INT/999
Akt o kybernetické odolnosti
STANOVISKO
sekce Jednotný trh, výroba a spotřeba Návrh nařízení Evropského parlamentu a Rady
o horizontálních požadavcích na kybernetickou bezpečnost produktů s digitálními prvky a o změně nařízení (EU) 2019/1020
[COM(2022) 454 final – 2022/0272 (COD)]
Zpravodaj: Maurizio MENSI
Spoluzpravodaj: Marinel Dănuț MUREŞAN
|
Žádost o vypracování stanoviska
|
Evropský parlament, DD/MM/YYYY
Rada, 28/10/2022
|
|
Právní základ
|
článek 114 Smlouvy o fungování Evropské unie
|
|
|
|
|
Odpovědná sekce
|
Jednotný trh, výroba a spotřeba
|
|
Přijato v sekci
|
10/11/2022
|
|
Výsledek hlasování
(pro/proti/zdrželi se hlasování)
|
35/0/0
|
|
Přijato na plenárním zasedání
|
DD/MM/YYYY
|
|
Plenární zasedání č.
|
…
|
|
Výsledek hlasování
(pro/proti/zdrželi se hlasování)
|
…/…/…
|
1.Závěry a doporučení
1.1EHSV vítá návrh Komise na přijetí aktu o kybernetické odolnosti, který stanoví přísnější předpisy týkající se kybernetické bezpečnosti, tak aby byl vytvořen spolehlivý systém pro hospodářské subjekty a občanům EU bylo zaručeno bezpečné používání produktů dostupných na trhu. Jedná se o iniciativu, která je součástí evropské strategie pro data, zvyšuje bezpečnost údajů (včetně údajů osobních) a posiluje základní práva, což jsou základní předpoklady existence naší digitální společnosti.
1.2Podle EHSV je nezbytné posílit společná opatření proti kybernetickým útokům a konsolidovat proces harmonizace v oblasti kybernetické bezpečnosti na úrovni jednotlivých členských států, pokud jde o provozní pravidla a nástroje, aby se zabránilo tomu, že by lišící se vnitrostátní přístupy způsobily vznik právní nejistoty a právních překážek.
1.3EHSV vítá iniciativu Komise, která nejenom pomůže snížit vysoké náklady podniků způsobené kybernetickými útoky, ale také občanům a spotřebitelům zajistí lepší ochranu jejich základních práv, kupříkladu práva na soukromí. Komise dala zejména najevo, že budou při poskytování služeb ze strany certifikačních orgánů brány v úvahu specifické potřeby malých a středních podniků. EHSV však podotýká, že je třeba vyjasnit kritéria týkající se uplatňování.
1.4Podle EHSV je třeba zdůraznit, že ačkoli je potěšující, že se akt o kybernetické odolnosti vztahuje prakticky na všechny digitální produkty, mohly by při jeho praktickém uplatňování vzniknout problémy vzhledem ke značnému rozsahu a složitosti ověřovací a kontrolní činnosti, která je jeho součástí. Proto je nutné posílit nástroje zaměřené na monitorování a ověřování.
1.5EHSV poukazuje na nutnost přesného vymezení oblasti působnosti aktu o kybernetické odolnosti, zejména pokud jde o produkty s digitálními prvky a software.
1.6EHSV zdůrazňuje, že výrobci budou povinni hlásit nedostatky produktů i případné bezpečnostní incidenty a informovat Agenturu Evropské unie pro kybernetickou bezpečnost (ENISA). V této souvislosti je důležité, aby měla tato agentura nezbytné prostředky, a mohla tak včas a účinně plnit důležité a citlivé úkoly, které jí budou svěřeny.
1.7EHSV navrhuje, aby Komise v zájmu zamezení veškerých pochybností ohledně výkladu vypracovala příslušné pokyny, kterými by se mohli výrobci a spotřebitelé řídit při zjišťování konkrétních použitelných pravidel a postupů, neboť se zdá, že se na řadu produktů spadajících do oblasti působnosti návrhu vztahují i jiné právní předpisy v oblasti kybernetické bezpečnosti.
1.8EHSV konstatuje, že není zcela jasný vztah mezi certifikačními orgány ve smyslu aktu o kybernetické odolnosti a dalšími orgány oprávněnými k certifikaci kybernetické bezpečnosti podle jiných právních předpisů. Stejný problém s provozní koordinací pravděpodobně vznikne i mezi orgány dohledu stanovenými v tomto nařízení a orgány, které již působí podle jiných nařízení vztahujících se na předmětné produkty.
