Evropská komise zveřejnila k návrh pokynů k uplatňování Akt o kybernetické odolnosti (Cyber Resilience Act). Jde o očekávaný interpretační dokument, jehož cílem je usnadnit podnikům praktickou aplikaci jednoho z nejvýznamnějších evropských předpisů v oblasti kybernetické bezpečnosti digitálních produktů. Připomínky k tomuto návrhu lze předkládat do 31. března 2026, přičemž Komise výslovně zdůrazňuje zájem o zpětnou vazbu od výrobců, dovozců, distributorů, vývojářů softwaru i subjektů posuzování shody.
Co je Akt o kybernetické odolnosti?
Akt o kybernetické odolnosti představuje zásadní posun v evropské regulaci. Na rozdíl od dřívějších rámců, které se soustředily primárně na organizační bezpečnost, zavádí horizontální požadavky přímo na produkty s digitálními prvky uváděné na trh EU. Kybernetická bezpečnost se tak stává podmínkou přístupu na trh a součástí požadavků spojených s označením CE. Regulace dopadá na široké spektrum produktů, a to od připojených zařízení internetu věcí přes chytrou elektroniku až po vestavěné softwarové komponenty, a ukládá povinnosti napříč jejich životním cyklem, včetně řízení zranitelností, poskytování bezpečnostních aktualizací a oznamování incidentů.
Samotné nařízení vstoupilo v platnost v prosince 2024. Oznamovací povinnosti týkající se aktivně zneužívaných zranitelností a bezpečnostních incidentů se přitom začnou uplatňovat již od 11. září 2026, zatímco plná aplikace většiny povinností nastane od 11. prosince 2027. Návrh pokynů tak přichází v klíčovém období, kdy se podniky připravují na postupné nabíhání regulatorních požadavků a potřebují převést obecné normativní formulace do konkrétních compliance procesů.
Co návrh přináší?
Významná část návrhu se věnuje vymezení působnosti aktu. Komise podrobněji rozpracovává, kdy je produkt považován za „uvedený na trh“, jak nahlížet na produkty vyvinuté před rozhodnými daty použitelnosti a jak interpretovat samotný pojem „produkt s digitálními prvky“. Právě otázka rozsahu regulace patří v praxi k nejproblematičtějším, neboť určuje, zda se na konkrétní řešení vůbec vztahuje povinnost splnit bezpečnostní požadavky podle nařízení.
Pozornost je věnována rovněž řešením založeným na vzdáleném zpracování dat. V prostředí, kde je funkčnost fyzických zařízení často úzce propojena s cloudovými službami, je nezbytné určit, kdy taková vzdálená složka spadá do regulačního rámce. Návrh pokynů proto rozpracovává test funkční závislosti a nabízí interpretační vodítka pro posouzení, zda kombinace hardwaru a vzdálené služby tvoří z hlediska aktu jeden regulovaný celek.
Zvláštní kapitola je věnována bezplatnému a otevřenému softwaru. Komise reaguje na dlouhodobé obavy open source komunity a vyjasňuje, za jakých okolností může bezplatný software s otevřeným zdrojovým kódem spadat do působnosti aktu, zejména pokud je komercializován nebo distribuován v rámci obchodní činnosti. Současně se zabývá postavením tzv. správců open source projektů, jejichž role při vývoji komponent začleněných do regulovaných produktů může mít význam pro rozdělení odpovědností.
Další prakticky významnou otázkou je vymezení „doby podpory“, tedy období, po které je výrobce povinen poskytovat bezpečnostní aktualizace. Návrh pokynů nabízí vodítka k určení přiměřené délky této doby s ohledem na povahu produktu, očekávanou dobu jeho používání i technologický vývoj. Pro výrobce to znamená nutnost promítnout regulatorní požadavky do plánování životního cyklu produktu, servisních modelů i smluvních vztahů v dodavatelském řetězci.
Komise se dále vyjadřuje k otázce podstatných změn produktu. Pokud dojde k významné úpravě, která může ovlivnit splnění požadavků kybernetické bezpečnosti, může být nezbytné nové posouzení shody. Vyjasnění toho, co již představuje podstatnou modifikaci, je klíčové zejména pro podniky poskytující aktualizace, rozšíření funkcionalit či náhradní díly.
Návrh pokynů se rovněž dotýká oznamovacích povinností a jejich vztahu k dalším předpisům unijního práva v oblasti kybernetické bezpečnosti. Cílem je předejít duplicitám a regulatorní fragmentaci, zejména ve vazbě na sektorové předpisy a rámce pro řízení kybernetických rizik. Komise tím sleduje jednotné a konzistentní prosazování aktu napříč členskými státy a jejich dozorovými orgány.
Závěr
Z praktického hlediska představuje návrh pokynů důležitý mezník mezi přijetím legislativy a její faktickou implementací. Pro podniky, včetně mikropodniků a malých a středních podniků, může být tento dokument zásadním nástrojem pro nastavení interních procesů, přezkum produktových portfolií a úpravu smluvních vztahů s dodavateli. Aktivní účast v konzultaci přitom dává adresátům regulace možnost ovlivnit konečnou podobu interpretačního rámce, který bude v následujících letech formovat praktické uplatňování aktu o kybernetické odolnosti v celé Evropské unii.
Zveřejnění návrhu pokynů rovněž zapadá do širšího úsilí Komise o posílení kybernetické odolnosti Unie. V lednu 2026 byl představen nový balíček opatření v oblasti kybernetické bezpečnosti, který má dále rozvinout kapacity EU reagovat na rostoucí hrozby a systematicky posilovat bezpečnost digitální infrastruktury i produktového ekosystému.
