V dnešním rychle se vyvíjejícím regulačním prostředí se podniky potýkají s rostoucím počtem zákonů a předpisů, které se týkají kybernetické bezpečnosti. Tyto často se překrývající rámce mohou snadno vyvolat zmatek – zejména pokud jde o požadavky, časové harmonogramy a jejich dopad na bezpečnostní technologie, na které spoléháte.
Abychom našim partnerům a zákazníkům usnadnili orientaci v této složité problematice, sestavili jsme přehled tří klíčových předpisů EU, které určují budoucnost kybernetické bezpečnosti a shody produktů: směrnice NIS2, zákon o umělé inteligenci a zákon o kybernetické odolnosti (CRA).
Níže naleznete shrnutí jednotlivých předpisů, jejich změny a způsob, jakým společnost Hikvision reaguje, aby zajistila, že naše produkty splňují nejvyšší standardy bezpečnosti, transparentnosti a shody.
Co je směrnice NIS2?
Směrnice NIS2 posiluje rámec kybernetické bezpečnosti EU, nahrazuje směrnici NIS1 z roku 2016 a navazuje na ni. Jejím hlavním cílem je posílit kolektivní kybernetickou bezpečnost v členských státech EU v reakci na zvýšené kybernetické hrozby. Směrnice se zaměřuje na posílení prosazování kybernetické bezpečnosti, podporu spolupráce mezi orgány kybernetické bezpečnosti, zabezpečení dodavatelských řetězců a jasnější postupy hlášení incidentů.
Tato směrnice se vztahuje na všechny společnosti, dodavatele a organizace, včetně subjektů mimo EU, které poskytují základní nebo důležité služby v EU – například v oblastech energetiky, dopravy, zdravotnictví, digitální infrastruktury, veřejné správy, ale také na klíčové digitální služby a výrobce kritických produktů.
Transpozice NIS2 do vnitrostátního práva, která má být provedena do října 2024, stále probíhá a její praktické provádění se může v jednotlivých členských státech EU lišit. Společnost Hikvision, která působí a poskytuje služby po celé Evropě z ústředí v Nizozemsku, zajistí přísné dodržování všech právních požadavků stanovených nizozemskými úřady a po formálním zavedení směrnice NIS2 neprodleně dokončí nezbytné registrační postupy.
Je také důležité si uvědomit, že NIS2 v současné době nezahrnuje oficiální certifikační systém a neexistuje žádné označení výrobku "vyhovující NIS2".
Přístup společnosti Hikvision
Společnost Hikvision jde nad rámec dodržování předpisů a dodržuje mezinárodně uznávané normy kybernetické bezpečnosti, včetně norem ISO 27001, ISO 27701 a CSA STAR, ETSI EN 303645, Common Criteria (CC) a Cybersecurity Labeling Scheme (CLS).
Společnost Hikvision nedávno získala také certifikaci IEC 62443-4, což je standard pro bezpečnost průmyslových sítí. Tento standard podporuje bezpečné postupy vývoje produktů v souladu s požadavky směrnice NIS2 na řízení rizik, kybernetickou bezpečnost již od návrhu a zajištění bezpečnosti produktů po celou dobu jejich životního cyklu.
Abychom podpořili porozumění v oboru, vydali jsme aktualizovanou příručku Průvodce směrnicí NIS2 s informacemi o hlavních změnách a požadavcích zavedených tímto regulačním rámcem.
Co je to zákon o umělé inteligenci?
Akt EU o umělé inteligenci je prvním komplexním zákonem na světě, který upravuje vývoj a používání umělé inteligence. Je součástí širšího rámce, jehož cílem je řídit rizika a zároveň podporovat důvěryhodnou UI. Právní předpisy rozdělují rizika do čtyř různých úrovní, přičemž regulační požadavky se podle úrovně zvyšují: Nepřijatelné riziko (zakázané), vysoké riziko (podléhá přísným povinnostem), omezené riziko (požadavky na transparentnost) a minimální riziko (většinou neregulované).
