Jak ovlivňuje Cyber Resilience Act výběr hardwaru pro IoT zařízení?
Cyber Resilience Act (CRA) představuje významný regulatorní krok Evropské unie směrem ke zvýšení kybernetické bezpečnosti zařízení připojených k internetu (IoT zařízení). Tato legislativa zásadně mění způsob, jakým výrobci navrhují a certifikují svá zařízení, a také klade nové požadavky na transparentnost a bezpečnost celého životního cyklu produktů.
Co je Cyber Resilience Act a proč je důležitý?
CRA je nařízení Evropské unie, které stanoví jednotné bezpečnostní požadavky pro všechny digitální produkty, zejména IoT zařízení. Jeho cílem je zajistit, aby byla zařízení navržena bezpečně již od počátku a aby byla chráněna proti kybernetickým hrozbám během celého jejich životního cyklu. Pro výrobce znamená CRA povinnost získat bezpečnostní certifikace, implementovat pravidelné bezpečnostní aktualizace a poskytovat jasné informace o zranitelnostech a aktualizačních postupech uživatelům. CRA je klíčový nejen pro výrobce, ale i pro uživatele IoT zařízení, jelikož posiluje ochranu jejich dat a infrastruktury proti kybernetickým útokům, čímž přispívá k celkové důvěře v technologie a digitální ekonomiku.
Jak CRA ovlivňuje požadavky na hardware?
CRA klade na hardware IoT zařízení konkrétní požadavky, mezi které patří:
Bezpečnostní certifikace
Každé zařízení musí projít certifikací, která potvrzuje splnění bezpečnostních standardů. To zahrnuje například ochranu dat uložených na zařízení, ochranu komunikace mezi zařízeními a odolnost proti kybernetickým útokům.
Aktualizační mechanismy
Hardware musí umožňovat snadné a bezpečné aktualizace softwaru, aby bylo možné rychle reagovat na nově objevené bezpečnostní hrozby.
Transparentnost
Výrobce musí poskytnout detailní informace o bezpečnostních vlastnostech zařízení a jasné instrukce, jak zařízení bezpečně používat a spravovat.
Interoperabilita
CRA podporuje interoperabilitu bezpečnostních řešení, což znamená, že vybraný hardware by měl bez problémů fungovat s dalšími certifikovanými zařízeními a systémy.
Praktické aspekty výběru hardwaru: skrytá rizika a role aktualizací
Při výběru IoT zařízení, jako jsou například konvertory pro chytré měření nebo prvky heterogenní komunikace (LoRa,NB-IoT), je třeba:
- Ověřit, zda má zařízení odpovídající bezpečnostní certifikaci podle CRA.
- Zkontrolovat, jak výrobce zařízení řeší bezpečnostní aktualizace a zda poskytuje transparentní informace o bezpečnostních opatřeních.
- Zjistit, zda je zařízení kompatibilní s jinými prvky systému z pohledu bezpečnosti a interoperability.
Zvláštní pozornost je vhodné věnovat i údajům, které se mohou na první pohled jevit jako méně citlivé. Například spotřeba vody nemusí působit jako údaj, který by bylo třeba chránit. Nicméně pokud má někdo přístup k datům z chytrého vodoměru bez dostatečné ochrany, může z nich snadno odhadnout, zda je domácnost aktuálně obývaná, či nikoliv – například v době dovolené nebo delší nepřítomnosti. Taková informace může být zneužita způsoby, které si běžný uživatel často neuvědomuje. CRA právě proto požaduje, aby i tato zařízení měla odpovídající úroveň zabezpečení.
FUOTA( Firmware Update Over The Air)
Dalším důležitým faktorem je schopnost zařízení přijímat aktualizace na dálku, tzv. FUOTA( Firmware Update Over The Air). Zařízení, která tuto funkci nepodporují, vyžadují fyzický servis technikem, což může být logisticky náročné a nákladné – často i dražší než samotné zařízení. Z pohledu bezpečnosti je proto přítomnost funkce FUOTA nejen praktická, ale do budoucna nezbytná. Umožňuje okamžitě reagovat na nově vzniklé zranitelnosti a přispívá k celkové udržitelnosti a bezpečnosti systému bez nutnosti fyzických zásahů.
Důkladný výběr zařízení v souladu s CRA nejenže zvyšuje bezpečnost celého systému, ale také předchází riziku sankcí a omezení plynoucích z nedodržení legislativních požadavků.
Cyber Resilience Act – Často kladené otázky
Jak se CRA liší od stávajících kybernetických předpisů v EU?
Nařízení CRA se zaměřuje výhradně na kybernetickou bezpečnost digitálních produktů, zejména IoT zařízení, během celého jejich životního cyklu. Na rozdíl od směrnice NIS2, která řeší odolnost organizací, se CRA vztahuje přímo na návrh, výrobu a aktualizace produktů.
Jaké typy IoT zařízení CRA ovlivňuje?
CRA se vztahuje na široké spektrum zařízení s funkcemi pro zpracování dat, která jsou připojená k síti – přímo či nepřímo. Patří sem například chytrá měřidla, senzory, řídicí systémy a vestavěné systémy v průmyslu.
Musí být všechna IoT zařízení certifikována podle CRA?
Ano, veškerá IoT zařízení prodávaná na území EU musí splnit certifikační požadavky podle Cyber Resilience Act.
Kdy vstupuje Cyber Resilience Act v platnost?
Nařízení bylo přijato v roce 2024 a obsahuje 36 měsíční přechodné období. Povinné dodržování tedy začne od roku 2027, ale výrobci by měli začít s přípravami co nejdříve.
Lze stávající produkty podle CRA ponechat na trhu beze změny?
Ne. CRA se vztahuje na všechny produkty uvedené na trh po nabytí účinnosti nařízení. I starší produkty musí splňovat požadavky, pokud dojde k jejich významné aktualizaci nebo pokud se dále prodávají.
Jakou dokumentaci musí výrobce podle CRA připravit?
Výrobce musí vytvořit tzv. technickou dokumentaci, která zahrnuje analýzu rizik, důkazy o souladu, popis procesů pro řešení zranitelností a mechanismy pro bezpečné aktualizace. Tato dokumentace je nezbytná pro certifikaci a uvedení na trh.
Jak často musí být prováděny aktualizace podle CRA?
Aktualizace by měly být prováděny vždy, když je objevena nová bezpečnostní hrozba. Minimální požadovaná frekvence však není stanovena – záleží na konkrétním typu zařízení a hrozbách.
Co dělat, když výrobce neposkytuje transparentní informace o bezpečnosti?
Doporučuje se takového výrobce raději vyloučit a zvolit alternativní řešení od certifikovaného dodavatele s jasnými a transparentními pravidly pro kybernetickou bezpečnost.
Potřebujete poradit s výběrem IoT zařízení v souladu s CRA? Pomůžeme vám s posouzením rizik, kontrolou certifikací i výběrem bezpečného a udržitelného řešení. Kontaktujte nás.