Kybernetická bezpečnost

Cyber Resilience Act vychází z nařízení (EU) 2024/2847. Vztahuje se na výrobce, dovozce a distributory produktů s digitálními funkcemi, od vestavěných systémů a připojených zařízení po software a firmware. V praxi to znamená, že se nařízení týká téměř všech společností nabízejících digitální produkty na trhu Evropské unie, od výrobců průmyslové automatizace po poskytovatele cloudových služeb.

Důležitou roli zde hraje transparentnost. Předpisy vyžadují vedení sledovatelné dokumentace, zajištění bezpečných dodavatelských řetězců softwaru a jasně definované procesy podávání zpráv.

Tyto standardy nejen zvyšují úroveň bezpečnosti, ale také zvyšují předvídatelnost a provozní stabilitu na straně uživatelů a provozovatelů systémů.

Nařízení je platné od 11. prosince 2024. Povinnost jeho uplatňování začíná po skončení přechodných období, což dává výrobcům dostatek času na přizpůsobení produktů, vývojových procesů a dokumentace.

• 20. listopadu 2024: zveřejnění právního předpisu v Úředním věstníku EU
  Konečná verze zákona o kybernetické odolnosti bude zveřejněna v Úředním věstníku Evropské unie, což znamená jeho oficiální vyhlášení.

• 11. prosince 2024: vstup zákona o kybernetické odolnosti v platnost
  Zákon o kybernetické odolnosti formálně vstupuje v platnost. Od tohoto dne začínají přechodná období.

• 11. září 2026: povinnost hlášení zranitelností a bezpečnostních incidentů
  Podniky jsou povinny hlásit zranitelnosti a incidenty související s kybernetickou bezpečností v souladu s požadavky CRA.

• 11. prosince 2027: plná povinná shoda nových produktů s CRA
  Od tohoto okamžiku musí všechny nové produkty uváděné na trh splňovat všechny požadavky zákona o kybernetické odolnosti.

Co to znamená pro výrobce? Nyní je již vhodné přizpůsobit procesy navrhování, testování a zabezpečení produktů. Z toho budou těžit i operátoři – zařízení a systémy vytvořené v souladu se zákonem o kybernetické odolnosti jsou po mnoho let předmětem pravidelných bezpečnostních aktualizací, efektivního řízení oprav a úplné dokumentace. Výsledkem je, že celé výrobní prostředí se stává odolnějším vůči kybernetickým hrozbám.

Regulace má záměrně široký rozsah. Zahrnuje nejen produkty s vyššími bezpečnostními požadavky nebo kritickými systémy, ale také téměř všechna digitální zařízení. Dokonce i aplikace běžící lokálně na počítači PC podléhají požadavkům zákona o kybernetické odolnosti, pokud zpracovávají data, používají rozhraní nebo mohou být připojeny k síti. Zákon o kybernetické odolnosti se v praxi týká téměř všech produktů s digitálními prvky, mimo jiné:

• hardwaru s vestavěným softwarem,
• síťových zařízení, například zařízení IoT,
• samostatných softwarových produktů,
• cloudových aplikací a aplikací spouštěných lokálně.

Klíčové je, že každý produkt s digitálními funkcemi, který je dostupný na trhu Evropské unie, podléhá předpisům CRA a s nimi i požadavkům na bezpečnost, aktualizace a správu zranitelností.

Unijní Cyber Resilience Act (CRA) výrazně zvyšuje požadavky na bezpečnost průmyslových produktů. Jako výrobce se intenzivně připravujeme na zavedení těchto předpisů, abyste i vy, jako zákazník, mohli i v budoucnu využívat bezpečné, předpisy splňující a na budoucí výzvy připravené automatizační řešení.

Pro operátory to znamená větší bezpečnost v každodenní práci. Mnoho firem již dnes čelí rostoucímu počtu kybernetických útoků – od neplánovaných odstávek zařízení přes manipulaci se systémy až po neodhalené úniky dat. Zákon o kybernetické odolnosti zvyšuje celkovou úroveň bezpečnosti na trhu. Produkty bez potvrditelné kybernetické bezpečnosti nebudou v budoucnu povoleny k prodeji.

* Zde se nachází Evropská databáze zranitelností (EUVD), ve které jsou bezpečnostní zranitelnosti centrálně hlášeny a dokumentovány pro potřeby Evropské unie.

Evropský zákon o kybernetické odolnosti (CRA) stanovuje závazné bezpečnostní standardy pro průmyslové výrobky. Společnost Mitsubishi Electric se aktivně připravuje na zajištění souladu mnoha svých automatizačních produktů s požadavky CRA.

