Európai Uniógazdaságinformatikapolitika

A kiberbiztonság és -reziliencia megerősítése az EU egész területén – Ideiglenes megállapodás a Tanács és az Európai Parlament között

Szerző: 2022. május 16.No Comments

„A Tanács és az Európai Parlament a mai napon megállapodásra jutott az Unió egész területén egységesen magas szintű kiberbiztonságot biztosítani hivatott intézkedésekről, amely intézkedések célja, hogy tovább javuljon mind a köz-, mind a magánszektornak, illetve az Unió egészének a kiberrezilienciája és a kiberbiztonsági eseményekre való reagálási képessége.

Elfogadását követően az új, „NIS 2” elnevezésű irányelv a hálózati és információs rendszerek biztonságára vonatkozó jelenlegi irányelv (NIS-irányelv) helyébe fog lépni.

A kiberbiztonsági kockázatok és események kezelésének javítása és az együttműködés megerősítése

A NIS 2 irányelv képezi majd a kiberbiztonsági kockázatkezelési intézkedések és a bejelentési kötelezettségek alapját az irányelv hatálya alá tartozó valamennyi ágazatra nézve, így az energiaügy, a közlekedés, az egészségügy és a digitális infrastruktúra területén.

A módosított irányelv célja, hogy megszüntesse a kiberbiztonsági követelmények és a kiberbiztonsági intézkedések végrehajtása terén a különböző tagállamok között meglévő eltéréseket. Ennek érdekében minimumszabályokat állapít meg a szabályozási keretre vonatkozóan, és mechanizmusokat határoz meg az egyes tagállamok illetékes hatóságai közötti hatékony együttműködéshez. Aktualizálja a kiberbiztonsági kötelezettségek hatálya alá tartozó ágazatok és tevékenységek listáját, és a jogszabály tiszteletben tartásának biztosítása érdekében jogorvoslati lehetőségekről és szankciókról rendelkezik.

Az irányelv hivatalosan létrehozza az Európai Kiberválságügyi Kapcsolattartó Szervezetek Hálózatát (EU-CyCLONe), amely támogatni fogja a nagyszabású kiberbiztonsági események koordinált kezelését.

A szabályok hatályának kiterjesztése

Míg a korábbi kiberbiztonsági irányelv értelmében a tagállamok feladata volt annak meghatározása, hogy mely szervezetek felelnek meg azoknak a kritériumoknak, amelyek alapján alapvető szolgáltatásokat nyújtó szereplőnek minősülnek, az új NIS 2 irányelv most bevezet egy, a méretkorlátra vonatkozó szabályt. Ez azt jelenti, hogy az irányelv hatálya alá tartozó ágazatokban működő vagy szolgáltatásokat nyújtó valamennyi közepes és nagyméretű szervezet a hatály alá tartozik.

Noha ezt az általános szabályt az Európai Parlament és a Tanács közötti megállapodás megtartotta, az ideiglenesen elfogadott szöveg kiegészült olyan rendelkezésekkel, amelyek célja az arányosság és a magasabb szintű kockázatkezelés biztosítása, valamint a kritikus szintre vonatkozó egyértelmű kritériumok meghatározása annak megállapítása tekintetében, hogy mely szervezetek tartoznak az irányelv hatálya alá.

A szöveg azt is egyértelművé teszi, hogy az irányelv nem lesz alkalmazandó az olyan területeken tevékenységet folytató szervezetekre, mint a védelem vagy a nemzetbiztonság, a közbiztonság, a bűnüldözés és az igazságszolgáltatás. A parlamentek és a központi bankok szintén nem tartoznak az irányelv hatálya alá.

Mivel a közigazgatások szintén gyakran válnak kibertámadások célpontjaivá, a NIS 2 irányelv a központi kormányzatok közigazgatási szerveire is alkalmazandó lesz [beleértve az egyetemeket és a kutatóintézeteket is]. Ezen túlmenően a tagállamok dönthetnek úgy, hogy az irányelvet regionális és helyi szinten is alkalmazzák az ilyen szervekre.

A társjogalkotók által bevezetett egyéb módosítások

Az Európai Parlament és a Tanács összehangolta a szöveget az ágazatspecifikus jogszabályokkal, így mindenekelőtt a pénzügyi ágazat digitális működési rezilienciájáról szóló rendelettel (DORA) és a kritikus fontosságú szervezetek rezilienciájáról szóló irányelvvel (CER) a jogi egyértelműség megteremtése, valamint a NIS 2 irányelv és az e jogi aktusok közötti koherencia garantálása céljából.

A szakértői tanulásra vonatkozó önkéntes mechanizmus növelni fogja a kölcsönös bizalmat, valamint erősíteni fogja azt, hogy tanulni lehessen a bevált gyakorlatokból és tapasztalatokból, és ezáltal hozzájárul a kiberbiztonság egységesen magas szintjének eléréséhez.

A két társjogalkotó észszerűsítette továbbá a bejelentési kötelezettségeket annak érdekében, hogy elkerülhető legyen a túlzott mennyiségű jelentéstétel, illetve az, hogy az irányelv hatálya alá tartozó szervezetekre túlságosan nagy terhek háruljanak.

A tagállamoknak az irányelv hatálybalépését követően két év [tizennyolc hónap] áll a rendelkezésükre, hogy a rendelkezéseket beépítsék nemzeti jogukba.

Következő lépések

A ma létrejött ideiglenes megállapodást most a Tanácsnak és az Európai Parlamentnek jóvá kell hagynia.

A Tanács részéről a francia elnökség 2022. május végén szándékozik jóváhagyás céljából benyújtani a megállapodást a tanácsi Állandó Képviselők Bizottságának.

Forrás:
A kiberbiztonság és -reziliencia megerősítése az EU egész területén – Ideiglenes megállapodás a Tanács és az Európai Parlament között; Európai Unió Tanácsa; 2022. május 13.