„A tagállamok képviselői (Coreper) közös álláspontot alakítottak ki a 2019. évi uniós kiberbiztonsági jogszabály javasolt célzott módosításával kapcsolatban, amely az EU kiberrezilienciájának azáltal történő fokozására irányul, hogy lehetővé válik az „irányított biztonsági szolgáltatásokra” vonatkozó európai tanúsítási rendszerek jövőbeli bevezetése.
A szakosodott vállalatok által az ügyfeleknek nyújtott „irányított biztonsági szolgáltatások” rendkívül fontosak a kiberbiztonsági események megelőzése, felderítése, elhárítása és az azokat követő helyreállítás szempontjából. Ezek közé tartozhat például a váratlan események felderítése vagy az azokra való reagálás, a behatolási tesztelés vagy a biztonsági ellenőrzések, illetve a tanácsadás.
A bizottsági javaslat főbb célkitűzései
A kiberbiztonsági kapacitások EU-n belüli megerősítését célzó uniós kiberbiztonsági szolidaritásról szóló jogszabályra irányuló javaslattal együtt benyújtott, a kiberbiztonsági jogszabályra vonatkozó célzott módosítás célja az, hogy az „irányított biztonsági szolgáltatásokra” vonatkozó európai kiberbiztonsági tanúsítási rendszerek a 2019. évi kiberbiztonsági rendelet hatálya alá kerüljenek.
Ez a módosítás ezért lehetővé teszi majd az ilyen szolgáltatásokra vonatkozó európai tanúsítási rendszerek létrehozását. Hozzá fog járulni minőségük és összehasonlíthatóságuk javításához, elő fogja segíteni a megbízható kiberbiztonsági szolgáltatók megjelenését, és segít majd elkerülni a belső piac széttöredezettségét, mivel néhány tagállam már megkezdte az irányított biztonsági szolgáltatásokra vonatkozó nemzeti tanúsítási rendszerek bevezetését.
A Tanács módosításai
A Tanács álláspontja az alábbi főbb módosításokat tartalmazza a bizottsági javaslathoz képest:
- pontosítja az „irányított biztonsági szolgáltatások” fogalommeghatározását és a hálózati és információs rendszerek biztonságáról szóló felülvizsgált irányelvvel (NIS 2 irányelv) való összhangot
- e tanúsítási rendszerek biztonsági célkitűzéseit hozzáigazítja a jelenlegi kiberbiztonsági jogszabály szerinti egyéb rendszerek biztonsági célkitűzéseihez
- módosításokat tartalmaz a kiberbiztonsági jogszabály mellékletére vonatkozóan, amely felsorolja a megfelelőségértékelő szervezetek által teljesítendő követelményeket
- számos technikai és szövegezési módosítás került be a szövegbe annak biztosítása érdekében, hogy a jelenlegi kiberbiztonsági rendelet valamennyi vonatkozó rendelkezése az irányított biztonsági szolgáltatásokra is vonatkozzon
A következő lépések
A Tanács közös álláspontjáról a mai napon elért megállapodás („tárgyalási megbízás”) lehetővé teszi a spanyol elnökség számára, hogy tárgyalásokat kezdjen az Európai Parlamenttel („háromoldalú egyeztetések”) a javasolt jogszabály végleges változatáról.
Előzmények
A 2019-ben elfogadott kiberbiztonsági jogszabály létrehozta az első kiberbiztonsági tanúsítási keretrendszert valamennyi tagállam számára. Amennyiben az uniós vagy a tagállami jog másként nem rendelkezik, a kiberbiztonsági tanúsítás önkéntes.
A 2023. április 18-án elfogadott bizottsági javaslat célja a kiberbiztonsági jogszabály hatályának célzott módosítása, amely lehetővé tenné a Bizottság számára, hogy végrehajtási jogi aktusok elfogadása révén a már a kiberbiztonsági jogszabály hatálya alá tartozó információs és technológiai termékeken (IKT-termékeken), IKT-szolgáltatásokon és IKT-folyamatokon kívül az „irányított biztonsági szolgáltatások” esetében is lehetővé tegye európai kiberbiztonsági tanúsítási rendszerek bevezetését.
A javaslat bevezeti az „irányított biztonsági szolgáltatások” fogalommeghatározását, összhangban az „irányított biztonsági szolgáltatók” fogalmának a NIS 2 irányelv szerinti fogalommeghatározásával. Emellett kiegészíti a rendeletet egy új cikkel (51a. cikk), amely kifejezetten az „irányított biztonsági szolgáltatások” tekintetében határozza meg az európai kiberbiztonsági tanúsítási rendszerek célkitűzéseit. Végezetül a javaslat számos technikai módosítást tartalmaz annak biztosítása érdekében, hogy a kiberbiztonsági jogszabály vonatkozó rendelkezései az irányított biztonsági szolgáltatásokra is vonatkozzanak.
A javaslat alapját az EUMSZ 114. cikke (belső piac) képezi, mivel a javaslat az irányított biztonsági szolgáltatások belső piaca széttöredezettségének azáltal való elkerülésére irányul, hogy lehetővé teszi az e szolgáltatásokra vonatkozó európai kiberbiztonsági tanúsítási rendszerek bevezetését.
- Rendelet a kiberbiztonsági jogszabálynak az irányított biztonsági szolgáltatások tekintetében történő módosításáról, a Tanács tárgyalási megbízása, 2023. november 15.
- A kiberbiztonsági jogszabály célzott módosítása, bizottsági javaslat, 2023. április 18.
- A Bizottság háttér-információi, 2023. április 18.
- A hálózati és információs rendszerek biztonságáról szóló felülvizsgált irányelv (NIS 2 irányelv), 2022. december 27.
- Kiberbiztonsági jogszabály, 2019. június 7.
”
Forrás:
Kiberbiztonság: a tagállamok közös álláspontról állapodtak meg a kiberbiztonsági jogszabály célzott módosítására vonatkozóan; EU Tanácsa; 2023. november 15.
