„Annak szavatolása érdekében, hogy a digitális elemeket tartalmazó, forgalomba hozott termékek – így például a csatlakoztatott otthoni kamerák, intelligens hűtőszekrények, televíziók és játékok – biztonságosak legyenek, a tagállamok képviselői (Coreper) közös álláspontot alakítottak ki a digitális elemeket tartalmazó termékekre vonatkozó horizontális kiberbiztonsági követelményekről szóló javasolt jogszabályról (a kiberrezilienciáról szóló jogszabály).
„Hatalmas örömünkre szolgál a Tanácsban ma elért megállapodás, amely a biztonságos és védett digitális egységes piac iránti uniós kötelezettségvállalás sikere. Amennyiben az EU-ban kerülnek értékesítésre, a dolgok internetét alkotó termékeknek és egyéb összekapcsolt tárgyaknak – meg kell felelniük a kiberbiztonság alapszintjének, biztosítva a vállalkozások és a fogyasztók kiberfenyegetésekkel szembeni hatékony védelmét. A ma elért megállapodás fontos mérföldkő a spanyol elnökség számára, és reméljük, hogy ezáltal a lehető legnagyobb mértékben előmozdítjuk a Parlamenttel folytatandó tárgyalásokat.” – Carme Aetigas Brugal, a digitalizációval és a mesterséges intelligenciával kapcsolatos ügyekért felelős államtitkár
A javaslat célkitűzései
A rendelettervezet kötelező kiberbiztonsági követelményeket vezet be a hardver- és szoftvertermékek tervezésére, fejlesztésére, gyártására és forgalomba hozatalára vonatkozóan annak elkerülése érdekében, hogy az uniós tagállamok különböző jogszabályaiból eredő követelmények között átfedések alakuljanak ki.
A javasolt rendelet minden olyan termékre alkalmazandó lesz, amely közvetlenül vagy közvetve csatlakozik egy másik eszközhöz vagy hálózathoz. Néhány kivétel is meghatározásra kerül olyan termékek – így például az orvostechnikai eszközök, a légi közlekedés vagy a járművek – vonatkozásában, amelyekre a hatályos uniós szabályokban már szerepelnek kiberbiztonsági követelmények.
A javaslat célja, hogy pótolja a hiányosságokat, tisztázza a hatályos kiberbiztonsági jogszabályokkal fennálló kapcsolatokat és e jogszabályokat koherensebbé tegye annak biztosítása révén, hogy a digitális elemeket tartalmazó – például a dolgok internetéhez (IoT) tartozó – termékek az ellátási lánc egészében és teljes életciklusuk során biztonságosak legyenek.
Végezetül a javasolt rendelet azt is lehetővé teszi a fogyasztók számára, hogy a digitális elemeket tartalmazó termékek kiválasztásakor és használatakor figyelembe vegyék a kiberbiztonság szempontját, méghozzá azáltal, hogy lehetőséget biztosít a felhasználóknak arra, hogy megalapozott döntést hozzanak a megfelelő kiberbiztonsági jellemzőkkel rendelkező hardver- és szoftvertermékekről.
