Evropská komise v lednu zahájila revizi Aktu o kybernetické bezpečnosti, známou pod pracovním označením CSA2. Ta má posílit odolnost EU a také její schopnost čelit stále častějším kybernetickým a hybridním útokům na základní služby a demokratické instituce. Kromě posílení pravomocí agentury ENISA v boji se škodlivým ransomwarem návrh přináší i zjednodušení certifikací a administrativní úlevy pro tisíce evropských podniků.

Proč revize přichází právě teď?

Svět digitálních hrozeb se od roku 2019, kdy byl přijat původní akt, dramaticky změnil. Sofistikované hybridní útoky dnes cílí na kritické sektory, jako je energetika, doprava, zdravotnictví nebo bankovnictví. Čísla mluví jasně:

  • Náklady na potírání kyberkriminality v roce 2025 přesáhly 9 bilionů eur.
  • Ransomware (vyděračský software) se stal největší hrozbou roku 2025.
  • Předpokládá se, že do roku 2031 bude docházet k útoku prostřednictvím ransomwaru každé 2 sekundy.

Konec závislosti na rizikových dodavatelích

Jednou z nejzásadnějších novinek, které návrh CSA2 přináší, je vytvoření horizontálního rámce pro zajištění bezpečného dodavatelského řetězce ICT technologií, tedy veškerých hardwarových, softwarových a síťových prvků sloužících k vytváření, zpracování, ukládání a přenosu dat.

EU tak chce minimalizovat bezpečnostní rizika spojená s technologiemi ze třetích zemí. Nově budou například probíhat koordinované bezpečnostní analýzy na úrovni EU, které identifikují kritická aktiva a zranitelná místa v dodávkách. Pokud se prokáže, že konkrétní dodavatel představuje strukturální riziko, může dojít k úplnému zákazu používání jeho komponentů v klíčových sektorech. Vznikne také seznam vysoce rizikových subjektů, kterým se zavřou dveře k unijnímu financování i k účasti ve veřejných zakázkách.

Silnější ochrana a jednotné místo pro hlášení útoků

Výraznou proměnou projde i Agentura Evropské unie pro kybernetickou bezpečnost (ENISA), která se stane centrem expertní podpory pro členské státy i firmy. Návrh revize počítá s vytvořením speciálního helpdesku, který bude ve spolupráci s Europolem pomáhat obětem ransomwarových útoků s obnovou dat a reakcí na bezpečnostní incidenty.

Pro firmy se navíc chystá zásadní zjednodušení – tzv. „Single-Entry Point“. Půjde o jednotné kontaktní místo pro hlášení incidentů, které zajistí, aby se informace o hrozbách šířily včas tam, kde jsou potřeba k ochraně ostatních.

Certifikace jako konkurenční výhoda, ne přítěž

Návrh má také zjednodušit evropský certifikační rámec. Certifikace by tak nově měla fungovat podobně jako jakýsi „technický průkaz“, který zákazníkům i partnerům okamžitě řekne, zda jsou firma a její produkty bezpečné.

Klíčovou změnou bude možnost certifikovat úroveň kybernetického zabezpečení celé organizace. To v praxi znamená, že firma nebude prokazovat jen bezpečnost jednoho přístroje, ale celého svého fungování a vnitřních procesů. Celý systém se navíc opírá o princip „security-by-design“, tedy požadavek, aby se na bezpečnost myslelo už při prvotních návrzích nových softwarů či služeb.

Zdroj: Evropská komise, ÚV ČR
Foto: Adobe Stock