Zákon o umělé inteligenci nabyl účinnosti 1. srpna 2024, ale jeho provádění je postupné. Zákazy pro nepřijatelná rizika jsou v platnosti od 2. února 2025, zatímco požadavky na vysoce rizikové systémy UI by měly vstoupit v platnost 2. srpna 2027.
Vzhledem k tomu, že se EU stále zaměřuje na posílení konkurenceschopnosti, probíhají legislativní snahy o zjednodušení některých částí její technologické regulace. To zahrnuje i diskuse o aktu o umělé inteligenci, přičemž některé členské státy a společnosti požadují pozastavení časového plánu provádění. Společnost Hikvision tento vývoj pečlivě sleduje, aby zajistila soulad s vyvíjejícím se regulačním rámcem EU.
Přístup společnosti Hikvision
Společnost Hikvision neustále zdokonaluje svá opatření pro dodržování předpisů, která jsou založena na zásadě "Tech for Good", tedy využívání technologií ke zlepšení společenského dobra.
Společnost Hikvision je pevně odhodlána nevyvíjet žádné produkty, které by se využívaly k praktikám umělé inteligence spadajícím do kategorie "nepřijatelného rizika", které jsou zakázány zákonem EU o umělé inteligenci. Požadujeme také, aby naši klienti a koncoví uživatelé dodržovali stejné zásady a nepoužívali produkty společnosti Hikvision v rozporu se zákonem o umělé inteligenci.
Společnost Hikvision také aktivně přezkoumává své produkty AI a pečlivě sleduje nadcházející technické požadavky a způsoby zajištění shody, včetně procesů certifikace vysoce rizikových systémů AI.
Co je to zákon o kybernetické odolnosti (CRA)?
Nařízení zavádí povinná pravidla kybernetické bezpečnosti pro všechny digitální produkty prodávané v EU - včetně kamer, softwaru a připojených systémů. Nařízení se zaměřuje na:
- Začlenění zabezpečení do celého životního cyklu produktu
- Zajištění včasného hlášení zranitelností a řešení incidentů
- Zlepšení transparentnosti a důvěryhodnosti pro koncové uživatele
Nařízení CRA rovněž stanoví pravidla a podmínky pro připojování označení CE, které vyjadřuje posouzení shody výrobku a jeho soulad s požadavky nařízení na kybernetickou bezpečnost.
Ačkoli nařízení CRA je již v platnosti, klíčové provozní požadavky se uplatňují postupně, počínaje povinností výrobců podávat zprávy o aktivně zneužívaných zranitelnostech od září 2026, s plným uplatněním do konce roku 2027.
Přístup společnosti Hikvision
Ve společnosti Hikvision toto nařízení vítáme a plně podporujeme jeho poslání. Aktivně jsme se zapojili do veřejné konzultace EU k nařízení o kybernetické odolnosti (CRA) a do související konzultace k technickému popisu. Na základě našich odborných znalostí a zkušeností jsme poskytli podněty, které mají pomoci definovat realistické, účinné a prakticky proveditelné požadavky na kybernetickou bezpečnost s cílem chránit koncové uživatele.
Dodržujeme přísné globální standardy a certifikace a přijali jsme další opatření, včetně:
- Vývoj Secure-by-Design: Integrovali jsme zabezpečení do všech fází životního cyklu produktu, včetně návrhu architektury, skenování zranitelností a penetračních testů.
- Zodpovědná správa zranitelností: Hikvision je autoritou pro přidělování CVE (CVE Numbering Authority) a zajišťujeme, aby byly zranitelnosti rychle opraveny, transparentně zveřejněny a sděleny našim partnerům a uživatelům.
- Bezpečnostní podpora zaměřená na zákazníka: Poskytujeme přehlednou dokumentaci, průvodce osvědčenými postupy a oznámení o aktualizacích zabezpečení, které uživatelům pomáhají bezpečně konfigurovat a provozovat systémy.
- Ochrana životního cyklu: Naše produkty jsou podporovány pravidelnými aktualizacemi zabezpečení a průběžným testováním po celou dobu jejich provozu.
Další podrobnosti naleznete na našich webových stránkách v sekci Kybernetická bezpečnost