Új szabályok az uniós intézmények, szervek, hivatalok és ügynökségek kiberbiztonságának és információbiztonságának fokozása érdekében

„A Bizottság ma új szabályokra tett javaslatot annak érdekében, hogy közös kiberbiztonsági és információbiztonsági intézkedéseket hozzon az uniós intézmények, szervek, hivatalok és ügynökségek körében. A javaslat célja, hogy megerősítse a kiberfenyegetésekkel és -incidensekkel szembeni rezilienciájukat és reagálási képességüket, valamint hogy az uniós közigazgatást reziliensebbé és biztonságosabbá tegye a globális színtéren egyre növekvő rosszindulatú kibertevékenységek közepette.

Johannes Hahn költségvetési és igazgatásügyi biztos a következőket mondta: „Egy összekapcsolt környezetben egyetlen kiberbiztonsági esemény egy egész szervezetre hatással lehet. Ezért elengedhetetlen, hogy erős védelmet alakítsunk ki a kiberfenyegetések és -incidensek ellen, amelyek megzavarhatják cselekvési képességünket. A ma előterjesztett rendeletek mérföldkőnek számítanak az uniós kiberbiztonsági és információbiztonsági szakpolitikában. A rendeletek az uniós intézmények, szervek, hivatalok és ügynökségek közötti megerősített együttműködésen és kölcsönös támogatáson, valamint az összehangolt felkészültségen és reagáláson alapulnak. Ez egy valódi közös uniós törekvés.”

A Covid19-világjárvány és a fokozódó geopolitikai kihívások összefüggésében elengedhetetlen a kiberbiztonság és az információbiztonság közös megközelítése. Ezt szem előtt tartva a Bizottság egy kiberbiztonsági rendeletre és egy információbiztonsági rendeletre tett javaslatot. Közös prioritások és keretek meghatározásával ezek a szabályok tovább erősítik az intézményközi együttműködést, minimálisra csökkentik a kockázatoknak való kitettséget, és tovább erősítik az EU biztonsági kultúráját.

Kiberbiztonsági rendelet

A javasolt kiberbiztonsági rendelet létrehozza a kiberbiztonsági irányítás, kockázatkezelés és ellenőrzés keretét. A rendelet nyomán egy új intézményközi kiberbiztonsági testület kerül létrehozásra, javulni fognak a kiberbiztonsági képességek, rendszeres érettségi felmérésekre kerül sor és javul a kiberhigiénia. A rendelet meg fogja hosszabbítani továbbá az európai intézmények, szervek, hivatalok és hivatalok számítógépes vészhelyzeteket elhárító csoportjának (CERT-EU) mint a fenyegetésekre vonatkozó hírszerzési, információcsere- és incidenselhárítási koordinációs központnak, központi tanácsadó szervnek és szolgáltatónak a megbízatását.

A kiberbiztonsági rendeletre irányuló javaslat fő elemei:

• a CERT-EU megbízatásának megerősítése és a teljesítéséhez szükséges erőforrások biztosítása,
• annak előírása az összes uniós intézmény, szerv, hivatal és ügynökség számára, hogy:
  • rendelkezzen a kiberbiztonság területére vonatkozó irányítási, kockázatkezelési és ellenőrzési kerettel,
  • hajtsa végre az azonosított kockázatok kezelésére szolgáló kiberbiztonsági intézkedések alapkoncepcióját,
  • végezzen rendszeres érettségi felméréseket,
  • vezessen be a szervezet vezetése által jóváhagyott tervet a kiberbiztonság javítására,
  • indokolatlan késedelem nélkül ossza meg a biztonsági eseményekkel kapcsolatos információkat a CERT-EU-val.
• új intézményközi kiberbiztonsági testület létrehozása a rendelet végrehajtásának irányítása és nyomon követése, valamint a CERT-EU irányítása érdekében.
• A CERT-EU átnevezése a „hálózatbiztonsági vészhelyzeteket elhárító csoportról” „kiberbiztonsági központra”, összhangban a tagállamokban és világszerte bekövetkezett fejleményekkel, de a névfelismerés érdekében meg kell tartani a „CERT-EU” rövidített elnevezést.

