Zákon o kybernetickej odolnosti EÚ: Kompletný checklist súladu pre hardvérových výrobcov v roku 2026

Prečo musia hardvéroví inžinieri konať teraz

Zákon o kybernetickej odolnosti nie je záležitosťou budúcnosti — je to platné nariadenie s rýchlym harmonogramom:

Míľnik	Dátum	Čo nastane
Zákon nadobúda účinnosť	10. december 2024	Začína plynúť čas
Aktivácia orgánov posudzovania zhody	11. jún 2026	Auditovacie orgány tretích strán začínajú činnosť
Povinnosť hlásenia zraniteľností	11. september 2026	Výrobcovia MUSIA hlásiť zneužívané zraniteľnosti do 24 hodín
Úplné vymáhanie	11. december 2027	Všetky produkty musia byť v súlade, inak hrozí stiahnutie z trhu

Ak dnes navrhujete pripojený produkt, musí byť v súlade so zákonom v čase jeho uvedenia na trh. Dodatočné zabudovanie bezpečnosti do existujúceho návrhu je 5 – 10× drahšie ako jej zahrnutie od začiatku.

Koho sa zákon týka?

Zákon pokrýva všetky produkty s digitálnymi prvkami — teda akýkoľvek produkt, ktorý obsahuje softvér alebo sa môže pripojiť k sieti. To zahŕňa:

• IoT zariadenia — senzory, aktuátory, brány, produkty inteligentnej domácnosti
• Priemyselné zariadenia — PLC, HMI, SCADA kontroléry, priemyselné počítače
• Spotrebnú elektroniku — routery, kamery, reproduktory, nositeľné zariadenia
• Vstavaných systémy — akýkoľvek produkt s mikrokontrolérom a konektivitou
• Softvér — samostatné aplikácie, firmvér, operačné systémy

Čoho sa zákon NETÝKA: SaaS (cloudové služby), open-source softvér (za určitých podmienok), zdravotnícke zariadenia a vozidlá (pokryté sektorovými predpismi) a produkty výhradne pre národnú bezpečnosť.

Klasifikácia produktov: Predvolená, Dôležitá alebo Kritická

Zákon klasifikuje produkty do rizikových kategórií, ktoré určujú požadovaný postup posudzovania zhody:

Kategória	Príklady	Metóda posudzovania	Audit treťou stranou?
Predvolená	Inteligentné žiarovky, jednoduché senzory, základné IoT zariadenia	Samohodnotenie (interné)	Nie
Dôležitá (Trieda I)	Routery, firewally, ICS, huby inteligentnej domácnosti, softvér na správu identity	Harmonizovaná norma ALEBO tretia strana	Podmienečne
Dôležitá (Trieda II)	Hypervízory, HSM, inteligentné merače, priemyselné firewally, bezpečnostné prvky	Povinná tretia strana	Áno
Kritická	Smart karty, HSM pre kritickú infraštruktúru	Európska certifikácia kybernetickej bezpečnosti	Áno

Kľúčový poznatok: Väčšina priemyselných IoT produktov spadá do kategórie „Dôležitá (Trieda I)”. Ak existujú harmonizované normy pre váš typ produktu, môžete vykonať samohodnotenie podľa nich. Ak nie, potrebujete posúdenie treťou stranou.

Kompletný checklist súladu so Zákonom o kybernetickej odolnosti

Tento checklist pokrýva každú technickú a procesnú požiadavku, ktorú zákon ukladá výrobcom hardvéru:

Bezpečnosť od návrhu (Security by Design)

• Model hrozieb dokončený — analýza STRIDE alebo ekvivalent identifikujúca všetky útočné plochy
• Bezpečnostné požiadavky definované v špecifikácii produktu (nie dodatočne)
• Bezpečný vývojový životný cyklus zdokumentovaný a dodržiavaný (napr. IEC 62443-4-1)
• Predvolené nastavenia sú bezpečné — žiadne predvolené heslá, zbytočné porty uzavreté, ladiace rozhrania deaktivované vo výrobe

Hardvérový koreň dôvery

• Reťazec bezpečného bootovania implementovaný — nemenný bootloader prvej úrovne v ROM/OTP overujúci všetky nasledujúce úrovne
• Hardvérové úložisko kľúčov — kryptografické kľúče uložené v bezpečnostnom prvku (Secure Element) alebo TPM, nie v aplikačnom flashi
• Ochrana ladiaceho portu — JTAG/SWD deaktivovaný vo výrobe cez option bytes alebo fúzy (RDP Level 2 alebo ekvivalent)
• Detekcia manipulácie — fyzická alebo logická reakcia na manipuláciu pre produkty triedy Dôležitá/Kritická

Podrobnosti o implementácii nájdete v našom sprievodcovi Hardvérová bezpečnosť.

