem – posouzení shody a prohlášení o shodě.
Bezpečnost dodavatelského řetězce a informování uživatelů
Výrobce musí provést posouzení o shodě, aby doložil to, že splnil základní požadavky na kybernetickou bezpečnost daného produktu. Posouzení shody lze provést několika způsoby. Mezi ně patří interní kontrola, kterou provede výrobce samostatně a na vlastní odpovědnost. Dalším způsobem je takzvané evropské přezkoušení typu, během kterého externí subjekt přezkoumává technický návrh a vývoj produktu a postup řešení zranitelností vůči stanoveným požadavkům na kybernetickou bezpečnost. Výsledkem je obdržení certifikátu o evropském přezkoušení typu. V neposlední řadě lze také zažádat o posouzení shody zavedeného systému kvality.
Produkt s digitálními prvky s řádným prohlášením o shodě pak získává označení CE, které vyjadřuje splnění evropského standardu kybernetické bezpečnosti.
Kromě výše uvedených povinností musí výrobci dbát také na bezpečnost dodavatelského řetězce a zavést procesy informování uživatelů a příslušných orgánů ohledně aktivně zneužívaných zranitelností v daném produktu.
V příštím díle si přiblížíme, jaké povinnosti a požadavky se vztahují na dovozce, distributory a správce softwaru s otevřeným zdrojovým kódem.
Děkuji za Vaši pozornost a příště na slyšenou.