Információbiztonsági rendelet

A javasolt információbiztonsági rendelet minden uniós intézményre, szervre, hivatalra és ügynökségre vonatkozóan minimális információbiztonsági szabályokat és előírásokat hoz létre annak érdekében, hogy fokozott és következetes védelmet biztosítson az információikat fenyegető, folyamatosan változó fenyegetésekkel szemben. Ezek az új szabályok stabil alapot biztosítanak az uniós intézmények, szervek, hivatalok és ügynökségek, valamint a tagállamok közötti biztonságos információcseréhez, amely az információáramlás védelmét szolgáló szabványosított gyakorlatokon és intézkedéseken alapul.

Az információbiztonsági rendeletre irányuló javaslat fő elemei:

• az összes uniós intézmény, szerv, hivatal és ügynökség közötti együttműködés előmozdítása érdekében hatékony irányítás, nevezetesen egy intézményközi információbiztonsági koordinációs csoport létrehozása,
• az információk titkosításán alapuló közös megközelítés kialakítása,
• az információbiztonsági politikák modernizálása, teljes mértékben beleértve a digitális átalakulást és a távmunkát,
• a jelenlegi gyakorlatok egyszerűsítése, és az érintett rendszerek és eszközök közötti nagyobb kompatibilitás elérése.

Háttér-információk

Az Európai Unió Tanácsa 2021. márciusi állásfoglalásában hangsúlyozta egy szilárd és következetes biztonsági keret fontosságát az uniós személyzet, az adatok, a kommunikációs hálózatok, az információs rendszerek és a döntéshozatali folyamatok védelme érdekében. Ez csak az uniós intézmények, szervek, hivatalok és ügynökségek fokozott ellenálló képessége és jobb biztonsági kultúrája révén érhető el.

A biztonsági unióra vonatkozó uniós stratégiát és az Európai Unió kiberbiztonsági stratégiáját követően a ma javasolt kiberbiztonsági rendelet biztosítani fogja a meglévő uniós kiberbiztonsági politikákkal való összhangot, teljes összhangban a jelenlegi európai jogszabályokkal:

• a hálózati és információs rendszerek biztonságáról szóló irányelv (NIS-irányelv) és a Bizottság által 2020 decemberében javasolt, az Unió egész területén magas szintű kiberbiztonságot biztosító intézkedésekről szóló jövőbeli irányelv (a továbbiakban: NIS 2),
• a kiberbiztonsági jogszabály,
• a Bizottság ajánlása a közös kiberbiztonsági egység létrehozásáról,
• a nagyszabású kiberbiztonsági eseményekre és válsághelyzetekre való összehangolt reagálásról szóló bizottsági ajánlás.

Tekintettel az uniós intézmények, szervek, hivatalok és ügynökségek által kezelt, nem minősített érzékeny és EU-minősített adatok egyre növekvő mennyiségére, a javasolt információbiztonsági rendelet célja az információk védelmének fokozása az e területen működő uniós intézmények, szervek, hivatalok és ügynökségek különböző jogi kereteinek észszerűsítése révén. A javaslat összhangban van a következőkkel:

• a biztonsági unióra vonatkozó uniós stratégia, amely átfogó uniós kötelezettségvállalást tartalmaz a tagállamok erőfeszítéseinek kiegészítésére a biztonság valamennyi területén,
• az Európai Tanács által 2019 júniusában elfogadott, a 2019–2024-es időszakra szóló stratégiai menetrend kulcseleme, amely megvédi társadalmainkat az uniós intézmények, szervek és ügynökségek által kezelt információkat érintő, folyamatosan változó fenyegetésektől,
• az Általános Ügyek Tanácsának 2019. decemberi következtetései, amelyek felszólították az uniós intézményeket, szerveket és ügynökségeket, hogy a tagállamok támogatásával dolgozzanak ki és hajtsanak végre átfogó intézkedéscsomagot biztonságuk garantálása érdekében.

További információk
Javaslat – Az Európai Parlament és a Tanács rendelete az uniós intézmények, szervek, hivatalok és ügynökségek magas szintű kiberbiztonságát biztosító intézkedések meghatározásáról

Javaslat – Az Európai Parlament és a Tanács rendelete az uniós intézmények, szervek, hivatalok és ügynökségek információbiztonságáról”

Forrás:
Új szabályok az uniós intézmények, szervek, hivatalok és ügynökségek kiberbiztonságának és információbiztonságának fokozása érdekében; Európai Bizottság; 2022. március 22.