V reakci na narůstající kybernetické hrozby a potřebu zvýšené ochrany v digitálním prostoru představuje Evropská unie revoluční kroky v oblasti standardizace a certifikace kybernetické bezpečnosti. Tento článek se zaměřuje na dva klíčové legislativní milníky – Akt o kybernetické bezpečnosti (CSA) a Akt o kybernetické odolnosti (CRA), které společně definují novou éru v ochraně digitálních produktů, služeb a infrastruktur v EU.
Akt o kybernetické odolnosti kybernetická bezpečnost certifikace standardizace Akt o kybernetické bezpečnosti
V posledních letech se Evropská unie stala svědkem bezprecedentního nárůstu kybernetických hrozeb, které ohrožují nejen bezpečnost jejích občanů, ale i ekonomickou a sociální stabilitu celého kontinentu. V reakci na tyto výzvy přijala EU proaktivní přístup k posílení kybernetické bezpečnosti prostřednictvím komplexního rámce regulací, který zahrnuje především směrnici NIS2, Akt o kybernetické bezpečnosti (CSA), Akt o kybernetické odolnosti (CRA), Akt o kybernetické solidaritě (CSolA) či nařízení o Evropském centru kompetence pro kyberbezpečnost (ECCC). Tyto regulace představují základní stavební kameny pro posílení kybernetické bezpečnosti v EU a každá z nich hraje specifickou roli v rámci komplexního rámce ochrany digitálního prostředí v Evropě.
Směrnice NIS2 aktualizuje a rozšiřuje působnost původní směrnice NIS s cílem zvýšit úroveň kybernetické bezpečnosti napříč EU. Klade větší důraz na zajištění bezpečnosti sítí a informačních systémů v kritických sektorech, jako jsou energetika, doprava, zdravotní péče a digitální infrastruktura, rozšiřuje seznam odvětví, která musejí splňovat její požadavky, a zavádí přísnější povinnosti v oblasti řízení rizik a oznamování incidentů. Směrnice se brzy promítne do českého právního řádu v podobě novely zákona o kybernetické bezpečnosti a již nyní je jí věnována široká pozornost.
Akt o kybernetické bezpečnosti zavádí celounijní rámec pro certifikaci kybernetické bezpečnosti produktů, služeb a procesů, což má za cíl zvýšit důvěru v digitální trh tím, že poskytuje transparentní a jednotné hodnocení bezpečnosti IT produktů a služeb. CSA rovněž posiluje úlohu ENISA jako klíčového hráče v oblasti kybernetické bezpečnosti v EU, který podporuje členské státy, instituce a podniky. Jelikož do současné doby v nastaveném certifikačním rámci neexistovala žádná certifikační schémata, nebyla zatím této právní úpravě věnována širší mediální pozornost.
Relativní novinkou je pak návrh Aktu o kybernetické odolnosti, který se zaměřuje na zvýšení bezpečnosti produktů s digitálními prvky a spotřebitelská IoT zařízení. CRA stanoví povinné požadavky na kybernetickou bezpečnost pro výrobce a maloobchodníky a zavede systém označování CE, který bude potvrzovat, že produkty splňují normy EU pro kybernetickou bezpečnost, čímž by mělo dojít ke zvýšení ochrany spotřebitelů a k posílení důvěry v digitální ekonomiku.
Zajímavou iniciativou je návrh Aktu o kybernetické solidaritě, který je zaměřen na posílení spolupráce a koordinace mezi členskými státy EU v případě významných kybernetických incidentů nebo krizí. CSolA zavede evropský štít pro kybernetickou bezpečnost, který se bude skládat z bezpečnostních operačních středisek propojených v celé EU a podpoří výměnu informací, kapacit a nejlepších postupů v oblasti kybernetické bezpečnosti.
Konečně nařízení o ECCC zakládá Evropské centrum kompetence pro kyberbezpečnost spolu se sítí národních koordinačních center s cílem koordinovat a posilovat spolupráci v oblasti kybernetické bezpečnosti na úrovni EU. ECCC má za úkol podporovat výzkum, vývoj a nasazení pokročilých kybernetických bezpečnostních technologií a zvyšovat celkovou kybernetickou odolnost EU.
Tyto předpisy společně tvoří ucelený rámec, který řeší různé aspekty kybernetické bezpečnosti – od zajištění bezpečnosti kritické infrastruktury a zvýšení důvěry v digitální produkty a služby přes posílení odolnosti spotřebitelských produktů až po zlepšení koordinace a reakce na incidenty na úrovni EU. Předpokladem dobrého fungování je jejich vzájemná synergie umožňující komplexní přístup k řešení kybernetických hrozeb a posilování kybernetické bezpečnosti v celé Evropské unii. Současně však může složitost celého mechanismu způsobit jeho nepřehlednost pro regulované subjekty, zvlášť při zohlednění návazné technologicky či sektorově specifické regulace.
Obr. 1: Vysvětlení role jednotlivých předpisů
Následující text se věnuje především dvěma předpisům z této regulatorní mozaiky, jejichž dopadu na trh s informačními a komunikačními technologiemi (ať už se jedná o specifické služby či digitální produkty) není zatím v českém prostředí věnována dostatečná pozornost – Akty o kybernetické bezpečnosti a kybernetické odolnosti. Tyto předpisy cílí na vytvoření evropských mechanismů pro standardizaci a certifikaci za účelem zvýšení úrovně zabezpečení produktů a služeb od obyčejných spotřebitelských zařízení až po významné cloudové služby.
Reinkarnace certifikace dle Aktu o kybernetické bezpečnosti
Akt o kybernetické bezpečnosti byl přijat již v roce 2019, přičemž se jednalo o revoluční počin, a to nejen na úrovni unijní
kyberbezpečnostní regulace, ale v zásadě na úrovni světové, neboť zaváděný rámec certifikace kybernetické bezpečnosti informačních a komunikačních technologií (IKT) s nadnárodně uznatelnými certifikáty nemá na světě obdobu. Nejednalo se pouze o reakci na zhoršující se kyberbezpečnostní situaci, ale také na fragmentaci unijního digitálního trhu a nedostatky v dosud užívaných systémech, přičemž nejdůležitější byl systém Společných kritérií (Common Criteria). Systém představený v CSA se měl stát pomyslným lékem na tyto nedostatky, kvůli čemuž se s ním pojila velká očekávání.1 ENISA2 a Evropská komise, kterým byl svěřen úkol navrhovaný systém zrealizovat, ovšem narazily na stejné problémy, se kterými se nepříliš úspěšně potýkají mj. Společná kritéria, a vlastní limitace, zejména expertní. Nedošlo tak k dodržení žádného z termínů, které CSA předepsal pro vydání klíčových podpůrných materiálů, a příprava samotných schémat na dlouhou dobu „zamrzla“. Postoj k tomuto certifikačnímu rámci tak na dlouhou dobu ovládla skepse a až v roce 2024 došlo k zásadním posunům v této oblasti – k publikaci nařízení provádějícího první certifikační schéma a publikaci průběžného pracovního programu Unie pro evropskou certifikaci kybernetické bezpečnosti (URWP).
V první řadě se zaměříme na druhý zmíněný milník. URWP se měl stát klíčovým strategickým dokumentem pro celý certifikační systém, neboť měl pomoci připravit trh na příchod jednotlivých certifikačních schémat. Přestože je celý rámec založený primárně na dobrovolném přístupu (ačkoli Komise může použití některých schémat nařídit), panevropské představení certifikačních schémat s sebou stále nese zásadní dopady na unijní trh. Proto měla Komise zveřejnit URWP, ve kterém by představila strategické priority pro certifikaci a chystaná schémata, což by umožnilo výrobcům i certifikačním autoritám se na jejich příchod připravit.3 K tomu mělo poprvé dojít 28. června 2020,4 první URWP byl ale publikován až 7. února 20245 (pro porovnání – zmíněné prováděcí nařízení bylo publikováno 31. ledna 2024, a tedy nástroj, který měl mj. informovat o příchodu certifikačních schémat, byl publikován až po publikaci prvního z nich).
