Stanovisko Európskeho hospodárskeho a sociálneho výboru – Návrh nariadenia Európskeho parlamentu a Rady o horizontálnych požiadavkách na kybernetickú bezpečnosť výrobkov s digitálnymi prvkami, ktorým sa mení nariadenie (EÚ) 2019/1020

[COM(2022) 454 final – 2022/0272 (COD)]

(2023/C 100/15)

Spravodajca:	Maurizio MENSI
Spoluspravodajca:	Marinel Dănuț MUREȘAN

Žiadosť o konzultáciu	Európsky parlament, 9. 11. 2022 Rada Európskej únie, 28. 10. 2022
Právny základ	článok 114 Zmluvy o fungovaní Európskej únie
Príslušná sekcia	sekcia pre jednotný trh, výrobu a spotrebu
Prijaté v sekcii	10. 11. 2022
Prijaté v pléne	14. 12. 2022
Plenárne zasadnutie č.	574
Výsledok hlasovania (za/proti/zdržalo sa)	177/0/0

1.   Závery a odporúčania

1.1.

Európsky hospodársky a sociálny výbor (EHSV) víta návrh aktu o kybernetickej odolnosti (Cyber Resilience Act – CRA), ktorý predložila Komisia s cieľom stanoviť prísnejšie normy kybernetickej bezpečnosti, vytvoriť spoľahlivý systém pre hospodárske subjekty a zaistiť pre občanov EÚ bezpečné používanie výrobkov na trhu. Ide o iniciatívu v rámci Európskej dátovej stratégie v snahe posilniť bezpečnosť údajov vrátane osobných údajov a základné práva, ktoré sú základnými požiadavkami pre našu digitálnu spoločnosť.

1.2.

EHSV sa domnieva, že je nevyhnutné posilniť kolektívnu reakciu na kybernetické útoky a konsolidovať proces harmonizácie kybernetickej bezpečnosti na vnútroštátnej úrovni, pokiaľ ide o operačné pravidlá a nástroje, aby sa zabránilo tomu, že diferencované vnútroštátne prístupy by mohli vytvárať právnu neistotu a prekážky.

1.3.

EHSV víta iniciatívu Komisie, ktorá pomôže nielen znížiť značné náklady podnikov spôsobené kybernetickými útokmi, ale zároveň umožní poskytnúť občanom/spotrebiteľom lepšiu ochranu ich základných práv, napríklad súkromia. Komisia konkrétne preukázane zohľadňuje osobitné potreby malých a stredných podnikov (MSP) pri poskytovaní služieb certifikačnými orgánmi, EHSV však poukazuje na potrebu objasniť kritériá uplatňovania.

1.4.

EHSV považuje za dôležité poukázať na to, že hoci je chvályhodné, že akt o kybernetickej odolnosti sa vzťahuje na takmer všetky digitálne produkty, môžu sa vyskytnúť problémy s jeho praktickým uplatňovaním vzhľadom na množstvo a zložitosť úkonov spojených s overovaním a kontrolou, ktoré z neho vyplývajú. Odtiaľ pramení potreba posilniť nástroje monitorovania a overovania.

1.5.

EHSV konštatuje, že je nutné presne objasniť vecnú pôsobnosť aktu o kybernetickej odolnosti, najmä pokiaľ ide o produkty s digitálnymi prvkami a softvér.

1.6.

EHSV konštatuje, že výrobcovia budú povinní oznamovať na jednej strane zraniteľnosti produktov a na strane druhej akékoľvek bezpečnostné incidenty a informovať Agentúru Európskej únie pre kybernetickú bezpečnosť (ENISA). V tejto súvislosti je dôležité, aby sa tejto agentúre poskytli potrebné zdroje na včasné a účinné vykonávanie dôležitých a citlivých úloh, ktoré jej budú zverené.

1.7.

V snahe vyhnúť sa akýmkoľvek nejasnostiam v súvislosti s výkladom EHSV navrhuje, aby Komisia vypracovala príslušné usmernenia pre výrobcov a spotrebiteľov, pokiaľ ide o osobitné uplatniteľné pravidlá a postupy, keďže sa zdá, že viaceré výrobky, ktoré patria do rozsahu pôsobnosti návrhu, podliehajú aj iným právnym predpisom v oblasti kybernetickej bezpečnosti. V tejto súvislosti by bolo takisto dôležité, aby najmä MSP a mikropodniky mali prístup ku kvalifikovanej odbornej podpore, ktorá by bola schopná poskytovať špecifické odborné služby.