1.9EHSV konstatuje, že na základě návrhu dopadne na certifikační orgány značná pracovní zátěž a odpovědnost a že je nutné zaručit, aby mohly fakticky fungovat. Cílem je mj. zabránit tomu, že akt o kybernetické odolnosti způsobí nárůst byrokratické zátěže a znevýhodní výrobce, kteří budou muset splňovat řadu dalších požadavků na certifikaci, aby mohli nadále působit na trhu.
2.Shrnutí návrhu
2.1Návrhem aktu o kybernetické odolnosti (Cyber Resilience Act) hodlá Komise komplexně a horizontálně zefektivnit a nově definovat stávající právní předpisy v oblasti kybernetické bezpečnosti a zároveň je aktualizovat s ohledem na dostupné technologické inovace.
2.2Akt o kybernetické odolnosti sleduje v zásadě čtyři cíle: zajistit, aby výrobci zlepšili bezpečnost produktů s digitálními prvky ve fázi návrhu a vývoje a během celého jejich životního cyklu; zajistit soudržný rámec pravidel kybernetické bezpečnosti, který výrobcům hardwaru a softwaru usnadní jejich dodržování; zlepšit transparentnost bezpečnostních vlastností u produktů s digitálními prvky; umožnit podnikům a spotřebitelům bezpečné používání těchto produktů. Návrh v podstatě zavádí označení CE pro kybernetickou bezpečnost a vyžaduje, aby byly tímto označením opatřeny všechny produkty, na které se vztahuje akt o kybernetické odolnosti.
2.3Jedná se o horizontální zásah, kterým Komise hodlá celou problematiku komplexně upravit, neboť se týká prakticky všech produktů s digitálními prvky. Vyloučeny jsou pouze produkty pro zdravotnictví a produkty týkající se civilního letectví, vozidla a vojenský materiál. Návrh se rovněž nevztahuje na služby typu SaaS (cloud), pokud se nepoužívají k vývoji produktů s digitálními prvky.
2.4Definice „produktů s digitálními prvky“ je velmi široká a zahrnuje jakýkoli softwarový nebo hardwarový produkt či software nebo hardware, který není součástí produktu, ale je uváděn na trh samostatně.
2.5Nařízení zavádí povinné požadavky na kybernetickou bezpečnost pro produkty s digitálními prvky po celou dobu jejich životního cyklu, ale nenahrazuje již platné předpisy. Naopak produkty, které již byly certifikovány jako vyhovující již existujícím normám EU, budou považovány za „platné“ i podle nového nařízení.
2.6Hlavní obecnou zásadou je, že na evropský trh jsou uváděny pouze „bezpečné“ produkty, jejichž výrobci se chovají tak, aby tyto produkty zůstaly „bezpečné“ během celého svého životního cyklu.
2.7Produkt je považován za „bezpečný“, pokud je navržen a vyroben tak, aby jeho úroveň bezpečnosti odpovídala kybernetickým rizikům spojeným s jeho používáním, nemá v době prodeje žádné známé nedostatky, má bezpečnou výchozí konfiguraci, je chráněn před nedovoleným připojením, chrání údaje, které shromažďuje, a shromažďování údajů je omezeno pouze na ty, které jsou nutné k jeho fungování.
2.8Výrobce je považován za způsobilého k uvádění svých produktů na trh, pokud zpřístupní seznam softwarových komponent svých produktů, v případě nově zjištěných nedostatků rychle zajistí bezplatnou nápravu, zveřejní a podrobně vysvětlí zjištěné nedostatky, které odstraní, a pravidelně ověřuje spolehlivost produktů, které uvádí na trh. Tyto a další činnosti, které ukládá akt o kybernetické odolnosti, musí být prováděny po celou dobu životnosti výrobku, nebo alespoň pět let po jeho uvedení na trh. Výrobce je povinen zajistit odstranění nedostatků pravidelným prováděním aktualizací softwaru.
2.9Podle obecné zásady uplatňované v různých odvětvích se povinnosti ukládají také dovozcům a distributorům.
2.10Akt o kybernetické odolnosti stanoví makro-kategorii takzvaných „běžných“ produktů a softwaru, u nichž se lze spolehnout na vlastní hodnocení výrobce, jak je tomu již u jiných typů certifikace označením CE. Podle Komise do této kategorie spadá 90 % produktů na trhu.
