Od detských monitorov až po firewally: všetok softvér a hardvér v EÚ bude musieť mať kyberbezpečnostný certifikát

Povinnosť kyberbezpečnostnej certifikácie a označovania bude platiť na trhoch Európskej únie pre všetok softvér a hardvér, od detských monitorov, inteligentných hodiniek a počítačových hier až po firewally a smerovače. Fázované prechodné obdobie sa začne rokom 2024. Nariadenie o kyberodolnosti (Cyber Resilience Act – CRA) takto reaguje na rastúci počet kybernetických útokov na firmy a občanov. V praxi predstavuje právny rámec, ktorý popisuje požiadavky na kybernetickú bezpečnosť hardvérových a softvérových produktov.

A čo to znamená pre výrobcov? Tí budú povinní brať kyberbezpečnosť zodpovedne a dôsledne počas celého životného cyklu produktov. Nariadením sa pre nich zavedie aj zákonná povinnosť poskytovať spotrebiteľom včasné bezpečnostné aktualizácie počas celého predpokladaného obdobia používania produktu. Softvérovým vývojárom a výrobcom hardvéru tak pribudnú povinnosti, ktoré reflektujú požiadavky na kybernetickú bezpečnosť, ako posudzovanie zhody, označovanie výrobkov, príslušná dokumentácia a oznamovanie zraniteľností.  „Stále dôležitejšia bude aj certifikácia domácich WiFi routerov, digitálnych vrátnikov a ďalších smart zariadení inteligentnej domácnosti. Poskytuje konkrétne záruky, že zariadenie má istú úroveň ochrany pred kyberbezpečnostnými rizikami,“ upozorňuje Ivan Kopáčik, riaditeľ odboru certifikácie Kompetenčného a certifikačného centra (KCCKB).

Odhaduje sa, že priame náklady na dodržiavanie Nariadenia na dosiahnutie súladu narastú do výšky približne 29 miliárd eur. Na druhú stranu – očakáva sa, že zavedením Nariadenia o kyberodolnosti klesnú škody v dôsledku bezpečnostných incidentov v únii každoročne o vyše 180 miliárd eur.

A aký bude ďalší postup? Po publikovaní nariadenia v Úradnom vestníku EÚ sa začne adopcia certifikačných schém v členských krajinách. Produkty s rôznymi úrovňami rizika budú mať rôzne bezpečnostné požiadavky. Zároveň nariadenie prihliada na fakt, že sektory ako medicína, verejná správa, energetika, finančníctvo majú špecifické požiadavky na bezpečnosť širokého spektra produktov. Akonáhle Európska komisia schváli pripravené certifikačné schémy a tie budú adoptované na národnej úrovni, relevantné inštitúcie musia požiadať o akreditáciu Slovenskú národnú akreditačnú službu. Kyberbezpečnostné certifikáty vydané národnými certifikačnými orgánmi v EÚ sú uznávané vo všetkých členských štátoch.