Samotný text URWP neobsahuje zásadní odchylky od návrhu, který jsme rozebírali v minulém článku,6 přičemž za strategické priority označuje principy security-by-design, security- -by-default, zajišťování bezpečnosti napříč životním cyklem technologií, přístup založený na analýze rizik a zásadu koherence certifikačního rámce (např. tedy využívání již existujících certifikátů a procesů v rámci nových certifikačních schémat).7 URWP též zdůrazňuje důležitost kooperace, a to jak na mezinárodním poli (mj. v rámci systému Společných kritérií), tak se standardizačními iniciativami.8
Zajímavější částí URWP je pak popsání interakce s dalšími předpisy unijní kyberbezpečnostní regulace, na jejíž komplexnost a komplikovanost jsme poukazovali v předešlé části. V první řadě je vhodné uvést, že samotné nařízení CSA dozná změn, neboť právě se v legislativním procesu nalézá pozměňovací návrh, který rozšiřuje působnost certifikačního rámce i na tzv. řízené bezpečnostní služby.9 Těmi jsou myšleny služby „poskytované třetí straně (a) spočívající v provádění činností souvisejících s řízením kybernetických bezpečnostních rizik nebo v poskytování pomoci či poradenství při takových činnostech včetně řešení incidentů, penetračního testování, bezpečnostních auditů a konzultační činnosti.“10 Význam těchto služeb při zajišťování kybernetické bezpečnosti, a to zvláště v rámci veřejného sektoru, se neustále zvyšuje, přičemž některé členské státy si začaly vytvářet vlastní certifikační schémata, čímž je trh ohrožen další fragmentací.11 To je také důvod, který vede k úpravě daného nařízení. Navíc, certifikace řízených bezpečnostních služeb je jedním z výběrových kritérií pro zahrnutí důvěryhodných poskytovatelů do rezervy EU pro kybernetickou bezpečnost.12
Na druhém místě je pak interakce se směrnicí NIS 2, která v článku 24 umožňuje státům stanovit povinným subjektům povinnost využívání technologií certifikovaných v souladu s certifikačním rámcem dle CSA jako jeden z prostředků prokázání shody. Neméně podstatnou interakcí je i chystaná certifikace evropských peněženek digitální identity dle čl. 6c návrhu nařízení, kterým se mění nařízení č. 910/2014 (eIDAS), pokud jde o zřízení rámce pro evropskou digitální identitu. I zde se totiž počítá s využitím certifikačního rámce dle CSA.
S certifikačním rámcem se počítá i v řadě dalších chystaných předpisů (mj. v Aktu o umělé inteligenci). Pravděpodobně nejdůležitějším a zároveň nejpřekvapivějším je však CRA samo. Jak je patrné v další části, i CRA totiž představuje certifikační procedury a povinnosti, a to relativně značně široké a spíše na nižších úrovních záruky. Není úplně zřejmé, proč se Komise rozhodla opustit ideu certifikačního schématu LES13, která byla zahrnuta v návrhu URWP a která měla fakticky shodné parametry s certifikačním cyklem dle CRA.14 Toto rozštěpení pak způsobuje poněkud nepochopitelný překryv mezi procesy a kapacitami v rámci certifikačního rámce dle CSA a požadavky CRA.