2.11Dotyčné produkty mohou být uvedeny na trh poté, co výrobce provede vlastní hodnocení jejich kybernetické bezpečnosti a předloží příslušnou dokumentaci stanovenou v pokynech k nařízení. Výrobce je povinen hodnocení zopakovat, je-li produkt pozměněn.
2.12Zbývajících 10 % produktů je rozděleno do dvou dalších kategorií (třída I – méně nebezpečné, a třída II – nebezpečnější), jejichž uvádění na trh je třeba věnovat větší pozornost. Jedná se o tzv. „kritické produkty s digitálními prvky“, jejichž závady mohou vést k dalším nebezpečným a rozsáhlejším narušením bezpečnosti.
2.13U produktů těchto dvou tříd je základní autocertifikace přípustná pouze tehdy, pokud výrobce prokáže, že dodržel konkrétní tržní normy a bezpečnostní specifikace nebo certifikace kybernetické bezpečnosti, které již EU stanovila. V opačném případě může produkt získat certifikaci od akreditovaného certifikačního orgánu, jehož osvědčení je pro produkty třídy II povinné.
2.14Systém klasifikace produktů do kategorií rizik je rovněž obsažen v návrhu nařízení o umělé inteligenci. Aby se předešlo pochybnostem o použitelném předpisu, jsou v aktu o kybernetické odolnosti zohledněny produkty s digitálními prvky, které jsou současně klasifikovány jako „vysoce rizikové systémy umělé inteligence“ podle návrhu nařízení o umělé inteligenci. Tyto produkty budou muset obecně v souladu s postupem posuzování shody stanoveným v nařízení o umělé inteligenci, s výjimkou „kritických digitálních produktů“, pro které se kromě „základních požadavků aktu o kybernetické odolnosti“ použijí pravidla posuzování shody podle aktu o kybernetické odolnosti.
2.15Aby bylo zajištěno dodržování aktu o kybernetické odolnosti, bude probíhat dohled, jímž musí každý členský stát pověřit příslušný vnitrostátní orgán. V souladu s právními předpisy o bezpečnosti jiných výrobků může být v případě, že vnitrostátní orgán zjistí, že produkt nemá dostatečné vlastnosti kybernetické bezpečnosti, jeho uvedení na trh v daném státě pozastaveno. Agentura ENISA má pravomoci k podrobnému posouzení nahlášeného produktu. Jestliže při tomto posouzení zjistí, že produkt není bezpečný, může to vést k pozastavení uvádění daného produktu na trh v EU.
2.16Sankční systém aktu o kybernetické odolnosti je zaručen celou škálou sankcí – v závislosti na závažnosti porušení –, které mohou v případě porušení základních požadavků na kybernetickou bezpečnost produktů dosáhnout až 15 milionů EUR nebo 2,5 % obratu za předchozí zdaňovací rok.
3.Připomínky
3.1EHSV vítá záměr Komise začlenit klíčový prvek do širší mozaiky právních předpisů o kybernetické bezpečnosti, a to v koordinaci se směrnicí o bezpečnosti sítí a informací a s cílem doplnit tuto směrnici a také akt o kybernetické bezpečnosti. Přísné normy kybernetické bezpečnosti hrají klíčovou roli při vytváření spolehlivého systému kybernetické bezpečnosti EU pro všechny hospodářské subjekty a slouží k zaručení toho, že budou občané EU moci bezpečně používat všechny produkty, které jsou na trhu k dispozici, a ke zvýšení jejich důvěry v digitální svět.
3.2Nařízení se proto zabývá dvěma otázkami: nízkou úrovní kybernetické bezpečnosti u mnoha produktů a především skutečností, že mnozí výrobci neposkytují aktualizace týkající se odstranění nedostatků. Výrobci produktů s digitálními prvky sice někdy utrpí újmu na své pověsti, pokud jejich produkty nejsou dostatečně zabezpečeny, ale náklady spojené s nedostatky nesou převážně profesionální uživatelé a spotřebitelé. To omezuje motivaci výrobců investovat do navrhování a vývoje bezpečných produktů a poskytovat bezpečnostní aktualizace. Podniky a spotřebitelé navíc často nemají dostatečné a přesné informace, pokud jde o výběr bezpečných produktů, a často nevědí, jak se ujistit o tom, že produkty, které kupují, byly bezpečně konfigurovány. Nové právní předpisy tyto dva aspekty řeší tím, že upravují problematiku aktualizací a poskytování aktuálních informací zákazníkům. EHSV se domnívá, že v tomto smyslu by se navrhované nařízení v případě, že bude náležitě uplatňováno, mohlo stát mezinárodním měřítkem a vzorem v oblasti kybernetické bezpečnosti.
