Povinnosť certifikácie a označovania bude platiť na trhoch Európskej únie pre všetok softvér a hardvér.
Týkať sa bude všetkých produktov, od detských monitorov, inteligentných hodiniek a počítačových hier až po firewally a smerovače. Fázované prechodné obdobie sa začne rokom 2024. Nariadenie o kyberodolnosti (Cyber Resilience Act – CRA) takto reaguje na rastúci počet kybernetických útokov na firmy a občanov. V praxi predstavuje právny rámec, ktorý popisuje požiadavky na kybernetickú bezpečnosť hardvérových a softvérových produktov.
Hodnota trhu produktov s digitálnymi prvkami v EÚ sa odhaduje na 1,485 miliárd eur. Po publikovaní nariadenia v Úradnom vestníku EÚ sa začne adopcia certifikačných schém v členských krajinách. Produkty s rôznymi úrovňami rizika budú mať rôzne bezpečnostné požiadavky. Zároveň nariadenie prihliada na fakt, že sektory ako medicína, verejná správa, energetika, finančníctvo majú špecifické požiadavky na bezpečnosť širokého spektra produktov.
„Stále dôležitejšia bude aj certifikácia domácich Wi-Fi routerov, digitálnych vrátnikov a ďalších smart zariadení inteligentnej domácnosti. Poskytuje konkrétne záruky, že zariadenie má istú úroveň ochrany pred kyberbezpečnostnými rizikami,“ upozorňuje Ivan Kopáčik, riaditeľ odboru certifikácie Kompetenčného a certifikačného centra (KCCKB).
Výrobcovia budú povinní brať kyberbezpečnosť zodpovedne a dôsledne počas celého životného cyklu produktov. Nariadením sa zavedie aj zákonná povinnosť výrobcov poskytovať spotrebiteľom včasné bezpečnostné aktualizácie počas predpokladaného obdobia používania produktu. Očakáva sa, že zavedením klesnú škody v dôsledku bezpečnostných incidentov v únii každoročne o vyše 180 miliárd eur.
Softvérovým vývojárom a výrobcom hardvéru takto pribudnú povinnosti, ktoré reflektujú požiadavky na kybernetickú bezpečnosť, ako posudzovanie zhody, označovanie výrobkov, príslušná dokumentácia a oznamovanie zraniteľností. Odhaduje sa, že priame náklady na dodržiavanie Nariadenia na dosiahnutie súladu narastú do výšky približne 29 miliárd eur.
Akonáhle Európska komisia schváli pripravené certifikačné schémy a tie budú adoptované na národnej úrovni, relevantné inštitúcie musia požiadať o akreditáciu Slovenskú národnú akreditačnú službu. Kyberbezpečnostné certifikáty vydané národnými certifikačnými orgánmi v EÚ sú uznávané vo všetkých členských štátoch. „Pozorne sledujeme európsky legislatívny proces, aby sme zabezpečili výkon posudzovania zhody čo najskôr.
Viditeľné označovanie parametrov štítkami je bežnou praxou pre rôzne typy produktov. Bezpečnostná certifikácia bude pre spotrebiteľov ďalším spôsobom označovania kvality. Zároveň však prispeje ku kyberodolnosti únie.“ uzatvára generálny riaditeľ KCCKB Ivan Makatura.