Hotová, připravovaná a plánovaná certifikační schémata
Dne 31. ledna 2024 bylo dokončeno prováděcí nařízení Komise 2024/482, které implementovalo do certifikačního rámce první certifikační schéma založené na Společných kritériích (EUCC). Tímto schématem dochází k převzetí funkcí dosud nejrozšířenějšího mezinárodně uznávaného systému (Společná kritéria) v kombinaci s profily a dalšími prvky, které byly vytvořeny společenstvím SOG-IS.15 Samotné schéma bylo známé již delší dobu, celý proces se zastavil na přípravě akreditačních schémat pro certifikační autority (tedy set požadavků, které musejí tyto subjekty naplnit, aby mohly certifikaci provádět). K publikaci některých z těchto dokumentů došlo až na konci října 2023, zbytek bude nutné dotvořit i na národních úrovních, což ale ve výsledku umožnilo toto schéma finalizovat. U certifikačních autorit, které jsou akreditovány v souladu s akreditačním schématem EUCC, tak bude možné certifikovat dané technologie (např. čipové karty) dle požadavků daného certifikačního schématu od 27. února 2025.16
Je však nutné zdůraznit, že EUCC nepovoluje metodu samo-posouzení a úroveň bezpečnosti u posuzovaných technologií musí být relativně vysoká (rozhodně se tak nejedná o schéma pro každého výrobce).17 Navíc se dá očekávat, že prim mezi akreditovanými certifikačními autoritami dle tohoto schématu budou hrát subjekty, které byly akreditovány k posuzování shody dle Společných kritérií, neboť akreditační požadavky jsou pro nové autority relativně dost náročné.18
Jiným se v tomto ohledu může ukázat druhé certifikační schéma, které by mohlo být v dohledné době dokončeno, a to schéma zaměřené na bezpečnost cloudových služeb (EUCS). Jedná se o schéma, které je podstatně flexibilnější a zároveň blízké i subjektům v České republice (zejména kvůli aktivitě NÚKIB v této oblasti), a je tak možné očekávat, že by zde mohlo dojít k vytvoření akreditované certifikační autority zaměřené právě na toto schéma.
Třetí připravované schéma, které pravděpodobně nebude letos dokončeno, je zaměřené na certifikaci bezpečnosti 5G technologií (EU5G). Nedošlo však ještě ke zveřejnění, a dané schéma tak není možné detailněji rozebrat.
Mezi oblasti, u kterých se plánuje budoucí zahrnutí do certifikačního rámce, patří již zmíněné řízené bezpečnostní služby, peněženky digitální identity, umělá inteligence, schémata související s certifikací dle CRA a pak schémata zaměřená na internet věcí, bezpečný kyberbezpečnostní vývoj technologií, kryptografické mechanismy a v neposlední řadě schéma s omezenou dobou posuzování (fixed-time evaluation – FTE).19 Poslední zmíněné představuje poněkud zvláštní pozůstatek zmiňovaného LES schématu, které je ve značném překryvu s principy certifikace, jak je vyžaduje CRA, a není tak v tuto chvíli jasné, zda skutečně dojde k jeho zahrnutí.
Akt o kybernetické odolnosti
Implementace Aktu o kybernetické odolnosti (CRA) bude představovat zásadní krok k ochraně spotřebitelů a organizací před kybernetickými hrozbami. Toto nařízení, které je zásadní součástí širší strategie EU pro kybernetickou bezpečnost, se zaměřuje na zvýšení bezpečnosti produktů s digitálními prvky a klade důraz na celý životní cyklus těchto produktů od návrhu až po uvedení na trh. CRA vyžaduje, aby výrobci, dovozci a distributoři produktů s digitálními prvky splňovali nové závazné požadavky na kybernetickou bezpečnost.
Produkty s digitálními prvky jsou v CRA definované jako „jakékoli softwarové nebo hardwarové produkty a jejich řešení pro dálkové zpracování dat včetně softwarových nebo hardwarových součástí, které mají být uvedeny na trh samostatně“20, je jimi tedy myšleno široké spektrum produktů od spotřební elektroniky až po pokročilé technologické komponenty a zahrnují
hardware i software. Nařízení se tak vztahuje na zařízení od chytrých telefonů, počítačů, domácích spotřebičů s připojením k internetu až po průmyslové kontrolní systémy a IoT (Internet věcí) zařízení. Tyto produkty pak CRA třídí podle významnosti na základní, významné a kritické21 – zařazení určuje rozsah kyberbezpečnostních požadavků a způsoby posouzení shody s plněním těchto požadavků. U produktů v základní kategorii bude prováděno sebehodnocení, u významných posouzení nezávislou autoritou a u kritických certifikace ve smyslu CSA.
