May 22, 2025
Kamila Hrdličková

Cyber Resilience Act a hardware pro IoT zařízení

Jak ovlivňuje Cyber Resilience Act výběr hardwaru pro IoT zařízení?

Nařízení EU o kybernetické odolnosti (Cyber Resilience Act) zásadně mění požadavky na hardware IoT zařízení – podporuje bezpečný návrh, transparentnost výrobců a zajištění interoperability, která je klíčová pro odolnost vůči kybernetickým hrozbám.

Cyber Resilience Act (CRA) představuje významný regulatorní krok Evropské unie směrem ke zvýšení kybernetické bezpečnosti zařízení připojených k internetu (IoT zařízení). Tato legislativa zásadně mění způsob, jakým výrobci navrhují a certifikují svá zařízení, a také klade nové požadavky na transparentnost a bezpečnost celého životního cyklu produktů.

Co je Cyber Resilience Act a proč je důležitý?

CRA je nařízení Evropské unie, které stanoví jednotné bezpečnostní požadavky pro všechny digitální produkty, zejména IoT zařízení. Jeho cílem je zajistit, aby byla zařízení navržena bezpečně již od počátku a aby byla chráněna proti kybernetickým hrozbám během celého jejich životního cyklu. Pro výrobce znamená CRA povinnost získat bezpečnostní certifikace, implementovat pravidelné bezpečnostní aktualizace a poskytovat jasné informace o zranitelnostech a aktualizačních postupech uživatelům. CRA je klíčový nejen pro výrobce, ale i pro uživatele IoT zařízení, jelikož posiluje ochranu jejich dat a infrastruktury proti kybernetickým útokům, čímž přispívá k celkové důvěře v technologie a digitální ekonomiku.

Jak CRA ovlivňuje požadavky na hardware?

CRA klade na hardware IoT zařízení konkrétní požadavky, mezi které patří:

Bezpečnostní certifikace

Každé zařízení musí projít certifikací, která potvrzuje splnění bezpečnostních standardů. To zahrnuje například ochranu dat uložených na zařízení, ochranu komunikace mezi zařízeními a odolnost proti kybernetickým útokům.

Aktualizační mechanismy

Hardware musí umožňovat snadné a bezpečné aktualizace softwaru, aby bylo možné rychle reagovat na nově objevené bezpečnostní hrozby.

Transparentnost

Výrobce musí poskytnout detailní informace o bezpečnostních vlastnostech zařízení a jasné instrukce, jak zařízení bezpečně používat a spravovat.

Interoperabilita

CRA podporuje interoperabilitu bezpečnostních řešení, což znamená, že vybraný hardware by měl bez problémů fungovat s dalšími certifikovanými zařízeními a systémy.

Praktické aspekty výběru hardwaru: skrytá rizika a role aktualizací

Při výběru IoT zařízení, jako jsou například konvertory pro chytré měření nebo prvky heterogenní komunikace (LoRa,NB-IoT), je třeba:

  • Ověřit, zda má zařízení odpovídající bezpečnostní certifikaci podle CRA.
  • Zkontrolovat, jak výrobce zařízení řeší bezpečnostní aktualizace a zda poskytuje transparentní informace o bezpečnostních opatřeních.
  • Zjistit, zda je zařízení kompatibilní s jinými prvky systému z pohledu bezpečnosti a interoperability.

Zvláštní pozornost je vhodné věnovat i údajům, které se mohou na první pohled jevit jako méně citlivé. Například spotřeba vody nemusí působit jako údaj, který by bylo třeba chránit. Nicméně pokud má někdo přístup k datům z chytrého vodoměru bez dostatečné ochrany, může z nich snadno odhadnout, zda je domácnost aktuálně obývaná, či nikoliv – například v době dovolené nebo delší nepřítomnosti. Taková informace může být zneužita způsoby, které si běžný uživatel často neuvědomuje. CRA právě proto požaduje, aby i tato zařízení měla odpovídající úroveň zabezpečení.

FUOTA( Firmware Update Over The Air)

Dalším důležitým faktorem je schopnost zařízení přijímat aktualizace na dálku, tzv. FUOTA( Firmware Update Over The Air). Zařízení, která tuto funkci nepodporují, vyžadují fyzický servis technikem, což může být logisticky náročné a nákladné – často i dražší než samotné zařízení. Z pohledu bezpečnosti je proto přítomnost funkce FUOTA nejen praktická, ale do budoucna nezbytná. Umožňuje okamžitě reagovat na nově vzniklé zranitelnosti a přispívá k celkové udržitelnosti a bezpečnosti systému bez nutnosti fyzických zásahů.