Evropský zákon o kybernetické odolnosti (CRA) stanovuje závazné bezpečnostní standardy pro průmyslové výrobky. Ve společnosti Mitsubishi Electric se aktivně připravujeme na certifikaci značné části našeho produktového portfolia podle normy IEC 62443-4-2.

Brzy zde zveřejníme podrobné informace o tom, které produkty splňují požadavky normy a které z důvodu nových předpisů týkajících se kybernetické bezpečnosti nebudou moci být v budoucnu uváděny na trh.

Ne všechny dosavadní produktové řady budou moci být plně přizpůsobeny požadavkům CRA. Důvodem jsou především technická omezení, zejména hardwarová a konstrukční omezení zařízení starších generací, která nelze vždy přizpůsobit novým bezpečnostním standardům. Pro tyto řady nabízíme jasně definované migrační cesty a dlouhodobou podporu, která umožňuje včasnou a předvídatelnou modernizaci systémů.

Zákon o kybernetické odolnosti nevyžaduje náhlou výměnu zařízení, ale zavádí dlouhodobý, předvídatelný proces transformace trhu.

Se vstupem zákona o kybernetické odolnosti v platnost se kybernetická bezpečnost stává povinným kritériem kvality pro produkty s digitálními prvky.

Závazné bezpečnostní standardy zvyšují transparentnost trhu. Firmy, které investují do bezpečnosti v rané fázi, budují důvěru a posilují svou konkurenceschopnost. Provozovatelé stále častěji volí produkty, jejichž bezpečnost byla potvrzena a které disponují aktivními mechanismy kybernetické bezpečnosti.

• produkty, které nejsou v souladu s CRA, mohou ztratit přístup na trh nebo být uvedeny na trh se zpožděním,
• zákazníci upřednostňují řešení s ověřenou úrovní bezpečnosti a transparentní dokumentací,
• společnosti, které včas investují do bezpečných procesů vývoje a aktualizací, zvyšují svou konkurenceschopnost a snižují riziko zpoždění při uvádění produktů na trh.

Dodavatelský řetězec je klíčovým prvkem moderní výroby. Programové knihovny, balíčky open source nebo externí moduly mohou obsahovat bezpečnostní zranitelnosti. Zákon o kybernetické odolnosti ukládá výrobcům povinnost dokumentovat, jaké komponenty jsou používány a jakým způsobem jsou zabezpečeny. Tyto požadavky zvyšují kybernetickou odolnost celého průmyslového hodnotového řetězce.

CRA vyžaduje zejména:

• jasně definované odpovědnosti a kanály pro hlášení zranitelností,
• bezpečné mechanismy aktualizací,
• kompletní technickou dokumentaci,
• transparentnost v oblasti používaných komponent.

Výrobci a dodavatelé, kteří tyto požadavky nesplní, se vystavují riziku:

• bezpečnostních incidentů,
• nákladů na opravy a servisní zásahy,
• ztráty reputace,
• právních důsledků a občanskoprávní odpovědnosti.

Včasná příprava na požadavky CRA snižuje pracovní náročnost a náklady v průběhu celého životního cyklu produktu. To se promítá do vyšší kvality produktů, větší bezpečnosti instalací a lepší předvídatelnosti provozu. Společnosti, které zavedou řešení v souladu s CRA před rokem 2027, získají dlouhodobou stabilitu, vyšší úroveň bezpečnosti a menší riziko poruch.

Podniky těží z:

• automatizovaných procesů údržby SBOM,
• jasně definovaných požadavků na dodavatele a externí vývojáře,
• rychlejších certifikačních procesů,
• lepší auditovatelnosti pro potřeby zákazníků.

Kromě toho pevná bezpečnostní architektura posiluje důvěru obchodních partnerů a usnadňuje přístup k veřejným zakázkám a regulovaným trhům.

Zákon o kybernetické odolnosti je milníkem pro evropský průmysl. Zavádí jasné standardy kybernetické bezpečnosti, zajišťuje transparentnost v dodavatelských řetězcích, chrání provozovatele a posiluje bezpečnost propojených výrobních systémů. Díky bezpečným vývojovým procesům, moderní architektuře produktů a silnému důrazu na kvalitu softwaru Mitsubishi Electric důsledně připravuje své řešení na splnění požadavků CRA.

Kybernetické útoky zůstanou reálnou hrozbou. Díky moderním bezpečnostním mechanismům, bezpečnému softwaru a důslednému provádění zákona o kybernetické odolnosti však mohou být průmyslové instalace provozovány stabilním, spolehlivým a odolným způsobem.