Před dvěma lety (15. září 2022) zveřejnila Evropská komise návrh nařízení o kybernetické odolnosti (CRA), první celoevropskou legislativu tohoto druhu, která si klade za cíl zavést povinné požadavky na kybernetickou bezpečnost pro produkty s digitálními prvky během jejich životního cyklu. Návrh CRA se vztahuje na všechny produkty s digitálními prvky uvedené na trh, které mohou být připojeny k zařízení nebo síti, včetně jejich stavebních bloků (tj. hardwaru a softwaru) a řešení poskytovaných formou softwaru jako služby (SaaS), pokud jsou kvalifikovány jako řešení pro vzdálené zpracování dat podle návrhu CRA. Návrh CRA obsahuje dvě sady základních požadavků:
- Požadavky na kybernetickou bezpečnost produktů
- Požadavky na proces řešení zranitelností
Tyto požadavky by měly být předmětem standardizačního procesu Evropských standardizačních organizací (ESO), aby byly vyjádřeny ve formě specifikací v harmonizovaných standardech. Obecným principem je, že pro produkty na trhu bude dostačující sebehodnocení souladu s požadavky uvedenými v příloze I. Pro určité kategorie kritičtějších produktů bude vyžadováno uplatnění harmonizovaných standardů. Pro ještě kritičtější produkty bude povinné hodnocení třetí stranou.
V dubnu 2024 byla publikovaná zpráva, která podrobně popisuje dostupné standardizační výstupy týkající se kybernetické bezpečnosti produktů (hardwarových a softwarových produktů, včetně hardwarových a softwarových komponent složitějších produktů), které provádějí hlavně ESO a mezinárodní organizace pro vývoj standardů (SDO). Studie se zaměřuje na mapování existujících standardů kybernetické bezpečnosti proti základním požadavkům uvedeným v CRA a na analýzu mezer mezi mapovanými standardy a požadavky. Analýza poskytuje přehled o současném pokrytí požadavků stávajícími specifikacemi a zdůrazňuje možné nedostatky, které mohou být kompenzovány další standardizační prací.
Podle zprávy existuje pro každý definovaný požadavek alespoň jeden dokument, který může být považován za počáteční referenci nabízející určité pokrytí. Nicméně, neexistuje jediný standard, který by pokrýval všechny požadavky vyjádřené v CRA, i když některé standardy částečně pokrývají všechny požadavky. Analýza potvrzuje, že dobrý základ mezinárodní standardizace kybernetické bezpečnosti již existuje a může sloužit účelu požadavků Aktu o kybernetické odolnosti, ale je zapotřebí harmonizace pro zajištění homogenního horizontálního pokrytí a některé mezery, je stále třeba řešit.
Více informací zde