Bezpečná komunikácia

• TLS 1.3 (alebo ekvivalent) pre všetku externú komunikáciu
• Vzájomná autentifikácia — zariadenie sa autentifikuje serveru A server sa autentifikuje zariadeniu
• Správa certifikátov — unikátne certifikáty pre každé zariadenie, nie zdieľané prístupové údaje
• Minimalizácia dát — prenášajú sa len nevyhnutné dáta, minimálna expozícia osobných údajov

Správa zraniteľností

• Proces spracovania zraniteľností zdokumentovaný — príjem, triedenie, náprava, zverejnenie
• Politika koordinovaného zverejňovania zraniteľností publikovaná a prístupná
• Bezpečnostný kontakt verejne dostupný (security.txt, produktová dokumentácia)
• SLA dodania záplat definované — maximálny čas od objavenia zraniteľnosti po nasadenie opravy
• Dátum konca podpory deklarovaný — minimálne 5 rokov bezpečnostných aktualizácií od uvedenia na trh

Zoznam softvérových komponentov (SBOM)

• SBOM vygenerovaný vo formáte SPDX alebo CycloneDX pokrývajúci všetky softvérové komponenty
• Komponenty tretích strán sledované s číslami verzií a stavom známych zraniteľností
• Licenčný súlad overený pre všetky zahrnuté open-source komponenty
• SBOM aktualizovaný s každým vydaním firmvéru a dostupný orgánom dohľadu nad trhom na požiadanie

Infraštruktúra OTA aktualizácií

• Autentifikované aktualizácie — všetky firmvérové balíky kryptograficky podpísané (ECDSA alebo ekvivalent)
• Ochrana pred návratom k staršej verzii — monotonický čítač alebo mechanizmus anti-replay zabraňujúci downgrade na zraniteľné verzie
• Dvojité firmvérové sloty (A/B) — mechanizmus aktualizácie s duálnymi bankami pre atomické, bezpečné aktualizácie
• Overenie aktualizácie — kontrola integrity pred aplikovaním (overenie hashu kompletného obrazu)
• Automatické bezpečnostné aktualizácie — schopnosť aplikovať kritické záplaty bez interakcie používateľa (alebo s jasnou notifikáciou)

Pre architektonické vzory OTA pozrite náš článok o osvedčených postupoch vstavaného programovania.

Hlásenie incidentov

• Systém hlásenia zraniteľností funkčný — schopný hlásiť ENISA do 24 hodín od objavenia aktívne zneužívanej zraniteľnosti
• Denník incidentov vedený — všetky bezpečnostné incidenty zdokumentované s časovou osou, hodnotením dopadu a nápravou
• Proces notifikácie zákazníkov definovaný — spôsob informovania dotknutých používateľov o bezpečnostných problémoch

Dokumentácia a súlad

• Technická dokumentácia kompletná — špecifikácie návrhu, bezpečnostná architektúra, výsledky testov
• Vyhlásenie EÚ o zhode pripravené — deklarujúce súlad so základnými požiadavkami zákona
• Označenie CE aplikované na produkt (zákon sa stáva súčasťou rámca označenia CE)
• Posúdenie zhody dokončené — samohodnotenie pre predvolenú kategóriu, alebo tretia strana pre Dôležitú/Kritickú
• Plán dohľadu po uvedení na trh — nepretržitý monitoring, skenovanie zraniteľností a reakcia na incidenty

Štruktúra pokút

Zákon zavádza významné finančné postihy za nesúlad:

Porušenie	Maximálna pokuta
Nesplnenie základných požiadaviek kybernetickej bezpečnosti	15 000 000 € alebo 2,5 % celosvetového ročného obratu
Nesplnenie ostatných povinností (dokumentácia, hlásenie)	10 000 000 € alebo 2 % celosvetového ročného obratu
Poskytnutie nesprávnych alebo zavádzajúcich informácií orgánom	5 000 000 € alebo 1 % celosvetového ročného obratu

Navyše, produkty v nesúlade môžu byť stiahnuté z trhu alebo môže byť zakázaný ich predaj v EÚ — čo môže byť pre podniky závislé od príjmov z EÚ horšie ako pokuty.

Zákon vs ostatné nariadenia EÚ: Čo sa prekrýva?

Zákon neexistuje izolovane. Hardvéroví výrobcovia často musia spĺňať viaceré prekrývajúce sa nariadenia:

Nariadenie	Zameranie	Prekrytie so zákonom
RED (Smernica o rádiovom zariadení)	Kybernetická bezpečnosť rádiových zariadení	Čl. 3.3(d/e/f) RED sa úzko zhoduje so zákonom; produkty spĺňajúce zákon môžu vyhovieť kybernetickým požiadavkám RED
Smernica NIS2	Prevádzkovatelia kritickej infraštruktúry	NIS2 môže vyžadovať, aby prevádzkovatelia používali produkty v súlade so zákonom
GDPR	Ochrana osobných údajov	Požiadavky zákona na minimalizáciu dát a bezpečnú komunikáciu podporujú súlad s GDPR
Akt o AI	Systémy umelej inteligencie	Produkty s AI musia byť v súlade S OBOMI — Aktom o AI aj Zákonom o kybernetickej odolnosti
Nariadenie o strojových zariadeniach	Bezpečnosť priemyselných strojov	Pripojené strojové zariadenia musia spĺňať požiadavky kybernetickej bezpečnosti zákona

