Digitalizace prostupuje všemi oblastmi moderního hospodářství i každodenního života. S rostoucí mírou propojení zařízení, systémů a služeb se však současně zvyšuje i množství kybernetických hrozeb, které mohou mít závažné hospodářské, bezpečnostní i společenské dopady. Kybernetické útoky jsou dnes nejen častější, ale také sofistikovanější, rychlejší a cílenější než kdy dříve. Zatímco ještě před několika lety byly terčem útoků zejména velké podniky a kritická infrastruktura, dnes se kybernetická rizika dotýkají i běžných domácností prostřednictvím zařízení internetu věcí, chytrých spotřebičů či běžně používaného softwaru. Současná digitální ekonomika proto potřebuje robustní, jasný a jednotný legislativní rámec, který zajistí, že produkty uváděné na trh Evropské unie budou schopny odolávat rostoucímu spektru hrozeb po celou dobu své existence.
Tuto potřebu reflektuje nové Nařízení(EU) 2024/2847 o horizontálních požadavcích kybernetické bezpečnosti pro produkty s digitálními prvky, známé jako Akt o kybernetické odolnosti (Cyber Resilience Act – CRA). Jde o průlomový právní předpis, který poprvé systematicky stanovuje povinné bezpečnostní požadavky nejen pro výrobce hardwaru a softwaru, ale i pro celý dodavatelský řetězec – včetně dovozců a distributorů. Cílem je zajistit, aby kybernetická bezpečnost nebyla doplňkovou vlastností produktu, ale jeho základním konstrukčním principem. Evropská komise tím reaguje na dlouhodobý problém, kdy velká část výrobků vstupujících na evropský trh vykazuje zásadní bezpečnostní nedostatky, ať už jde o nezabezpečené výchozí nastavení, chybějící aktualizace nebo nízkou transparentnost bezpečnostních funkcí.
Akt o kybernetické odolnosti tak představuje fundamentální posun: od dobrovolných doporučení směrem k závazným a vymahatelným pravidlům, jejichž nedodržení může být sankcionováno pokutou až ve výši 2,5 % celosvětového ročního obratu výrobce. Zároveň zavádí povinnost zavést bezpečnostní mechanismy již ve fázi návrhu a vývoje produktu, průběžně vyhodnocovat rizika, rychle reagovat na zranitelnosti a transparentně informovat uživatele i příslušné orgány. Významnou roli v novém systému hraje také agentura ENISA, která se stává klíčovým partnerem členských států při monitorování incidentů a sdílení informací o kybernetických hrozbách.
Dopad nařízení bude rozsáhlý: dotkne se výrobců spotřební elektroniky, průmyslových technologií, vývojářů softwaru, cloudových služeb, zařízení IoT i rozsáhlých digitálních ekosystémů, které propojují infrastrukturu, domácnosti i průmyslové provozy. Nedílnou součástí je také harmonizace trhu – odstranění roztříštěnosti národních předpisů má usnadnit přeshraniční obchod a zvýšit konkurenceschopnost evropských firem. Přestože implementace přinese výrobcům nové povinnosti a náklady, nariadení je vnímáno jako klíčový krok k posílení důvěry v digitální technologie a ke zvýšení celkové kybernetické odolnosti evropské společnosti.
Cíl nařízení
Nařízení usiluje o to, aby kybernetická bezpečnost byla standardní vlastností všech zařízení a softwaru používaného v EU. Primárním účelem je:
- zvýšit úroveň kybernetické bezpečnosti v celé EU prostřednictvím povinných bezpečnostních požadavků,
- podpořit koncept „security by design“, tedy začlenění bezpečnosti již do fází návrhu a vývoje,
- zajistit větší transparentnost v oblasti bezpečnostních vlastností produktů a zodpovědnost výrobců,
- odstranit roztříštěnost existujících národních pravidel a posílit jednotný evropský trh v oblasti kybernetické bezpečnosti.
Rozsah působnosti
Nařízení se vztahuje na širokou škálu produktů s digitálními prvky, které jsou uváděny na trh EU bez ohledu na to, kde výrobce sídlí. Patří sem zejména:
- hardware: zařízení internetu věcí (IoT), inteligentní spotřebiče, průmyslové řídicí systémy, mikročipy,
- software: aplikace, operační systémy, počítačové programy, videohry.
Z působnosti jsou naopak vyňaty oblasti upravené již speciální legislativou, jako jsou:
- zdravotnické prostředky,
- letecké a automobilové produkty,
- lodní a námořní zařízení.
Klíčové požadavky na výrobce
1. Zabezpečení jako standard
Výrobci nově musí integrovat kybernetickou bezpečnost již do návrhu produktu. Zahrnuje to zejména:
- bezpečné výchozí nastavení zařízení,
- odpovídající úroveň šifrování,
- robustní mechanismy řízení přístupu,
- minimalizaci zranitelností během vývoje.
2. Posuzování a řízení rizik
Výrobci jsou povinni:
- provádět a aktualizovat posouzení rizik spojených s produktem,
- aktivně přijímat opatření k odstraňování zranitelností,
- zajistit náležitou kontrolu bezpečnosti komponent třetích stran.
3. Transparentnost a dokumentace
Každý produkt musí být doprovázen:
- popisem bezpečnostních funkcí,
- návodem pro bezpečnou instalaci, konfiguraci a používání,
- informacemi o nahlášení zranitelností,
- EU prohlášením o shodě potvrzujícím splnění požadavků CRA.
4. Oznamování incidentů
Výrobci musí bezodkladně informovat:
- příslušné národní autority,
- agenturu ENISA,
pokud dojde k závažnému kybernetickému incidentu nebo je odhalena aktivně zneužívaná zranitelnost.
Současně jsou povinni upozornit uživatele na možná rizika a poskytnout pokyny k jejich zmírnění.
5. Aktualizace a podpora
Nariadení ukládá povinnost poskytovat:
- bezpečnostní aktualizace po dobu předpokládaného používání produktu,
- opravy zranitelností bez zbytečného prodlení,
- aktualizace, které nenarušují funkčnost produktu a nezvyšují riziko útoků.
Povinnosti dovozců a distributorů
Role dovozců a distributorů je posílena s cílem zabránit vstupu nevyhovujících produktů na trh.
- Dovozci musí ověřit, že výrobek splňuje veškeré požadavky nariadení, je správně dokumentován a nese označení CE.
- Distributoři musí zajistit, že produkt je před uvedením na trh doplněn o potřebné bezpečnostní informace a odpovídá regulatorním požadavkům.
Tím se posiluje odpovědnost celého dodavatelského řetězce.
Prosazování a sankce
Nariadení zavádí přísný dohled nad trhem:
- kontrolu dodržování pravidel provádějí národní orgány,
- za porušení může být udělena pokuta až 2,5 % celosvětového ročního obratu výrobce,
- orgány mohou rozhodnout o stažení produktu z trhu, jeho zákazu či omezení dostupnosti.
Státy EU mají povinnost sdílet informace o incidentech a zranitelnostech a koordinovat opatření při potírání nesouladu.
Časová osa implementace
Nařízení vstupuje v platnost postupně:
- od 11. června 2026 – notifikace orgánů posuzování shody,
- od 11. září 2026 – povinnost oznamovat závažné incidenty a aktivně zneužívané zranitelnosti,
- od 11. prosince 2027 – plná účinnost požadavků pro výrobce, dovozce a distributory.
Význam nařízení pro trh a praxi
Přijetí Aktu o kybernetické odolnosti představuje zásadní krok směrem ke zvýšení bezpečnosti digitálního ekosystému v Evropě. Očekávané dopady zahrnují:
- zvýšení úrovně bezpečnosti spotřebitelských i průmyslových zařízení,
- posílení důvěry uživatelů v digitální technologie,
- sjednocení pravidel napříč EU a snížení regulatorní nejistoty,
- tlak na výrobce mimo EU, aby přizpůsobili své produkty přísnějším evropským standardům, což může ovlivnit globální trh.
Perspektivy a strategické dopady regulačního rámce
Přijetí nařízení (EU) 2024/2847 představuje jeden z nejvýznamnějších zásahů do oblasti digitální regulace za poslední desetiletí. Akt o kybernetické odolnosti nejen sjednocuje do té doby roztříštěný soubor národních pravidel, ale především vytváří robustní základ pro dlouhodobý a udržitelný rozvoj evropského digitálního ekosystému. Nový legislativní rámec posouvá odpovědnost za bezpečnost produktu blíže k jeho výrobcům a vývojářům, tedy tam, kde má být bezpečnost nejúčinněji ukotvena – přímo v návrhu, architektuře a interních procesech během celého životního cyklu produktu. Zároveň zavádí mechanismy, které podporují transparentnost a sdílení informací, což je v oblasti kybernetické bezpečnosti nezbytné pro rychlou identifikaci hrozeb i jejich efektivní mitigaci.
