Delegovaný akt 2022/30/EÚ RED o kybernetickej bezpečnosti platí od 1. 8. 2025

V tomto článku vás chceme upozorniť na nové nariadenie 2022/30/EÚ, ktoré nadobúda platnosť 1. augusta 2025 a uplatňuje sa na každé rádiové zariadenie, ktoré je schopné samo komunikovať cez internet. Plné znenie a všetky potrebné informácie nájdete v delegovanom nariadení Komisie (EÚ) 2022/30 z 29. októbra 2021, ktorým sa dopĺňa smernica Európskeho parlamentu a Rady 2014/53/EÚ.

Nová éra dodržiavania kybernetickej bezpečnosti bezdrôtových zariadení v EÚ podľa RED DA

Európska komisia, Generálne riaditeľstvo pre vnútorný trh, priemysel, podnikanie a MSP vydali nariadenie týkajúce sa rádiových zariadení na trhu EÚ v súlade s rastúcimi medzinárodnými obavami pred bezpečnostnými rizikami pripojených zariadení, najmä vzhľadom na rastúci počet kybernetických útokov a únikov údajov.

Cieľom nariadenia je posilniť kybernetickú bezpečnosť, ochranu súkromia a interoperabilitu inteligentných a pripojených zariadení v EÚ a odráža tiež záväzok EÚ chrániť spotrebiteľov, digitálnu suverenitu a odolnú infraštruktúru v ére internetu vecí (IoT). 

Čo je delegovaný akt RED?

Delegované nariadenie (EÚ) 2022/30, prijaté na základe smernice 2014/53/EÚ (RED), zavádza nové základné požiadavky s cieľom zabezpečiť, aby rádiové zariadenia: 

• zabezpečovali osobné údaje a súkromie,
• chránili pred zneužitím siete,
• podporovali interoperabilitu so sieťami.

Základná požiadavka smernice 2022/30/EÚ sa uplatňuje na každé rádiové zariadenie, ktoré je schopné samo komunikovať cez internet bez ohľadu na to, či komunikuje priamo alebo prostredníctvom akéhokoľvek iného zariadenia. 

Toto nariadenie EÚ sa podľa EN 18031 vzťahuje na širokú škálu pripojených zariadení vrátane: 

• smartfónov a tabletov
• inteligentných domácich zariadení
• modulov internetu vecí (napr. Wi-Fi, bluetooth, LTE)
• detských inteligentných hračiek a nositeľných zariadení
• bezdrôtových smerovačov a modemov atď.
  
  

Delegovaným aktom sa mení a dopĺňa článok 3 ods. 3 nariadenia RED:

(d) Ochrana siete – zariadenia nesmú poškodzovať funkcie siete ani zneužívať sieťové zdroje.

(e) Ochrana súkromia používateľov – zariadenia musia chrániť pred neoprávneným prístupom k osobným údajom.

(f) Predchádzanie podvodom – zariadenia musia byť dostatočne bezpečné, aby zabránili neoprávneným platbám alebo zneužitiu identity. 

Na preukázanie zhody môžu výrobcovia buď dodržiavať harmonizované normy (očakáva sa, že ich zverejní ETSI/ENISA), alebo využiť notifikovaný orgán na vykonanie posúdenia zhody.

Koho sa nariadenie 2022/30/EÚ (RED) týka?

• výrobcov bezdrôtových zariadení predávaných v EÚ
• dovozcov, ktorí dovážajú výrobky do EÚ
• distribútorov a maloobchodníkov ponúkajúcich pripojené zariadenia 

Všetci spomínaní budú zodpovední za:

• aktualizáciu technickej dokumentácie,
• vydávanie nového EÚ vyhlásenia o zhode (DoC),
• vykonávanie posúdenia rizík súvisiacich s hrozbami kybernetickej bezpečnosti. 

Všeobecne odporúčané kroky na prípravu zariadení na nariadenie 2022/30/EÚ (RED)

• Preskúmajte portfólio výrobkov s cieľom identifikovať zariadenia v rozsahu pôsobnosti smernice RED.
• Vykonajte posúdenie rizík kybernetickej bezpečnosti pre príslušné výrobky.
• Implementujte zásady bezpečného návrhu (napr. šifrovanie, autentifikácia).
• Aktualizujte postupy týkajúce sa softvéru/firmvéru s cieľom podporovať budúce opravy a bezpečnú komunikáciu.
• Sledujte vývoj harmonizovaných noriem a podľa toho prispôsobte svoje postupy testovania.
• Vyškoľte svoje tímy na dodržiavanie predpisov v oblasti novej dokumentácie a požiadaviek na označenie CE a podobne.
  
  

Autentické verzie príslušných aktov vrátane ich preambúl boli uverejnené v Úradnom vestníku Európskej únie a sú dostupné na portáli EUR-Lex. 

Ďalšie nariadenia EÚ a USA

V najbližších rokoch nadobudnú okrem RED DA (Radio Equipment Directive Delegated Act) účinnosť postupne aj ďalšie podobné nariadenia:  

• Zákon o kybernetickej odolnosti CRA (Cyber Resilience Act):  

Nové nariadenie EÚ, podľa ktorého musia mať výrobky zabudované prvky kybernetickej bezpečnosti. Jeho cieľom je zabezpečiť pripojené zariadenia v kritickej infraštruktúre. Výrobcovia musia poskytovať bezpečnostné prvky, ako sú pravidelné bezpečnostné záplaty a aktualizácie. Dodržiavanie predpisov sa vyžaduje od roku 2027. 

• Značka kybernetickej dôveryhodnosti USA (US Cyber Trust Mark): 

Má podobné požiadavky ako CRA. V súčasnosti nie je v USA dodržiavanie predpisov povinné, ale môže sa použiť na propagáciu poverení v oblasti kybernetickej bezpečnosti. 

• Nariadenie USA o prepojených vozidlách: 

Dodržiavanie predpisov je povinné pre softvér od roku 2027 a pre hardvér od roku 2030. Má to vplyv na všetky pripojené vozidlá a telematiku na trhu s náhradnými dielmi, predávané v USA.

Masterclass Quectel – RED DA and beyond: How to prepare for new cybersecurity regulations

Ak sa chcete dozvedieť viac o tom, ako by nové predpisy o kybernetickej bezpečnosti mohli ovplyvniť váš projekt a ako vám dodávatelia môžu pomôcť pripraviť sa a zabezpečiť súlad s predpismi, aby bolo vaše zariadenie odolné proti budúcim zmenám, pozrite si webinár s odborníkmi zo spoločnosti Quectel (p. Tomaz Petaros a Seungryoul Yoon). 

Agenda webinára spoločnosti Quectel: 

• Prehľad RED DA a ďalších nových predpisov o kybernetickej bezpečnosti
• Ako sa pripraviť na nové nariadenia o kybernetickej bezpečnosti
• Čo môžeme urobiť, aby sme vám pomohli pripraviť sa na nové nariadenia o kybernetickej bezpečnosti 

Pozrite si záznam z videa

Aktuálnu ponuku komunikačných modulov Quectel nájdete v našom sortimente, ďalšie produkty postupne pridávame v závislosti od ich dostupnosti.