Průmysl

Jsme výrobní firma. Vztahuje se na nás NIS2, respektive nový ZoKB?

Ano, pokud jste výrobní firma, je pravděpodobné, že se na vás vztahují požadavky směrnice NIS2 a její české implementace v podobě nového zákona o kybernetické bezpečnosti (ZoKB). Tyto předpisy se zaměřují na organizace, které provozují kritickou nebo významnou infrastrukturu, a mohou se týkat i výrobců, kteří jsou součástí klíčových dodavatelských řetězců. Doporučujeme provést posouzení, zda vaše společnost spadá do působnosti těchto předpisů, a připravit se na případné povinnosti v oblasti kybernetické bezpečnosti.

Podrobné informace naleznete v průvodci NÚKIB:

https://portal.nukib.gov.cz/pruvodce-novym-zakonem-o-kyberneticke-bezpecnosti.

Kromě NIS2 je důležité zaměřit pozornost i na další nadcházející evropské regulace, které mohou mít významný dopad na výrobní firmy:

RED: 1. srpna 2025 vstoupí v platnost delegovaný akt ke směrnici o rádiových zařízeních (RED), který stanoví kybernetické požadavky na všechna rádiová zařízení připojená přímo či nepřímo k internetu. To zahrnuje širokou škálu produktů, od průmyslových zařízení po spotřební elektroniku.

Cyber Resilience Act (CRA): Tato regulace, účinná od 11. prosince 2027, zavádí povinnosti v oblasti kybernetické bezpečnosti pro všechny produkty s digitálními prvky. Již od 11. září 2026 budou výrobci povinni hlásit vážné kybernetické incidenty a aktivně zneužívané zranitelnosti příslušným orgánům, jako je ENISA nebo národní certifikační autority.

! Pro výrobní firmy je klíčové začít s přípravou na tyto regulace co nejdříve. To zahrnuje posouzení stávajících produktů, implementaci bezpečnostních opatření a zajištění souladu s novými požadavky. Včasná příprava pomůže minimalizovat rizika a zajistit plynulý přechod na nové standardy kybernetické bezpečnosti.

Jaká legislativa a normy se vztahují na průmysl?

V oblasti průmyslu dnes působí řada legislativních rámců a technických norem, které se týkají jak organizací, tak i samotných produktů.

Legislativa:

NIS2 + nový zákon o kybernetické bezpečnosti – určuje povinnosti pro střední a velké podniky v klíčových odvětvích (včetně výrobního průmyslu)
Cyber Resilience Act (CRA) – vztahuje se na všechny digitální produkty uváděné na trh v EU (včetně softwaru, zařízení a kombinovaných řešení)
RED Delegated Act – doplňuje směrnici o rádiových zařízeních, nově zavádí požadavky na kyberbezpečnost bezdrátových produktů od 1. srpna 2025
AI Act – připravovaná regulace EU pro systémy umělé inteligence, která určuje požadavky podle rizikovosti AI řešení (zejména v oblastech jako je řízení výroby, kvalita nebo prediktivní údržba)

Normy:

ISO/IEC 27001 – řízení bezpečnosti informací (pro organizaci)
IEC 62443 – kybernetická bezpečnost průmyslových řídicích systémů a komponent (vztahuje se i na vývoj produktů)
EN 18031 – hodnocení zranitelností a testování bezpečnosti produktů (relevantní pro RED)
ETSI EN 303 645 – základní standard pro kybernetickou bezpečnost spotřebitelských IoT zařízení
ISO/IEC 42001 – nový mezinárodní standard pro řízení systémů umělé inteligence (AI), zaměřený na transparentnost, řízení rizik a auditovatelnost AI řešení

!!!Pozor: Systémy řízení jako např. ISO/IEC 27001 nebo i nový ZoKB se vztahují výhradně na organizaci – nikoli na produkty. Pro bezpečnost výrobků a zařízení je třeba uvažovat zcela jiné přístupy – vycházející primárně z IEC 62443.

Jak řešit kybernetickou bezpečnost v průmyslu?

Kybernetickou bezpečnost v průmyslu je nutné řešit komplexně – na úrovni infrastruktury organizace (IT/OT systémy) i na úrovni samotných produktů uváděných na trh.

Je třeba oddělovat systémy řízení bezpečnosti (např. ISO/IEC 27001 nebo nový zákon o kybernetické bezpečnosti vycházející z NIS2), které se vztahují výhradně na organizaci a její procesy. Tyto systémy však nijak nedokládají ani neprokazují bezpečnost konkrétních produktů!

Zajištění bezpečnosti produktů – zejména těch s digitálními prvky – vyžaduje:

Bezpečný vývoj (ideálně dle IEC 62443-4-1)
Testování zranitelností (např. dle IEC 62443-4-2 a EN 18031)
Posouzení souladu produktu s legislativními požadavky (zejména CRA a RED)
Přípravu technické dokumentace a označení CE (v případě RED)
CB certifikát IEC 62443-4-1 a IEC 62443-4-2 (celosvětové uznání)

EZÚ nabízí jak organizační, tak produktové služby a pomáhá výrobcům i dodavatelům zvládnout celý životní cyklus kyberbezpečnosti – od úvodní GAP analýzy, školení na míru, pre-assessment až po úspěšnou certifikaci.

Jméno	Doména	Účel	Expirace	Typ
pll_language	it.ezu.cz	The pll _language cookie is used by Polylang to remember the language selected by the user when returning to the website, and also to get the language information when not available in another way.	1 year	HTTP
elementor	it.ezu.cz	This cookie is used by the website's WordPress theme. It allows the website owner to implement or change the website's content in real-time.	never	HTTP

Jméno	Doména	Účel	Expirace	Typ
_ga	it.ezu.cz	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.	2 years	HTTP
_gid	it.ezu.cz	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.	1 day	HTTP
_gat_UA-88740921-10	it.ezu.cz	A variation of the _gat cookie set by Google Analytics and Google Tag Manager to allow website owners to track visitor behaviour and measure site performance. The pattern element in the name contains the unique identity number of the account or website it relates to.	1 minute	HTTP

Jsme výrobní firma. Vztahuje se na nás NIS2, respektive nový ZoKB?

Jaká legislativa a normy se vztahují na průmysl?

Jak řešit kybernetickou bezpečnost v průmyslu?

Menu

Užitečné informace