Sledovanie po uvedení na trh (PMS)

Sledovanie po uvedení na trh (z angličtiny Post-market Surveillance, PMS) je systematický proces, prostredníctvom ktorého výrobca aktívne monitoruje výkon a bezpečnosť svojich produktov po ich umiestnení na trh EÚ. PMS je zákonná povinnosť podľa prakticky všetkých smerníc o CE označení, nie voliteľná aktivita na zlepšenie kvality. Zákon EÚ o kybernetickej odolnosti (CRA) výrazne zvýšil požiadavky — PMS sa transformovalo z pasívneho zbierania sťažností na aktívny, nepretržitý program monitorovania kybernetickej bezpečnosti.

Právny základ

Povinnosti sledovania po uvedení na trh vyplývajú z:

• Nariadenia o všeobecnej bezpečnosti výrobkov (GPSR, EÚ 2023/988) — vzťahuje sa na všetky spotrebiteľské produkty; výrobcovia musia zbierať a analyzovať informácie z praxe, vyšetrovať incidenty a prijímať nápravné opatrenia
• Sektorových smerníc — EMC, LVD, RED a Nariadenie o strojových zariadeniach vyžadujú od výrobcov sledovanie hlásení z praxe a vyšetrovanie bezpečnostne relevantných problémov
• Nariadenia o zdravotníckych pomôckach (EÚ 2017/745) — najpodrobnejší režim PMS; vyžaduje formálny plán PMS, správy PMS (PSUR pre Triedu IIa+), analýzu signálov z praxe a pravidelné správy o bezpečnostných aktualizáciách
• Zákona EÚ o kybernetickej odolnosti (EÚ 2024/2847) — vyžaduje priebežné monitorovanie zraniteľností počas celej podporovanej životnosti produktu (minimálne 5 rokov), oznamovanie aktívne zneužívaných zraniteľností ENISA do 24 hodín a mesačné aktualizácie o stave nápravy

Povinnosti CRA po uvedení na trh v detaile

Požiadavky CRA po uvedení na trh sú prevádzkovo najnáročnejšie v práve EÚ o hardvéri:

Infraštruktúra PMS pre hardvérové produkty

Efektívne sledovanie po uvedení na trh pre pripojený hardvér vyžaduje:

1. Monitorovanie Softvérového kusovníka (SBOM) SBOM musí byť priebežne porovnávaný voči verejným databázam zraniteľností (CVE/NVD, OSV.dev, GitHub Advisory Database, bezpečnostné upozornenia dodávateľov). Keď CVE ovplyvní komponent v SBOM, musí byť posúdený dopad na konkrétnu konfiguráciu produktu.

2. Posúdenie a triedenie zraniteľností Nie každé CVE v závislosti je zneužiteľné v konkrétnej konfigurácii produktu. Knižnica skompilovaná so špecifickými parametrami, bežiaca v sandboxovanom prostredí, nemusí byť zraniteľnosťou opísanou v CVE ovplyvnená. Triedenie vyžaduje odbornú znalosť špecifickú pre produkt — generické CVE skenery produkujú falošne pozitívne výsledky, ktorým tieto súvislosti chýbajú.

3. Infraštruktúra OTA aktualizácií Bezpečnostné záplaty musia spoľahlivo dosiahnuť nasadené zariadenia. To vyžaduje overenú OTA infraštruktúru (aktualizácie firmvéru na báze SUIT manifestu alebo ekvivalentné), mechanizmus postupného zavádzania a vrátenia zmien a telemetriu potvrdzujúcu prijatie aktualizácie v rámci nainštalovanej základne.

4. Proces reakcie na incidenty Musí existovať zdokumentovaný proces na prijímanie, triedenie a reakciu na externe nahlásené zraniteľnosti (koordinované zverejňovanie zraniteľností), na ktorý musia verejne odkazovať produktové dokumenty.

5. Proces hlásenia ENISA Požiadavka 24-hodinového hlásenia je prevádzkovo náročná. Je potrebné automatizované upozorňovanie z nástrojov na monitorovanie SBOM, napájajúce definovanú eskalačnú cestu — manuálna denná kontrola nie je dostatočná na zabezpečenie zhody.

PMS vs. systém manažérstva kvality

Sledovanie po uvedení na trh je odlišné od, ale napája sa do systému manažérstva kvality: