Od září začnou platit nové povinnosti, které zásadně změní přístup ke kybernetické bezpečnosti výrobků s digitálními prvky. Jejich tvůrci nově ponesou odpovědnost i za jejich bezpečnost před virtuální hrozbou po celou dobu podpory. Když úřady odhalí chyby nebo slabiny v zabezpečení chytrých výrobků, mohou jejich prodej dokonce úplně zakázat.

Co mají společného chytré hodinky, dětská chůvička, pračka s aplikací, videohra a průmyslový řídicí systém? Na první pohled téměř nic. Na všechny ale dopadnou nová evropská pravidla kybernetické bezpečnosti výrobků s digitálními prvky. Spadají totiž do kategorie IoT, tedy produktů vybavených elektronikou, které mezi sebou umí komunikovat nebo se propojit přes internet.

Důvodem nové regulace je prudký nárůst počtu výrobků, které jde tímto způsobem propojit, a stále rostoucí hrozba kybernetických útoků. Zatímco v roce 2015 mělo připojení k internetu přibližně 3,8 miliardy zařízení, letos už jejich počet přesahuje 21 miliard a do roku 2030 může dosáhnout až 40 miliard. Mnohá z nich přitom trpí nízkou úrovní zabezpečení a výrobci jim neposkytují bezpečnostní aktualizace.

„Kyberbezpečnost bývá u těchto produktů často na úplném okraji zájmu. Výrobci běžně dodávají systémy s jednoduchými přednastavenými hesly a neuzamčenými Wi-Fi sítěmi, které slouží pro prvotní konfiguraci,“ upozorňuje generální ředitel ČMIS Václav Svátek. Právě to mají nová evropská pravidla změnit.

Bezpečnost od vývoje až po likvidaci

Jde o zásadní obrat v pojetí výrobků. „Výrobce už nenese odpovědnost jen za funkčnost produktu, ale i za jeho kybernetickou bezpečnost po celou dobu podpory, kterou sám stanoví,“ vysvětluje partner advokátní kanceláře Rowan Legal Josef Donát.

Nemá přitom jít jen o jednorázové splnění technických požadavků před uvedením výrobku na trh. Výrobci musí zavést bezpečný vývoj, průběžně sledovat nově objevené zranitelnosti, vydávat bezpečnostní aktualizace a mít pod kontrolou všechny komponenty použité ve svých produktech.

„Nařízení o kybernetické odolnosti nevyžaduje produkt bez jediné zranitelnosti, ale systémový přístup k jejich řešení,“ vysvětluje Donát.

Podle Národního úřadu pro kybernetickou a informační bezpečnost (NÚKIB) to znamená, že řada výrobců bude muset zásadně upravit své procesy a postupy zejména v oblasti řízení zranitelností, bezpečnostních aktualizací a dokumentace výrobků. „Nařízení totiž přináší systematický přístup k bezpečnosti po celou dobu životního cyklu produktu,“ říká mluvčí úřadu Jakub Neščivera.

Mohlo by vás zajímat

První povinnost začne platit už letos

Ačkoli se o plné účinnosti evropské regulace mluví až v souvislosti s prosincem 2027, první změna přijde mnohem dříve. „Od září 2026 nevstupuje v účinnost celé nařízení, ale článek 14, který ukládá výrobcům povinnost oznamovat aktivně zneužívané zranitelnosti,“ upozorňuje partner advokátní kanceláře Sedlakova Legal Jiří Hradský.

Ohlašovací povinnost se přitom netýká jen nově zaváděných výrobků, ale všech, které na trhu už jsou. „To je zásadní, protože, alespoň z mého okruhu klientů, je to oblast, které zatím moc nevěnují pozornost,“ pokračuje Hradský.

Výrobci budou muset zranitelnosti hlásit národnímu týmu pro řešení počítačových bezpečnostních incidentů CSIRT i evropské agentuře ENISA. První oznámení budou muset podat do 24 hodin od jejich zjištění, následovat bude doplnění informací a závěrečná zpráva.

Jak může pračka nebo lednička ohrozit bezpečnost domácnosti? „Výrobci běžně dodávají systémy s jednoduchými přednastavenými hesly a neuzamčenými Wi-Fi sítěmi, které slouží pro prvotní konfiguraci,“ upozorňuje generální ředitel ČMIS Václav Svátek. Foto: ČMIS

Český adaptační zákon, který vymezuje pravomoci domácích institucí a zavádí i sankce a pokuty, je sice teprve v připomínkovém řízení, a nejspíš tak nebude v září ještě platit. Výrobci by na něj ale neměly čekat. „Základní povinnosti výrobců vyplývají přímo z evropského nařízení,“ připomíná Donát. Vymahatelné jsou v Česku přímo bez ohledu na to, zda zdejší parlament přijme či nepřijme adaptační zákon.