1.8.

EHSV konštatuje, že nie je úplne jasný vzťah medzi certifikačnými orgánmi v zmysle aktu o kybernetickej odolnosti a inými orgánmi oprávnenými certifikovať kybernetickú bezpečnosť podľa iných právnych predpisov. Hrozí, že rovnako problematická bude aj operačná koordinácia medzi orgánmi dohľadu stanovenými v tomto návrhu a orgánmi dohľadu, ktoré už pôsobia podľa iných predpisov uplatniteľných na rovnaké produkty.

1.9.

EHSV konštatuje, že v návrhu sa stanovuje značné množstvo činností a zodpovedností certifikačných orgánov. Musí sa zaručiť ich operatívnosť v praxi aj s cieľom zabrániť tomu, aby akt o kybernetickej odolnosti viedol k zvýšeniu byrokratickej záťaže a poškodeniu výrobcov, ktorí budú musieť splniť sériu dodatočných požiadaviek na certifikáciu, aby mohli naďalej pôsobiť na trhu.

2.   Analýza návrhu

2.1.

Návrhom aktu o kybernetickej odolnosti má Komisia v úmysle komplexne a horizontálne racionalizovať a opätovne vymedziť súčasné právne predpisy v oblasti kybernetickej bezpečnosti a zároveň ich aktualizovať vzhľadom na technologické inovácie.

2.2.

Aktom o kybernetickej odolnosti sa sledujú v zásade štyri ciele: zaistiť, aby výrobcovia zlepšili bezpečnosť produktov s digitálnymi prvkami od fázy návrhu a vývoja aj počas celého životného cyklu; zaistiť koherentný rámec kybernetickej bezpečnosti, ktorý uľahčí výrobcom hardvéru a softvéru dodržiavať predpisy; zvýšiť transparentnosť bezpečnostných vlastností produktov s digitálnymi prvkami a umožniť podnikom a spotrebiteľom bezpečné používanie produktov s digitálnymi prvkami. Návrhom sa v podstate zavádza označenie CE pre kybernetickú bezpečnosť a vyžaduje sa, aby sa takéto označenie umiestňovalo na všetky výrobky, na ktoré sa vzťahuje akt o kybernetickej odolnosti.

2.3.

Ide o horizontálny zásah, ktorým má Komisia v úmysle komplexne regulovať celú problematiku, keďže sa vzťahuje na prakticky všetky výrobky s digitálnymi komponentmi. Nepatria sem len tie, ktoré majú zdravotnícky charakter a ktoré súvisia s civilným letectvom, vozidlami a vojenskými vozidlami. Návrh sa nevzťahuje ani na služby typu softvér ako služba (SaaS) (cloud), pokiaľ sa nepoužívajú na spracovanie produktov s digitálnymi prvkami.

2.4.

Vymedzenie pojmu „produkty s digitálnymi prvkami“ je veľmi široké a zahŕňa akýkoľvek softvérový alebo hardvérový produkt, ako aj softvér alebo hardvér, ktorý nie je súčasťou výrobku, ale uvádza sa na trh samostatne.

2.5.

Právnymi predpismi sa zavádzajú povinné požiadavky kybernetickej bezpečnosti pre produkty, ktoré majú digitálne komponenty počas celého svojho životného cyklu, ale nenahrádzajú sa nimi už zavedené požiadavky. Naopak, produkty, ktoré už boli certifikované ako vyhovujúce existujúcim normám EÚ, sa budú tiež považovať za „vyhovujúce“ podľa nového nariadenia.

2.6.

Základnou všeobecnou zásadou je, že v Európe sa na trh uvádzajú len „bezpečné“ produkty, ktorých výrobcovia sa správajú takým spôsobom, aby tieto produkty zostali bezpečné počas celého ich životného cyklu.

2.7.

