Skip to main content
Európai Unióinformatikatechnika

A kiberrezilienciáról szóló jogszabály: közös tagállami álláspont a digitális termékek biztonsági követelményeiről

Szerző: 2023. július 23.No Comments

„Annak szavatolása érdekében, hogy a digitális elemeket tartalmazó, forgalomba hozott termékek – így például a csatlakoztatott otthoni kamerák, intelligens hűtőszekrények, televíziók és játékok – biztonságosak legyenek, a tagállamok képviselői (Coreper) közös álláspontot alakítottak ki a digitális elemeket tartalmazó termékekre vonatkozó horizontális kiberbiztonsági követelményekről szóló javasolt jogszabályról (a kiberrezilienciáról szóló jogszabály).

„Hatalmas örömünkre szolgál a Tanácsban ma elért megállapodás, amely a biztonságos és védett digitális egységes piac iránti uniós kötelezettségvállalás sikere. Amennyiben az EU-ban kerülnek értékesítésre, a dolgok internetét alkotó termékeknek és egyéb összekapcsolt tárgyaknak – meg kell felelniük a kiberbiztonság alapszintjének, biztosítva a vállalkozások és a fogyasztók kiberfenyegetésekkel szembeni hatékony védelmét. A ma elért megállapodás fontos mérföldkő a spanyol elnökség számára, és reméljük, hogy ezáltal a lehető legnagyobb mértékben előmozdítjuk a Parlamenttel folytatandó tárgyalásokat.” – Carme Aetigas Brugal, a digitalizációval és a mesterséges intelligenciával kapcsolatos ügyekért felelős államtitkár

A javaslat célkitűzései

A rendelettervezet kötelező kiberbiztonsági követelményeket vezet be a hardver- és szoftvertermékek tervezésére, fejlesztésére, gyártására és forgalomba hozatalára vonatkozóan annak elkerülése érdekében, hogy az uniós tagállamok különböző jogszabályaiból eredő követelmények között átfedések alakuljanak ki.

A javasolt rendelet minden olyan termékre alkalmazandó lesz, amely közvetlenül vagy közvetve csatlakozik egy másik eszközhöz vagy hálózathoz. Néhány kivétel is meghatározásra kerül olyan termékek – így például az orvostechnikai eszközök, a légi közlekedés vagy a járművek – vonatkozásában, amelyekre a hatályos uniós szabályokban már szerepelnek kiberbiztonsági követelmények.

A javaslat célja, hogy pótolja a hiányosságokat, tisztázza a hatályos kiberbiztonsági jogszabályokkal fennálló kapcsolatokat és e jogszabályokat koherensebbé tegye annak biztosítása révén, hogy a digitális elemeket tartalmazó – például a dolgok internetéhez (IoT) tartozó – termékek az ellátási lánc egészében és teljes életciklusuk során biztonságosak legyenek.

Végezetül a javasolt rendelet azt is lehetővé teszi a fogyasztók számára, hogy a digitális elemeket tartalmazó termékek kiválasztásakor és használatakor figyelembe vegyék a kiberbiztonság szempontját, méghozzá azáltal, hogy lehetőséget biztosít a felhasználóknak arra, hogy megalapozott döntést hozzanak a megfelelő kiberbiztonsági jellemzőkkel rendelkező hardver- és szoftvertermékekről.

A bizottsági javaslatból megtartott főbb elemek

A Tanács közös álláspontja fenntartja a bizottsági javaslat általános irányvonalát, mindenekelőtt az alábbiak tekintetében:

– a megfelelésért való felelősség egyensúlyát átalakító szabályok a gyártók vonatkozásában, akiknek biztosítaniuk kell az uniós piacon forgalmazott, digitális elemeket tartalmazó termékekre vonatkozó biztonsági követelményeknek, köztük az olyan kötelezettségeknek való megfelelést, mint a kiberbiztonsági kockázatértékelés, a megfelelőségi nyilatkozat és az illetékes hatóságokkal való együttműködés

– a sebezhetőségek kezelésével kapcsolatos, a gyártók által meghatározott eljárásokra vonatkozó alapvető követelmények a digitális termékek kiberbiztonságának szavatolása érdekében, valamint a gazdasági szereplőkre, például az importőrökre és a forgalmazókra vonatkozó kötelezettségek az említett eljárásokkal kapcsolatban

– olyan intézkedések, amelyek javítják a hardver- és szoftvertermékek biztonságának átláthatóságát a fogyasztók és az üzleti felhasználók számára, valamint az e szabályok érvényesítését szolgáló piacfelügyeleti keret

A Tanács módosításai

A tanácsi szöveg több helyen módosítja a bizottsági javaslatot, többek között a következők tekintetében:

– a javasolt jogszabály hatálya, többek között azon konkrét termékkategóriák tekintetében, amelyeknek meg kell felelniük a rendelet követelményeinek

– az aktívan kihasznált sebezhetőségek vagy biztonsági események esetén az Európai Uniós Kiberbiztonsági Ügynökség (ENISA) helyett az illetékes nemzeti hatóságok (számítógép-biztonsági incidensekre reagáló csoportok – CSIRT-ek) felé fennálló értesítési kötelezettségek; az ENISA egységes jelentéstételi platformot hoz létre

– a termékek várható élettartamának gyártók általi meghatározására szolgáló elemek

– a kis- és mikrovállalkozásokat támogató intézkedések

– egyszerűsített megfelelőségi nyilatkozat

A következő lépések

A Tanács közös álláspontjáról a mai napon elért megállapodás („tárgyalási megbízás”) lehetővé teszi a spanyol elnökség számára, hogy tárgyalásokat kezdjen az Európai Parlamenttel („háromoldalú egyeztetések”) a javasolt jogszabály végleges változatáról.

Előzmények

A csatlakoztatott eszközök kiberbiztonságáról szóló, 2020. december 2-i következtetéseiben a Tanács hangsúlyozta, hogy fontos felmérni, hogy hosszú távon szükség van-e horizontális jogszabályra annak érdekében, hogy szabályozva legyen a csatlakoztatott eszközök összes releváns kiberbiztonsági szempontja, például az elérhetőség, az integritás, a bizalmas jelleg, és a forgalombahozatali feltételek meghatározása.

Ursula von der Leyen, a Bizottság elnöke az Unió helyzetéről szóló 2021. szeptemberi beszédében jelentette be először ezt az elképzelést, amely tükröződött az Európai Unió kiberbiztonsági helyzetének javításáról szóló, 2022. május 23-i tanácsi következtetésekben, amelyekben a Tanács felszólította a Bizottságot, hogy 2022 végéig tegyen javaslatot a csatlakoztatott eszközök tekintetében alkalmazandó közös kiberbiztonsági követelményekre.

A Bizottság 2022. szeptember 15-én elfogadta a digitális elemeket tartalmazó termékekre vonatkozó horizontális kiberbiztonsági követelményekről és az (EU) 2019/1020 rendelet módosításáról szóló európai parlamenti és tanácsi rendeletre irányuló javaslatot (a kiberrezilienciáról szóló jogszabály), amely kiegészíti majd az uniós kiberbiztonsági keretet: a hálózati és információs rendszerek biztonságáról szóló irányelvet (kiberbiztonsági irányelv), az Unió egész területén magas szintű kiberbiztonságot biztosító intézkedésekről szóló irányelvet (NIS 2 irányelv) és az uniós kiberbiztonsági jogszabályt.

Forrás:
A kiberrezilienciáról szóló jogszabály: a tagállamok megállapodtak a digitális termékekre vonatkozó biztonsági követelményekre irányuló közös álláspontról; EU Tanácsa; 2023. július 19.