A bizottsági javaslatból megtartott főbb elemek
A Tanács közös álláspontja fenntartja a bizottsági javaslat általános irányvonalát, mindenekelőtt az alábbiak tekintetében:
– a megfelelésért való felelősség egyensúlyát átalakító szabályok a gyártók vonatkozásában, akiknek biztosítaniuk kell az uniós piacon forgalmazott, digitális elemeket tartalmazó termékekre vonatkozó biztonsági követelményeknek, köztük az olyan kötelezettségeknek való megfelelést, mint a kiberbiztonsági kockázatértékelés, a megfelelőségi nyilatkozat és az illetékes hatóságokkal való együttműködés
– a sebezhetőségek kezelésével kapcsolatos, a gyártók által meghatározott eljárásokra vonatkozó alapvető követelmények a digitális termékek kiberbiztonságának szavatolása érdekében, valamint a gazdasági szereplőkre, például az importőrökre és a forgalmazókra vonatkozó kötelezettségek az említett eljárásokkal kapcsolatban
– olyan intézkedések, amelyek javítják a hardver- és szoftvertermékek biztonságának átláthatóságát a fogyasztók és az üzleti felhasználók számára, valamint az e szabályok érvényesítését szolgáló piacfelügyeleti keret
A Tanács módosításai
A tanácsi szöveg több helyen módosítja a bizottsági javaslatot, többek között a következők tekintetében:
– a javasolt jogszabály hatálya, többek között azon konkrét termékkategóriák tekintetében, amelyeknek meg kell felelniük a rendelet követelményeinek
– az aktívan kihasznált sebezhetőségek vagy biztonsági események esetén az Európai Uniós Kiberbiztonsági Ügynökség (ENISA) helyett az illetékes nemzeti hatóságok (számítógép-biztonsági incidensekre reagáló csoportok – CSIRT-ek) felé fennálló értesítési kötelezettségek; az ENISA egységes jelentéstételi platformot hoz létre
– a termékek várható élettartamának gyártók általi meghatározására szolgáló elemek
– a kis- és mikrovállalkozásokat támogató intézkedések
– egyszerűsített megfelelőségi nyilatkozat
A következő lépések
A Tanács közös álláspontjáról a mai napon elért megállapodás („tárgyalási megbízás”) lehetővé teszi a spanyol elnökség számára, hogy tárgyalásokat kezdjen az Európai Parlamenttel („háromoldalú egyeztetések”) a javasolt jogszabály végleges változatáról.
Előzmények
A csatlakoztatott eszközök kiberbiztonságáról szóló, 2020. december 2-i következtetéseiben a Tanács hangsúlyozta, hogy fontos felmérni, hogy hosszú távon szükség van-e horizontális jogszabályra annak érdekében, hogy szabályozva legyen a csatlakoztatott eszközök összes releváns kiberbiztonsági szempontja, például az elérhetőség, az integritás, a bizalmas jelleg, és a forgalombahozatali feltételek meghatározása.
Ursula von der Leyen, a Bizottság elnöke az Unió helyzetéről szóló 2021. szeptemberi beszédében jelentette be először ezt az elképzelést, amely tükröződött az Európai Unió kiberbiztonsági helyzetének javításáról szóló, 2022. május 23-i tanácsi következtetésekben, amelyekben a Tanács felszólította a Bizottságot, hogy 2022 végéig tegyen javaslatot a csatlakoztatott eszközök tekintetében alkalmazandó közös kiberbiztonsági követelményekre.
A Bizottság 2022. szeptember 15-én elfogadta a digitális elemeket tartalmazó termékekre vonatkozó horizontális kiberbiztonsági követelményekről és az (EU) 2019/1020 rendelet módosításáról szóló európai parlamenti és tanácsi rendeletre irányuló javaslatot (a kiberrezilienciáról szóló jogszabály), amely kiegészíti majd az uniós kiberbiztonsági keretet: a hálózati és információs rendszerek biztonságáról szóló irányelvet (kiberbiztonsági irányelv), az Unió egész területén magas szintű kiberbiztonságot biztosító intézkedésekről szóló irányelvet (NIS 2 irányelv) és az uniós kiberbiztonsági jogszabályt.
- Rendelet a digitális elemeket tartalmazó termékekre vonatkozó harmonizált kiberbiztonsági követelményekről (a kiberrezilienciáról szóló jogszabály), a Bizottság javaslata, 2022. szeptember 15.
- Irányelv az Unió egész területén egységesen magas szintű kiberbiztonságot biztosító intézkedésekről (NIS 2 irányelv), 2022. december 27.
- Kiberbiztonsági jogszabály, 2019. június 7.
- Irányelv a hálózati és információs rendszerek biztonságáról (kiberbiztonsági irányelv), 2016. július 19.
”
Forrás:
A kiberrezilienciáról szóló jogszabály: a tagállamok megállapodtak a digitális termékekre vonatkozó biztonsági követelményekre irányuló közös álláspontról; EU Tanácsa; 2023. július 19.