Základem CRA je požadavek, aby produkty s digitálními prvky byly navrženy, vyvinuty a vyrobeny s odpovídající úrovní kybernetické bezpečnosti založené na posouzení rizik. Zahrnutý je požadavek na to, aby byly produkty dodávány bez známých zneužitelných zranitelností a z výroby nastaveny v bezpečné konfiguraci. Kromě toho budou produkty muset obsahovat mechanismy pro ochranu před neoprávněným přístupem, chránit důvěrnost a integritu uchovávaných nebo přenášených údajů a zajišťovat dostupnost základních funkcí. Výrobci budou rovněž povinni minimalizovat sběr a zpracování osobních a jiných údajů na nezbytné minimum. Produkty by měly být navrženy tak, aby omezily možnosti pro útoky a snížily dopad jakéhokoli incidentu prostřednictvím vhodných mechanismů a technik. Tyto technické požadavky bude nutné vyhodnocovat u všech produktů s digitálním prvkem a bude nutné jejich splnění dokumentovat.22
Další klíčový aspekt CRA se týká řešení zranitelností. Výrobci budou mít povinnost identifikovat a dokumentovat zranitelnosti jejich produktů, vypracovat a vést softwarové kusovníky (SBOM)23 a neprodleně řešit zjištěné zranitelnosti prostřednictvím vytváření a distribuce bezpečnostních aktualizací. CRA také obsahuje požadavek na pravidelné testování a přezkum bezpečnosti produktů a na zveřejňování informace o opravených zranitelnostech v rámci každé bezpečnostní aktualizace. Výrobci budou také povinni zavést politiku koordinovaného odhalování zranitelností a usnadnit sdílení informací o možných zranitelnostech.
CRA rovněž obsahuje požadavky na informovanost spotřebitelů. Ti by měli s produktem získat i informace o jeho funkcionalitách, pokyny pro jeho bezpečné využívání a informace o jeho bezpečnostních vlastnostech a době, po kterou budou pro produkt vytvářeny bezpečnostní aktualizace. Produkty splňující požadavky na kybernetickou bezpečnost budou moci nést označení CE, což spotřebitelům signalizuje, že produkt splňuje vysoké standardy EU v oblasti kybernetické bezpečnosti.
Akt o kybernetické odolnosti představuje významný krok vpřed v ochraně spotřebitelů a podniků v digitálním prostředí EU. Jeho implementace bude klíčová pro zajištění, že produkty a služby uvedené na trh nejen splňují nejvyšší standardy kybernetické bezpečnosti, ale také podporují důvěru a bezpečnost v rámci digitální ekonomiky. Ani CRA ale není prost určitých kontroverzí, odborná veřejnost spatřuje rizika jeho implementace např. v možných dopadech na vývojáře otevřeného softwaru, v rozsahu administrativní zátěže především na malé podniky a startupy a související zpomalení inovací či v prohloubení nepřehlednosti mozaiky
kyberbezpečnostních předpisů, především ve vazbě na další standardizační a certifikační mechanismy24.
Interakce mezi CSA a CRA
Jak jsme již výše naznačili, CSA i CRA úzce pracují s procedurami posuzování shody, standardizací a certifikací. Vztah CRA k certifikačnímu rámci dle CSA je zachycen hned na několika místech návrhu CRA.25 Je však patrné, že certifikace dle CSA je využita spíše jako podpůrná či dodatečná procedura prokazující soulad s CRA (k čemuž bude nutné, aby byla do certifikačního rámce zavedena příslušná certifikační schémata, která by toto posuzování umožňovala), přičemž CRA představuje i vlastní procedury posuzování shody.26 Je otázkou, proč k tomuto kroku bylo přistoupeno, když certifikační rámec dle CSA nabízel většinu procesů, kapacit a služeb, které mohly být přímo za účely prezentovanými v CRA využité. Je to s podivem i s ohledem na existenci připravovaných LES a FTE certifikačních schémat.