3.3EHSV vítá návrh na zavedení požadavků na kybernetickou bezpečnost produktů s digitálními prvky. Bude však důležité zamezit překrývání s jinými platnými právními předpisy upravujícími tuto oblast, jako je směrnice NIS 2 a nařízení o umělé inteligenci.
3.4Podle EHSV je třeba zdůraznit, že ačkoli je potěšující, že se akt o kybernetické odolnosti vztahuje prakticky na všechny digitální produkty, mohly by při jeho praktickém uplatňování vzniknout problémy vzhledem ke značnému rozsahu ověřovací a kontrolní činnosti, která je jeho součástí.
3.5Oblast působnosti aktu o kybernetické odolnosti je široká a zahrnuje všechny produkty s digitálními prvky. Podle navrhované definice jsou zahrnuty všechny softwarové a hardwarové produkty a související operace zpracování dat. EHSV navrhuje, aby Komise vyjasnila, zda do oblasti působnosti navrhovaného nařízení spadá veškerý software.
3.6Výrobci budou povinni hlásit aktivně zneužívané nedostatky i bezpečnostní incidenty. Budou povinni informovat agenturu ENISA o každém aktivně zneužitém nedostatku produktu a (samostatně) o každém incidentu, který má dopad na bezpečnost produktu, a to vždy do 24 hodin od okamžiku, kdy se o něm dozví. V této souvislosti EHSV upozorňuje, že je nutné poskytnout agentuře ENISA odpovídající množství finančních prostředků i náležitou odbornou přípravu na to, aby mohla účinně plnit důležité a citlivé úkoly, které jí budou na základě nařízení svěřeny.
3.7Skutečnost, že řada produktů, které spadají do oblasti působnosti návrhu, podléhá také jiným právním předpisům v oblasti kybernetické bezpečnosti, by mohla vést k nejistotě ohledně toho, které právní předpisy se použijí. Ačkoli se očekává, že akt o kybernetické odolnosti bude v souladu se stávajícím rámcem pro právní předpisy EU týkající se produktů a s dalšími návrhy, které se v současné době připravují v souvislosti s digitální strategií EU, pravidla, která jsou plánována například pro vysoce rizikové produkty založené na umělé inteligenci, se kříží s pravidly stanovenými v nařízení o zpracování osobních údajů. V této souvislosti EHSV navrhuje, aby Komise vypracovala pokyny k řádnému uplatňování aktu, kterými by se mohli výrobci a spotřebitelé řídit.
3.8EHSV konstatuje, že vztah mezi certifikačními orgány ve smyslu aktu o kybernetické odolnosti a případnými dalšími orgány oprávněnými k certifikaci kybernetické bezpečnosti podle jiných stejně použitelných předpisů se nezdá být zcela jasný.
3.9Na certifikační orgány pak dopadne značná pracovní zátěž a odpovědnost, a proto je nezbytné ověřit a zaručit, že budou moci fakticky fungovat. Zabrání se tak tomu, že akt o kybernetické odolnosti způsobí zvýšení byrokratické zátěže, jíž jsou už nyní vystaveni výrobci, kteří chtějí působit na trhu.
3.10V aktu o kybernetické odolnosti je stanoveno, že certifikační orgány musí při poskytování svých služeb brát v úvahu specifické potřeby malých a středních podniků. EHSV však podotýká, že je třeba vyjasnit kritéria týkající se uplatňování.
3.11Problém s koordinací navíc pravděpodobně vznikne i mezi orgány dohledu stanovenými v tomto nařízení a orgány, které již působí podle jiných nařízení vztahujících se na předmětné produkty. EHSV proto navrhuje, aby Komise doporučila členským státům celou situaci sledovat a v případě potřeby podniknout kroky k nápravě.
V Bruselu dne 10. listopadu 2022
Alain COHEUR
předseda sekce Jednotný trh, výroba a spotřeba
_____________