Jaká legislativa a normy se vztahují na průmysl?

V oblasti průmyslu dnes působí řada legislativních rámců a technických norem, které se týkají jak organizací, tak i samotných produktů.

Legislativa:

• NIS2 + nový zákon o kybernetické bezpečnosti – určuje povinnosti pro střední a velké podniky v klíčových odvětvích (včetně výrobního průmyslu)
• Cyber Resilience Act (CRA) – vztahuje se na všechny digitální produkty uváděné na trh v EU (včetně softwaru, zařízení a kombinovaných řešení)
• RED Delegated Act – doplňuje směrnici o rádiových zařízeních, nově zavádí požadavky na kyberbezpečnost bezdrátových produktů od 1. srpna 2025
• AI Act – připravovaná regulace EU pro systémy umělé inteligence, která určuje požadavky podle rizikovosti AI řešení (zejména v oblastech jako je řízení výroby, kvalita nebo prediktivní údržba)

Normy:

• ISO/IEC 27001 – řízení bezpečnosti informací (pro organizaci)
• IEC 62443 – kybernetická bezpečnost průmyslových řídicích systémů a komponent (vztahuje se i na vývoj produktů)
• EN 18031 – hodnocení zranitelností a testování bezpečnosti produktů (relevantní pro RED)
• ETSI EN 303 645 – základní standard pro kybernetickou bezpečnost spotřebitelských IoT zařízení
• ISO/IEC 42001 – nový mezinárodní standard pro řízení systémů umělé inteligence (AI), zaměřený na transparentnost, řízení rizik a auditovatelnost AI řešení

!!!Pozor: Systémy řízení jako např. ISO/IEC 27001 nebo i nový ZoKB se vztahují výhradně na organizaci – nikoli na produkty. Pro bezpečnost výrobků a zařízení je třeba uvažovat zcela jiné přístupy – vycházející primárně z IEC 62443.