„A Tanács a mai napon irányelvet és ajánlást fogadott el, amelyek célja a kritikus fontosságú szervezetek sebezhetőségének csökkentése és rezilienciájának megerősítése.
A kritikus fontosságú szervezetek olyan alapvető szolgáltatásokat nyújtanak, amelyek nélkülözhetetlenek a létfontosságú társadalmi funkciók, a gazdasági tevékenységek, a népegészség és a biztonság, valamint a környezet fenntartása szempontjából. Képesnek kell lenniük a hibrid támadások, a természeti katasztrófák, a terrorfenyegetések és a népegészségügyi szükséghelyzetek megelőzésére, a velük szembeni védekezésre, a reagálásra, a kezelésükre és a helyreállításra.
Az elmúlt hónapokban hibrid támadásokkal és az éghajlatváltozás következményeivel kellett szembenéznünk, és a jövőben még az előttünk álló kihívások súlyosbodására kell számítanunk. A felkészültség és a reziliencia közös erőfeszítést igényel. Gondoskodnunk kell arról, hogy társadalmaink és iparunk képesek legyenek megküzdeni a biztonságunkat és gazdaságainkat érintő zavarokkal, és katasztrófa esetén gyorsan tudjunk reagálni. A ma elfogadott irányelv fontos lépés e cél elérése irányában. – Vít Rakušan cseh belügyminiszter
Az elfogadott irányelv több ágazat, például az energia, a közlekedés, az egészségügy, az ivóvíz, a szennyvíz és az űrágazat kritikus fontosságú szervezeteire terjed ki. Az irányelv egyes rendelkezései bizonyos központi közigazgatási szervekre is vonatkoznak.
A tagállamoknak nemzeti stratégiát kell kidolgozniuk a kritikus fontosságú szervezetek rezilienciájának fokozására, legalább négyévente kockázatértékelést kell végezniük, és meg kell jelölniük az alapvető szolgáltatásokat nyújtó, kritikus fontosságú szervezeteket. A kritikus fontosságú szervezeteknek fel kell majd tárniuk azokat a kockázatokat, amelyek jelentősen megzavarhatják az alapvető szolgáltatások nyújtását, megfelelő intézkedéseket kell hozniuk rezilienciájuk biztosítása érdekében, a zavart okozó eseményeket pedig jelenteniük kell az illetékes hatóságoknak.
Az irányelv szabályokat állapít meg a kiemelt európai jelentőségű, kritikus fontosságú szervezetek meghatározására vonatkozóan is. Egy kritikus fontosságú szervezet akkor minősül kiemelt európai jelentőségűnek, ha hat vagy több tagállamnak nyújt alapvető szolgáltatást. Az ilyen szervezetek esetében a tagállamok felkérhetik majd a Bizottságot arra, hogy szervezzen tanácsadó missziót, illetve maga a Bizottság is felajánlhatja, hogy az adott tagállam hozzájárulásával értékeli az érintett szervezet által az ezen irányelvből fakadó kötelezettségei teljesítése érdekében bevezetett intézkedéseket.
Az Északi Áramlat gázvezeték elleni közelmúltbeli szabotázsakciókra és az Ukrajna elleni orosz agresszió által jelentett új kockázatokra válaszul az elfogadott ajánlás a kritikus infrastruktúrák rezilienciájának megerősítésére összpontosít. Az ajánlás célja, hogy felgyorsítsa a kritikus fontosságú szervezetekről szóló és a NIS 2 irányelvben meghatározott célkitűzések végrehajtását előkészítő munkát, és fokozza a kritikus infrastruktúrák védelmére szolgáló uniós képességeket. Egy sor célirányos intézkedést fogalmaz meg, amelyek olyan alapvető ágazatokra vonatkoznak, mint az energia, a digitális infrastruktúra, a közlekedés és az űrkutatás.
Az ajánlás három kiemelt területet fed le: a felkészültség, a reagálás és a nemzetközi együttműködés. A Tanács felkéri benne a tagállamokat, hogy aktualizálják kockázatértékeléseiket annak érdekében, hogy azok tükrözzék a jelenlegi fenyegetéseket, és arra ösztönzi őket, hogy végezzék el a kritikus infrastruktúrákat működtető szervezetek stressztesztjeit, prioritásként kezelve az energiaágazatot. Felszólítja továbbá a tagállamokat, hogy a Bizottsággal együttműködve dolgozzanak ki a számottevő határokon átnyúló jelentőséggel bíró kritikus infrastruktúrák zavaraira való koordinált reagálásról szóló tervet. Az EU támogatni fogja a partnerországokat rezilienciájuk fokozásában és a NATO-val e területen folytatott együttműködés megerősítésében.
Háttér
Az Európai Bizottság 2020 decemberében terjesztette elő a kritikus fontosságú szervezetek rezilienciájáról szóló irányelvjavaslatot. Alkalmazásának megkezdését követően a javasolt irányelv fel fogja váltani a 2008-ban elfogadott, az európai kritikus infrastruktúrák azonosításáról és kijelöléséről szóló, jelenleg hatályos irányelvet.
Az említett irányelv 2019. évi értékelése rávilágított arra, hogy az EU előtt álló új kihívások – például a digitális gazdaság térnyerése, az éghajlatváltozás egyre fokozódó hatásai és a terrorveszély – fényében naprakésszé kell tenni és tovább kell erősíteni a meglévő szabályokat.
A kritikus fontosságú szervezetekről szóló irányelvjavaslattal együtt a Bizottság előterjesztette az Unió egész területén magas szintű kiberbiztonságot biztosító intézkedésekről szóló irányelvre (a továbbiakban: a NIS 2 irányelv) vonatkozó javaslatot is, amelynek célja, hogy a kiberdimenzióval kapcsolatban ugyanezekre a problémákra reagáljon. 2020 szeptemberében a Bizottság előterjesztette a digitális működési rezilienciáról szóló rendeletre (DORA-rendelet) vonatkozó javaslatot, amely rendelet meg fogja erősíteni a pénzügyi szervezetek, például a bankok, a biztosítók és a befektetési vállalkozások informatikai rendszereinek biztonságát. A Tanács 2022. november 28-án elfogadta ezt a két szöveget.
A tagállamoknak biztosítaniuk kell mindhárom jogszabály és az ajánlás koordinált végrehajtását.
Forrás:
Az EU rezilienciája: a Tanács a kritikus fontosságú szervezetek rezilienciájának megerősítéséről szóló irányelvet fogadott el; Európai Unió Tanácsa; 2022. december 8.