Ako hardvérové rozhodnutia ovplyvňujú súlad so zákonom

Súlad so zákonom nie je len softvérový alebo procesný problém — začína sa rozhodnutiami o hardvérovej architektúre urobenými vo fáze požiadaviek:

Hardvérové rozhodnutie	Dopad na zákon	Náklady na opravu neskôr
Nezahrnutý bezpečnostný prvok	Nemožnosť implementovať hardvérový koreň dôvery	Kompletný redizajn dosky (50 – 200 tis. €)
Žiadny mechanizmus OTA aktualizácií	Nemožnosť dodávať bezpečnostné záplaty	Stiahnutie z terénu alebo deklarácia konca životnosti
Jedna firmvérová banka	Nemožnosť implementovať bezpečný rollback	Redizajn bootloadera + recertifikácia
Ladiaci port vždy povolený	Zlyhanie bezpečnostného posúdenia	Revízia dosky + nové nastavenie výroby
Žiadny hardvérový generátor náhodných čísel	Slabá generácia kľúčov, riziko certifikácie	Zmena MCU alebo pridanie externého TRNG

Poučenie: Ak je vaša doska už vo výrobe bez týchto funkcií, súlad so zákonom bude vyžadovať hardvérovú revíziu — nie len aktualizáciu firmvéru. Preto musí byť bezpečnosť rozhodnutím o architektúre, nie dodatočným doplnkom.

Často kladené otázky

Vzťahuje sa zákon na existujúce produkty, ktoré sú už na trhu?

Produkty uvedené na trh EÚ pred 11. decembrom 2027 nemajú retroaktívnu povinnosť spĺňať základné požiadavky zákona. Avšak, ak vydáte podstatnú úpravu (významná aktualizácia firmvéru, nová verzia hardvéru) po tomto dátume, upravený produkt musí byť v súlade. Navyše, povinnosti hlásenia zraniteľností sa vzťahujú na VŠETKY aktívne predávané produkty od septembra 2026.

Ako zákon ovplyvňuje open-source softvér?

Open-source softvér vyvinutý a vydaný v nekomerčnom kontexte je zo zákona vyňatý. Avšak ak integrujete open-source komponenty do komerčného produktu, vy (výrobca) ste zodpovední za zabezpečenie, že tieto komponenty spĺňajú požiadavky zákona — vrátane monitorovania zraniteľností a záplatovania. Preto je správa SBOM kriticky dôležitá.

Aký je rozdiel medzi zákonom a označením CE?

Označenie CE existovalo pred zákonom. Zákon pridáva kybernetickú bezpečnosť ako novú základnú požiadavku v rámci označenia CE. Od decembra 2027, na legálne použitie označenia CE pri pripojenom produkte, musíte preukázať súlad so zákonom nad rámec ostatných platných smerníc (LVD, EMC, RED atď.).

Môžem sa pre zákon certifikovať sám?

Pre produkty predvolenej kategórie áno — môžete vykonať interné posúdenie zhody. Pre produkty Dôležitej (Triedy I) sa môžete certifikovať sami len vtedy, ak existujú harmonizované normy A váš produkt im plne zodpovedá. Pre produkty Dôležitej (Triedy II) a Kritickej je posúdenie treťou stranou (notifikovaným orgánom) povinné.

Aký vzťah má zákon k PSA Certified?

Rámec ARM PSA Certified nie je formálne uznaný zákonom. Avšak dosiahnutie PSA Certified Level 2 preukazuje súlad s mnohými základnými požiadavkami zákona (bezpečné bootovanie, bezpečná aktualizácia, koreň dôvery). Poskytuje silný technický základ a môže zjednodušiť proces posudzovania zhody so zákonom.

Naše inžinierstvo súladu so zákonom

V Inovasense navrhujeme súlad so zákonom do produktov od prvého dňa — počas fázy architektúry, nie ako certifikačné cvičenie na poslednú chvíľu:

1. Revízia bezpečnostnej architektúry — Modelovanie hrozieb, analýza útočných plôch a definícia bezpečnostných požiadaviek
2. Výber bezpečného hardvéru — Výber správneho MCU, bezpečnostného prvku a komunikačného modulu pre vašu úroveň bezpečnosti
3. Implementácia bezpečného bootovania + OTA — Od nemenného bootloadera po cloudovú správu dodávania firmvéru
4. Generovanie SBOM — Automatizované nástroje integrované do nášho build pipeline
5. Podpora posudzovania zhody — Dokumentačné balíky pre samohodnotenie alebo posúdenie treťou stranou

Sídlime v Európskej únii a dôverne poznáme regulačné prostredie. Kontaktujte nás a prediskutujme vašu stratégiu súladu so zákonom.