Výrobok sa považuje za „bezpečný“, ak je navrhnutý a vyrobený tak, že má úroveň bezpečnosti zodpovedajúcu kybernetickým rizikám, ktoré sa spájajú s jeho požívaním, nemá zraniteľné miesta známe v čase predaja, má predvolenú bezpečnú konfiguráciu, je chránený pred nezákonným pripojením, chráni údaje, ktoré zbiera, a zber údajov je obmedzený výlučne na tie, ktoré slúžia na jeho fungovanie.

2.8.

Výrobca sa považuje za spôsobilého uvádzať svoje výrobky na trh, ak sprístupní zoznam jednotlivých softvérových komponentov svojich výrobkov, rýchlo vydá bezplatné nápravné opatrenia v prípade výskytu zraniteľností, zverejní a podrobne opíše zraniteľnosti, ktoré odhalí a vyrieši, a pravidelne overuje „spoľahlivosť“ výrobkov, ktoré uvádza na trh. Tieto a ďalšie činnosti uložené aktom o kybernetickej odolnosti sa musia vykonávať počas celého životného cyklu produktu alebo aspoň päť rokov po jeho uvedení na trh. Výrobca je povinný zabezpečiť odstránenie zraniteľností prostredníctvom pravidelných aktualizácií softvéru.

2.9.

Podľa všeobecnej zásady uplatňovanej v rôznych odvetviach sa povinnosti ukladajú aj dovozcom a distribútorom.

2.10.

V akte o kybernetickej odolnosti sa stanovuje makrokategória takzvaných „bežných“ produktov a softvéru, pri ktorých sa možno spoľahnúť na vlastné posúdenie výrobcu, ako je to už v prípade iných typov certifikácie označenia CE. Podľa Komisie 90 % produktov na trhu patrí do tejto kategórie.

2.11.

Príslušné produkty sa môžu uviesť na trh na základe vlastného posúdenia ich kybernetickej bezpečnosti výrobcom, ktorý predloží príslušnú dokumentáciu, ako sa stanovuje v usmerneniach k právnym predpisom. Tento výrobca je povinný zopakovať posúdenie, ak dôjde k úprave produktu.

2.12.

Zvyšných 10 % produktov je rozdelených do dvoch ďalších kategórií (trieda I, menej nebezpečné a trieda II, nebezpečnejšie), ktorých uvedenie na trh si vyžaduje väčšiu pozornosť. Ide o tzv. „kritické produkty s digitálnymi prvkami“, ktorých chybnosť môže viesť k ďalším nebezpečným a širším narušeniam bezpečnosti.

2.13.

V prípade produktov v týchto dvoch triedach sú základné samocertifikácie oprávnené len vtedy, ak výrobca preukáže, že sa riadi osobitnými trhovými normami a bezpečnostnými špecifikáciami alebo certifikáciou kybernetickej bezpečnosti, ktorú už stanovila EÚ. V opačnom prípade môže získať certifikáciu produktu od akreditovaného certifikačného orgánu, ktorého osvedčenie je povinné pre produkty triedy II.

2.14.

Systém klasifikácie výrobkov do rizikových kategórií je obsiahnutý aj v návrhu nariadenia o umelej inteligencii. Aby sa predišlo pochybnostiam, pokiaľ ide o uplatniteľné ustanovenia, v akte o kybernetickej odolnosti sa zohľadňujú produkty s digitálnymi prvkami, ktoré sú podľa návrhu nariadenia o umelej inteligencii súčasne klasifikované ako „vysokorizikové systémy umelej inteligencie“. Takéto produkty budú vo všeobecnosti musieť byť v súlade s postupom posudzovania zhody stanoveným v nariadení o umelej inteligencii, s výnimkou „kritických produktov s digitálnymi prvkami“, na ktoré sa popri „základných požiadavkách“ aktu o kybernetickej odolnosti budú uplatňovať aj pravidlá posudzovania zhody podľa tohto aktu.

2.15.

S cieľom zabezpečiť súlad s aktom o kybernetickej odolnosti má každý členský štát povinnosť poveriť dohľadom príslušný vnútroštátny orgán. V súlade s právnymi predpismi týkajúcimi sa bezpečnosti iných výrobkov, ak vnútroštátny orgán zistí, že produkt nemá prvky kybernetickej bezpečnosti, jeho uvádzanie na trh sa môže v danom štáte pozastaviť. Agentúra ENISA má právomoc podrobne posúdiť nahlásený produkt a ak pri svojom posúdení zistí, že príslušný produkt nie je bezpečný, môže to viesť k pozastaveniu jeho uvádzania na trh v EÚ.