Dvoukolejností, kterou představuje CRA v tomto ohledu, dojde pravděpodobně ke zbytečnému znepřehlednění trhu, nárůstu byrokracie a dezintegraci jednotné úrovně posuzovacích procedur (posuzování budou provádět nejen certifikační autority dle CSA27). Potenciálním důvodem pro tento nepříliš uspokojivý regulatorní přístup, může být dlouhodobá nefunkčnost certifikačního rámce, která mohla normotvůrce naplnit nejistotou ohledně budoucí efektivity daných nástrojů. Vzhledem k „reinkarnaci“ certifikačního rámce však bude výsledná interakce mezi CSA a CRA přinejmenším zmatečná.
Závěr
Kyberbezpečnostní regulatorní prostředí Unie se od dob představení první směrnice NIS podstatně zkomplikovalo a znepřehlednilo. Relevantní povinnosti se rozšiřují o předpisy regulující obecnou bezpečnost zařízení a software (CRA), bezpečnost produktů, služeb a procesů (CSA), spolupráci a koordinaci ve výzkumu (ECCC) a mezi členskými státy (CSolA) či sektorové předpisy jako DORA. Směrnici NIS 2 a novému zákonu o kybernetické bezpečnosti se nyní v českém prostředí věnuje většinová pozornost. Klíčovou roli z pohledu dopadu na český trh však představují i nově reinkarnovaný CSA a přicházející CRA, a to zejména kvůli povinnostem, které z nich mohou vyplynout pro české výrobce a poskytovatele.
Právě na aspekty standardizace a certifikace, jejichž vliv i na český trh bude pravděpodobně zásadní, jsme se tudíž zaměřili v tomto článku. V prvé řadě jsme představili relevantní novinky reinkarnovaného certifikačního rámce dle CSA, čímž jsme navázali na naše minulé články v Data Security Management, a dále jsme představili základní fungování CRA a potenciálně problematické překryvy, které mezi sebou tyto dva předpisy mají, spočívající mj. v nárůstu administrativní zátěže, nepřehledné dvoukolejnosti obou systémů a relevantních kapacit či rozpadu jednotné úrovně posuzujících subjektů – certifikačních autorit.
Poznámky pod čarou:
- Více jsme se rozboru CSA a počátků certifikace kybernetické bezpečnosti IKT věnovali v minulých článcích. Viz Stupka, Václav a Jakub Vostoupal. Evropský certifikační rámec kyberbezpečnosti ICT produktů, služeb a procesů. Data Security Management. Praha: TATE International, s. r. o., 2020, roč. 24, č. 2, s. 25–29; a Stupka, Václav a Jakub Vostoupal. První rok Aktu o kybernetické bezpečnosti aneb co je nového? Data Security Management. TATE International, s. r. o., 2020, roč. 24, č. 4, s. 11–14.
- Evropská agentura pro kybernetickou bezpečnost
- Čl. 47 CSA
- Tamtéž
- Union Rolling Work Programme for European cybersecurity certification [online]. European Commission. 7. 2. 2024 [cit. 8. 3. 2024]. https://digital-strategy. ec.europa.eu/en/library/union-rolling-work-programme-european-cybersecurity-certification
- Stupka, Václav a Jakub Vostoupal. První rok Aktu o kybernetické bezpečnosti aneb co je nového? Data Security Management. TATE International, s. r. o., 2020, roč. 24, č. 4, s. 11–14.
- Union Rolling Work Programme for European cybersecurity certification, 2024
- Ibid
- Cutajar, J. Zpráva č. A9-0307/2023, o návrhu nařízení Evropského parlamentu a Rady, kterým se mění nařízení (EU) 2019/881, pokud jde o řízené bezpečnostní služby [online]. Evropský parlament. 26. 10. 2023 [cit. 9. 3. 2024]. https://www.europarl.europa.eu/doceo/document/A-9-2023-0307_CS.html
- Ibid
- Ibid
- Viz čl.
- ad. návrhu CSolA ze dne 18. 4. 2023