Důkladný výběr zařízení v souladu s CRA nejenže zvyšuje bezpečnost celého systému, ale také předchází riziku sankcí a omezení plynoucích z nedodržení legislativních požadavků.

Cyber Resilience Act – Často kladené otázky

Jak se CRA liší od stávajících kybernetických předpisů v EU?

Nařízení CRA se zaměřuje výhradně na kybernetickou bezpečnost digitálních produktů, zejména IoT zařízení, během celého jejich životního cyklu. Na rozdíl od směrnice NIS2, která řeší odolnost organizací, se CRA vztahuje přímo na návrh, výrobu a aktualizace produktů.

Jaké typy IoT zařízení CRA ovlivňuje?

CRA se vztahuje na široké spektrum zařízení s funkcemi pro zpracování dat, která jsou připojená k síti – přímo či nepřímo. Patří sem například chytrá měřidla, senzory, řídicí systémy a vestavěné systémy v průmyslu.

Musí být všechna IoT zařízení certifikována podle CRA?

Ano, veškerá IoT zařízení prodávaná na území EU musí splnit certifikační požadavky podle Cyber Resilience Act.

Kdy vstupuje Cyber Resilience Act v platnost?

Nařízení bylo přijato v roce 2024 a obsahuje 36 měsíční přechodné období. Povinné dodržování tedy začne od roku 2027, ale výrobci by měli začít s přípravami co nejdříve.

Lze stávající produkty podle CRA ponechat na trhu beze změny?

Ne. CRA se vztahuje na všechny produkty uvedené na trh po nabytí účinnosti nařízení. I starší produkty musí splňovat požadavky, pokud dojde k jejich významné aktualizaci nebo pokud se dále prodávají.

Jakou dokumentaci musí výrobce podle CRA připravit?

Výrobce musí vytvořit tzv. technickou dokumentaci, která zahrnuje analýzu rizik, důkazy o souladu, popis procesů pro řešení zranitelností a mechanismy pro bezpečné aktualizace. Tato dokumentace je nezbytná pro certifikaci a uvedení na trh.

Jak často musí být prováděny aktualizace podle CRA?

Aktualizace by měly být prováděny vždy, když je objevena nová bezpečnostní hrozba. Minimální požadovaná frekvence však není stanovena – záleží na konkrétním typu zařízení a hrozbách.

Co dělat, když výrobce neposkytuje transparentní informace o bezpečnosti?

Doporučuje se takového výrobce raději vyloučit a zvolit alternativní řešení od certifikovaného dodavatele s jasnými a transparentními pravidly pro kybernetickou bezpečnost.

Potřebujete poradit s výběrem IoT zařízení v souladu s CRA? Pomůžeme vám s posouzením rizik, kontrolou certifikací i výběrem bezpečného a udržitelného řešení. Kontaktujte nás.
No items found.
Blog
Nemusím chápat firmware. Potřebuju nastavit a jít dál.
V terénu není prostor na zbytečné klikání ani druhé pokusy. Když každá minuta stojí peníze, musí být konfigurace rychlá, spolehlivá a naprosto jednoduchá. Co v reálných podmínkách funguje a proč složitost nemá u instalace co dělat.
5 nejčastějších mýtů o dálkovém odečtu měřidel
Dálkový odečet měřidel bude od roku 2027 povinný podle evropské směrnice EED. Přesto kolem něj koluje řada mýtů a polopravd, které zbytečně brzdí digitalizaci. Vyvracíme pět nejčastějších obav – a ukazujeme, proč už dávno neplatí.
Baterie vs. kabel. Co ve skutečnosti vyjde dráž?
Na první pohled sběrnice s externím napájením vypadá jako levnější volba. Když připočtete kabeláž, revize, práci elektrikářů a provozní rizika, zaplatíte i víc. Nejen penězi, ale časem a nervy. Proč bateriové řešení dává větší smysl?
Rád s vámi vše proberu
Lukáš Smetana
CSO

Stisknutím tlačítka Odeslat zprávu souhlasíte se zpracováním osobních údajů.

Děkujeme za váš dotaz. Budeme se mu věnovat co nejdříve.
Oops! Something went wrong while submitting the form.
+420 602 625 255
info@acrios.com
Všeobecné obchodní podmínky
Nastavení soukromí
CookiesGDPR
V našem srdci máme nové technologie.
Copyright © 2024 ACRIOS Systems s.r.o. All Rights Reserved.