2.16.

Systém sankcií je v akte o kybernetickej odolnosti zaručený súborom sankcií – zodpovedajúcich závažnosti porušenia –, ktoré v prípade porušenia základných požiadaviek kybernetickej bezpečnosti produktov môžu dosiahnuť až 15 miliónov EUR alebo 2,5 % obratu za predchádzajúci daňový rok.

3.   Pripomienky

3.1.

EHSV víta iniciatívu Komisie, ktorou sa do širšej mozaiky predpisov o kybernetickej bezpečnosti vkladá kľúčový prvok, a to koordinovane a ako doplnok k smernici NIS (1) a navyše k aktu o kybernetickej bezpečnosti (2). Prísne normy kybernetickej bezpečnosti zohrávajú kľúčovú úlohu pri vytváraní spoľahlivého systému kybernetickej bezpečnosti EÚ pre všetky hospodárske subjekty, ako aj pri zaisťovaní bezpečného používania všetkých výrobkov na trhu pre občanov EÚ.

3.2.

Nariadenie sa teda zaoberá dvoma otázkami: nízkou úrovňou kybernetickej bezpečnosti mnohých produktov a predovšetkým skutočnosťou, že mnohí výrobcovia neposkytujú aktualizácie na odstránenie zraniteľností. Hoci výrobcovia produktov s digitálnymi prvkami niekedy utrpia poškodenie dobrého mena, keď ich produkty nie sú bezpečné, náklady vyplývajúce zo zraniteľností znášajú najmä profesionálni používatelia a spotrebitelia. To obmedzuje motiváciu výrobcov investovať do navrhovania a vývoja bezpečných produktov a poskytovať bezpečnostné aktualizácie. Okrem toho podnikom a spotrebiteľom často chýbajú dostatočné a presné informácie, pokiaľ ide o výber bezpečných produktov, a často nevedia, ako zabezpečiť, aby produkty, ktoré kupujú, boli konfigurované bezpečným spôsobom. Nové predpisy sa venujú týmto dvom aspektom tak, že riešia otázku aktualizácií a poskytovania aktuálnych informácií zákazníkom. EHSV sa domnieva, že v tomto zmysle by sa navrhované nariadenie v prípade správneho uplatňovania mohlo stať medzinárodnou referenčnou hodnotou a modelom v oblasti kybernetickej bezpečnosti.

3.3.

EHSV víta návrh na zavedenie požiadaviek na kybernetickú bezpečnosť produktov s digitálnymi prvkami. Bude však dôležité vyhnúť sa prekrývaniu s inými existujúcimi právnymi predpismi v tejto oblasti, ako je nová smernica NIS 2 (3) a nariadenie o umelej inteligencii.

3.4.

EHSV považuje za dôležité poukázať na to, že hoci je chvályhodné, že akt o kybernetickej odolnosti sa vzťahuje na takmer všetky digitálne produkty, môžu sa vyskytnúť problémy s jeho praktickým uplatňovaním vzhľadom na množstvo a zložitosť úkonov spojených s overovaním a kontrolou, ktoré z neho vyplývajú.

3.5.

Vecná pôsobnosť aktu o kybernetickej odolnosti je široká a vzťahuje sa na všetky produkty s digitálnymi prvkami. Podľa navrhovaného vymedzenia sú zahrnuté všetky softvérové a hardvérové produkty a súvisiace operácie spracovania údajov. EHSV navrhuje, aby Komisia objasnila, či všetok softvér patrí do rozsahu pôsobnosti návrhu nariadenia.

3.6.

