Ve stínu hodně skloňované směrnice NIS2 přichází další evropský předpis, o kterém se zatím moc nemluví. Jmenuje se Cyber Resilience Act, zkráceně CRA, a týká se bezpečnosti výrobků s digitálními prvky. Tedy všeho, co se někam připojuje. Od chytrých hodinek a praček přes kamery až po software a mobilní aplikace.
Logika je jiná než u dosavadních pravidel. NIS2 hlídá procesy a služby ve firmě, CRA jde po samotném produktu. Říká, že každý výrobek s digitálním rozhraním na evropském trhu musí být bezpečný. A za výrobce se nepovažuje jen ten, kdo věc reálně vyrobí, ale i ten, kdo ji prodává pod svým jménem. I když si třeba celou aplikaci nechá udělat u dodavatele.
Plná síla nařízení dopadne na produkty uvedené na trh po 11. prosinci 2027. První povinnost ale platí už od letošního září: hlásit zranitelnosti a závažné bezpečnostní incidenty. Aby to firma zvládla, musí mít do té doby nastavený aspoň základní monitoring a postup, jak na chybu reagovat.
Podle právničky Michaely Holíkové z kanceláře ROWAN LEGAL nejde o papírové cvičení. Prvním krokem je udělat si inventuru a zjistit, jestli vůbec nějaký produkt s digitálním prvkem vyrábíte nebo prodáváte pod svou značkou. Hodně firem ani netuší, že do toho spadá jejich aplikace nebo připojené zařízení. Kdo na sebe značku produktu bere, bere na sebe i odpovědnost za jeho díry, a vyplatí se to zjistit dřív než po prvním průšvihu.
Napište nám, co u vás řešíte. Společně probereme, jestli vám můžeme pomoci.