Jedním z klíčových přínosů nařízení je fakt, že nutí výrobce přijmout dlouhodobou odpovědnost za vlastní produkty. Povinnost poskytovat aktualizace po předpokládanou dobu životnosti a povinnost reagovat na zjištěné zranitelnosti mění dosavadní praxi, v níž mnoho výrobců po uvedení produktu na trh přestávalo investovat do jeho bezpečnostní údržby. Z dlouhodobého hlediska lze očekávat, že tato změna povede ke snížení počtu incidentů, které vznikají právě kvůli zanedbaným aktualizacím nebo neřešeným slabinám. Současně se předpokládá, že důraz na bezpečnostní standardy povede k vyšší důvěře spotřebitelů i podniků v digitální technologie, což může stimulovat rychlejší adopci moderních řešení v průmyslu, veřejné správě i domácnostech.
Významní je také propojení kybernetické bezpečnosti s hospodářskou soutěží. Zavedení harmonizovaných pravidel vytváří rovné podmínky pro všechny aktéry trhu – evropské i mimoevropské. Globální výrobci budou muset splnit stejné požadavky jako evropské podniky, pokud chtějí své produkty nabízet na trhu EU. Tento přístup může mít zásadní dopad i mimo Evropu: stejně jako se stalo v případě GDPR, lze předpokládat, že přísné evropské standardy se stanou určujícími i pro další jurisdikce, které se budou snažit buď sladit své právní rámce, nebo přizpůsobit své výrobky evropským nárokům, aby zůstaly konkurenceschopné.
Nařízení však zároveň otevírá celou řadu praktických otázek. Jednou z nich je míra připravenosti malých a středních podniků, které mohou čelit významné administrativní a finanční zátěži. Zavedení procesů řízení rizik, dokumentace, interní kontroly a dlouhodobého poskytování aktualizací může být pro menší výrobce náročné. Zde bude hrát důležitou roli koordinace členských států, dostupnost odborných metodik, podpora výzkumu a vývoje a případné dotační mechanismy v rámci evropských programů, jako je Digitální Evropa. Přesto lze očekávat, že přísnější požadavky povedou k celkovému zvýšení úrovně kompetence a profesionalizace v tomto sektoru.
Významným efektem bude posílení role dohledových orgánů a zvýšená nutnost jejich koordinace. Výměna informací mezi členskými státy, spolupráce s agenturou ENISA a vytváření jednotných metod hodnocení shody bude vyžadovat efektivní komunikační mechanismy a dostatečné personální i technické kapacity. Vzhledem k dynamickému vývoji kybernetických hrozeb bude důležitá také flexibilita, aby se regulační rámec mohl v budoucnu přizpůsobovat novým typům rizik.
Při pohledu do budoucna lze očekávat, že Akt o kybernetické odolnosti bude tvořit základní stavební kámen pro další legislativní iniciativy v oblasti digitální bezpečnosti. Jeho dopad se neomezí jen na výrobu a distribuci digitálních produktů, ale zasáhne i oblasti, jako je kritická infrastruktura, cloudové služby či průmyslové řídicí systémy. Vytvoření společného jazyka, definic a procesních požadavků přinese větší předvídatelnost a umožní systematické řízení rizik napříč celým ekosystémem.
Akt o kybernetickej odolnosti je nejen nástrojem právní regulace, ale i strategickým dokumentem, který pomáhá utvářet budoucí podobu digitální Evropy. Posiluje bezpečnost, podporuje inovace, zvyšuje konkurenceschopnost a vytváří prostředí, v němž mohou digitální technologie fungovat bezpečně a spolehlivě ve prospěch uživatelů, podniků i celé společnosti. Pokud se podaří naplnit jeho ambice, může se Akt o kybernetické odolnosti stát klíčovým milníkem v budování odolného a bezpečného digitálního prostoru pro následující dekády.