Výrobcovia budú povinní oznamovať na jednej strane aktívne využívané zraniteľnosti a na strane druhej akékoľvek bezpečnostné incidenty. Budú musieť informovať agentúru ENISA o všetkých aktívne využívaných zraniteľnostiach obsiahnutých v produkte a (samostatne) o každom incidente, ktorý má vplyv na bezpečnosť produktu, a to v každom prípade do 24 hodín po tom, ako sa o ňom dozvedeli. V tejto súvislosti EHSV podotýka, že je potrebné, aby agentúra ENISA mala primerané zdroje z hľadiska počtu a odbornej pripravenosti svojich zamestnancov, aby mohla účinne vykonávať dôležité a citlivé úlohy, ktoré jej boli zverené nariadením.

3.7.

Skutočnosť, že na viaceré produkty, ktoré patria do rozsahu pôsobnosti návrhu, sa vzťahujú aj iné regulačné ustanovenia v oblasti kybernetickej bezpečnosti, by mohla viesť k neistote, pokiaľ ide o uplatniteľné právne predpisy. Hoci by akt o kybernetickej odolnosti mal podľa očakávaní byť v súlade so súčasným regulačným rámcom EÚ pre výrobky a ďalšími návrhmi v súčasnosti vypracúvanými v kontexte digitálnej stratégie EÚ, niektoré pravidlá, napríklad tie, ktoré sa týkajú vysokorizikových produktov umelej inteligencie, sa prekrývajú s pravidlami stanovenými v nariadení o spracúvaní osobných údajov. V tejto súvislosti EHSV navrhuje, aby Komisia vypracovala príslušné usmernenia pre výrobcov a spotrebiteľov s cieľom správne uplatňovať zavedené predpisy.

3.8.

EHSV konštatuje, že nie je úplne jasný vzťah medzi certifikačnými orgánmi v zmysle aktu o kybernetickej odolnosti a prípadnými inými orgánmi oprávnenými certifikovať kybernetickú bezpečnosť podľa iných rovnocenne uplatniteľných právnych predpisov.

3.9.

Certifikačné orgány sú navyše značne pracovne zaťažené a nesú veľkú zodpovednosť. Musí sa zaručiť ich operatívnosť v praxi s cieľom zabrániť tomu, aby akt o kybernetickej odolnosti viedol k zvýšeniu existujúcej byrokratickej záťaže pre výrobcov, ak chcú pôsobiť na trhu. V tejto súvislosti by bolo takisto dôležité, aby najmä MSP a mikropodniky mali prístup ku kvalifikovanej odbornej podpore, ktorá by bola schopná poskytovať špecifické odborné služby.

3.10.

V akte o kybernetickej odolnosti sa stanovuje, že certifikačné orgány zohľadňujú osobitné potreby MSP pri poskytovaní svojich služieb, EHSV však poukazuje na potrebu objasniť kritériá uplatňovania.

3.11.

Navyše hrozí, že bude problematická koordinácia medzi orgánmi dohľadu stanovenými v tomto nariadení a orgánmi dohľadu, ktoré už pôsobia podľa iných predpisov uplatniteľných na rovnaké produkty. EHSV preto Komisii navrhuje vyzvať členské štáty, aby túto situáciu sledovali a v prípade potreby prijali nápravné opatrenia.

---

(1)  Smernica Európskeho parlamentu a Rady (EÚ) 2016/1148 zo 6. júla 2016 o opatreniach na zabezpečenie vysokej spoločnej úrovne bezpečnosti sietí a informačných systémov v Únii (Ú. v. EÚ L 194, 19.7.2016, s. 1).

(2)  Nariadenie Európskeho parlamentu a Rady (EÚ) 2019/881 zo 17. apríla 2019 o agentúre ENISA (Agentúra Európskej únie pre kybernetickú bezpečnosť) a o certifikácii kybernetickej bezpečnosti informačných a komunikačných technológií a o zrušení nariadenia (EÚ) č. 526/2013 (akt o kybernetickej bezpečnosti) (Ú. v. EÚ L 151, 7.6.2019, s. 15).

(3)  Smernica Európskeho parlamentu a Rady (EÚ) 2022/2555 zo 14. decembra 2022 o opatreniach na zabezpečenie vysokej spoločnej úrovne kybernetickej bezpečnosti v Únii, ktorou sa mení nariadenie (EÚ) č. 910/2014 a smernica (EÚ) 2018/1972 a zrušuje smernica (EÚ) 2016/1148 (smernica NIS 2) (Ú. v. EÚ L 333, 27.12.2022, s. 80).