Továrna ovládnutá hackery. To jsme už zažili

Připojená zařízení dnes najdeme nejen v domácnostech, ale také v průmyslu, energetice nebo dopravě. Pokud nejsou dostatečně zabezpečena, mohou se stát vstupní branou pro kybernetické útoky.

Mezi nejčastější slabiny podle NÚKIB patří používání výchozích nebo slabých hesel, chybějící bezpečnostní aktualizace, nešifrovaná komunikace nebo závislost na složitých dodavatelských řetězcích. „Tyto nedostatky mohou vést k jejich zneužití například pro tvorbu botnetů, tedy zařízení, která na dálku ovládá bez vědomí jejich majitelů, nebo jako vstupní bod do širší infrastruktury,“ varuje mluvčí úřadu Jakub Neščivera.

Nejde přitom zdaleka o teoretické riziko. „Útočníci dokáží skrze tyto slabiny ovládnout celé systémy, na dálku zastavit výrobu elektřiny v době nejvyššího výkonu a majitele finančně poškodit. To se už v Evropě reálně stalo,“ upozorňuje Václav Svátek.

Bezpečnost už od vývoje

Nařízení tak mění celý přístup k vývoji digitálních produktů. „Výrobci musí přestat bezpečnost vnímat jako otravnou administrativní položku, kterou vyřeší formálním auditem. Pokud vyvíjejí nebo inovují IT produkt, bezpečnostní standardy musí být pevnou součástí technologie už od začátku,“ říká generální ředitel ČMIS Václav Svátek.

V praxi to podle něj znamená například zavedení vícefaktorového ověřování u vzdáleného přístupu. Výrobci také musí zavést pravidelné testování proces řízení zranitelností, vydávání bezpečnostních aktualizací a monitorování nových hrozeb.

Pokuta 15 milionů eur jen za chybějící pokyny či kontakty v češtině? Vážná hrozba pro výrobce. „Vídám dnes a denně, že se software vyvíjí už jen v anglickém jazyce, protože mu stejně všichni uživatelé, kteří jej chtějí používat, rozumí, produkt je mezinárodní,“ varuje advokát Jiří Hradský. Foto: Radek Čepelák

„Výrobce musí mít také přehled o komponentech použitých v produktu, včetně open-source knihoven, a být schopen doložit jejich správu. Klíčová je i povinnost stanovit pro každý produkt dobu podpory. Nařízení vyžaduje minimálně 5 let, pokud není očekávaná životnost výrobku kratší,“ uvádí Donát.

Pokuta není to nejhorší

Za porušení pravidel mohou výrobcům hrozit pokuty až 15 milionů eur nebo 2,5 procenta celosvětového ročního obratu. Podle Donáta se přitom nejvyšší sankce nevztahují jen na uvedení nebezpečného výrobku na trh, ale také na chybějící procesy pro řízení zranitelností nebo i ‚pouhé‘ neohlášení zranitelností, což vstupuje v účinnost právě od září tohoto roku.

Výrobce ale může stihnou ještě mnohem fatálnější postih. „Dozorový orgán může nařídit stažení produktu z trhu nebo zakázat jeho distribuci. Pokuta je jednorázová rána, stopka pro produkt znamená nulové tržby a otevřené dveře pro konkurenci,“ varuje Jiří Hradský ze Sedlakova Legal.

Zároveň připomíná jednu překvapivou část českého návrhu. Horní hranice pokuty 15 tisíc eur nebo 2,5 % obratu totiž hrozí i za zdánlivě bezvýznamná pochybení. Jde o případy, kdy výrobce neuvede kontaktní údaje v češtině nebo nezajistí informace a pokyny k výrobku v českém jazyce.

„Toto je určitě pro výrobce software zásadní. Vídám dnes a denně, že se software vyvíjí už jen v anglickém jazyce, protože mu stejně všichni uživatelé, kteří jej chtějí používat, rozumí, produkt je mezinárodní,“ podotýká Hradský.

Na papíře to stačit nebude

Přestože odborníci nová pravidla většinou vítají, upozorňují, že sama o sobě bezpečnost výrobků nezlepší. „Jsem k těmto rychlým politickým regulacím dlouhodobě skeptický. Zkušenosti s GDPR nebo NIS2 ukazují, že výsledkem bývá často spíše byrokratický armagedon. Firmy utrácejí miliony za audity a směrnice, ale skutečná provozní bezpečnost se neposune ani o milimetr,“ říká Svátek.

Výrobci podle bezpečnostních expertů hrozby často podceňují nebo je upozaďují ve prospěch obchodního úspěchu. Aby tedy mohl nastat skutečný obrat v bezpečnosti, musí si nejprve uvědomit rizika, kterým chytrá zařízení skrze připojení k internetu čelí a změnit svůj postoj k nim.

„Pokud nedojde ke skutečné změně kultury, dlouhodobému vzdělávání manažerů a reálnému přemýšlení nad riziky, nařízení trh spasí jen na papíře,“ uzavírá Svátek.