„A Tanács elnöksége és az Európai Parlament tárgyalói ideiglenes megállapodásra jutottak a digitális elemeket tartalmazó termékekre vonatkozó kiberbiztonsági követelményekről szóló jogszabályjavaslatról, amelynek célja annak szavatolása, hogy a forgalomba hozott termékek, például a csatlakoztatott otthoni kamerák, hűtőszekrények, televíziók és játékok biztonságosak legyenek (a kiberrezilienciáról szóló jogszabály).
„A mai megállapodás mérföldkövet jelent a biztonságos és védett európai digitális egységes piac felé vezető úton. Amennyiben az EU-ban kerülnek értékesítésre, a csatlakoztatott eszközöknek meg kell felelniük a kiberbiztonság alapszintjének, hogy ezáltal biztosítva legyen a vállalkozások és a fogyasztók kiberfenyegetésekkel szembeni megfelelő védelme. A kiberrezilienciáról szóló jogszabály éppen ezt fogja szavatolni a hatálybalépését követően.” – José Luis Escrivá, Spanyolország digitális transzformációért felelős minisztere
Az új rendelet főbb célkitűzései
Az új jogszabály kiberbiztonsági követelményeket vezet be Unió-szerte a hardver- és szoftvertermékek tervezésére, fejlesztésére, gyártására és forgalomba hozatalára vonatkozóan annak elkerülése érdekében, hogy az uniós tagállamok különböző jogszabályaiból eredő követelmények között átfedések alakuljanak ki.
A rendelet minden olyan termékre alkalmazandó lesz, amely közvetlenül vagy közvetve csatlakozik egy másik eszközhöz vagy egy hálózathoz. Néhány kivétel is meghatározásra kerül olyan termékek – például az orvostechnikai eszközök, a repüléstechnikai termékek és az autók – vonatkozásában, amelyekre vonatkozóan a hatályos uniós szabályokban már szerepelnek kiberbiztonsági követelmények.
A javaslat célja, hogy pótolja a hiányosságokat, tisztázza a hatályos kiberbiztonsági jogszabályokkal fennálló kapcsolatokat és e jogszabályokat koherensebbé tegye, szavatolva ezáltal, hogy a digitális elemeket tartalmazó – például a dolgok internetéhez (IoT) tartozó – termékek az ellátási lánc egészében és teljes életciklusuk során biztonságosak legyenek.
Végezetül a rendelet azt is lehetővé teszi majd a fogyasztók számára, hogy a digitális elemeket tartalmazó termékek kiválasztásakor és használatakor figyelembe vegyék a kiberbiztonság szempontját, mivel megkönnyíti számukra annak megállapítását, hogy mely hardver- és szoftvertermékek rendelkeznek megfelelő kiberbiztonsági jellemzőkkel.
Megmaradt a bizottsági javaslat fő irányvonala
Az ideiglenes megállapodás szerinti szöveg a következők tekintetében megegyezik a bizottsági javaslat általános irányvonalával:
- a megfelelésért való felelősség egyensúlyát átalakító szabályok a gyártók vonatkozásában, akiknek teljesíteniük kell bizonyos olyan követelményeket, mint a kiberbiztonsági kockázatértékelés rendelkezésre bocsátása, a megfelelőségi nyilatkozatok kiállítása, valamint az illetékes hatóságokkal való együttműködés
- a gyártók által bevezetendő sebezhetőségkezelési eljárások a digitális termékek kiberbiztonságának szavatolása érdekében, valamint a gazdasági szereplőkre, például az importőrökre és a forgalmazókra vonatkozó kötelezettségek az említett eljárásokkal kapcsolatban
- olyan intézkedések, amelyek javítják a hardver- és szoftvertermékek biztonságának átláthatóságát a fogyasztók és az üzleti felhasználók számára
- a szabályok érvényesítését szolgáló piacfelügyeleti keret.
A társjogalkotók általi legfontosabb módosítások
Mindazonáltal a társjogalkotók megállapodtak a bizottsági javaslat egyes részeinek kiigazításáról, főként a következők tekintetében:
- a javasolt jogszabály hatálya: egyszerűsödött az új rendelet hatálya alá tartozó digitális termékek besorolásának módszertana
- a termékek várható élettartamának a gyártók általi meghatározása: míg az alapelv továbbra is az, hogy a támogatási időszaknak a digitális termék várható élettartamával kell megegyeznie, a rendelet megjelöl egy legalább ötéves támogatási időszakot, kivéve azon termékeket illetően, amelyek ennél várhatóan rövidebb ideig lesznek használatban
- az aktívan kihasznált sebezhetőségek vagy biztonsági események tekintetében fennálló jelentéstételi kötelezettségek: először az illetékes nemzeti hatóságokat kell majd értesíteni, ugyanakkor megerősítették az Európai Uniós Kiberbiztonsági Ügynökség (ENISA) szerepét
- az új szabályok három évvel a jogszabály hatálybalépését követően válnak alkalmazandóvá, ami elegendő időt biztosít arra, hogy a gyártók alkalmazkodni tudjanak az új követelményekhez
- megállapodás született további, a kis- és mikrovállalkozásokat célzó támogató intézkedésekről, többek között kifejezetten e vállalkozásoknak szánt tájékoztatási és képzési tevékenységekről, valamint a tesztelési és megfelelőségértékelési eljárásokhoz nyújtott támogatásról.
A következő lépések
A mai ideiglenes megállapodást követően az elkövetkező hetekben szakértői szinten folytatódik majd a munka az új rendelet részleteinek véglegesítése céljából. E munka befejezését követően a spanyol elnökség jóváhagyás céljából be fogja nyújtani a kompromisszumos szöveget a tagállamok képviselőinek (Coreper).
Mindkét intézménynek meg kell majd erősítenie a teljes szöveget, és annak a társjogalkotók általi hivatalos elfogadás előtt jogász-nyelvészi ellenőrzésen is át kell esnie.
Előzmények
A csatlakoztatott eszközök kiberbiztonságáról szóló, 2020. december 2-i következtetéseiben a Tanács hangsúlyozta, hogy fontos felmérni, hogy hosszú távon szükség van-e horizontális jogszabályra annak érdekében, hogy szabályozva legyen a csatlakoztatott eszközök összes releváns kiberbiztonsági szempontja, például az elérhetőség, az integritás, a bizalmas jelleg, valamint a forgalombahozatali feltételek meghatározása.
A kiberrezilienciáról szóló jogszabályt elsőként Ursula von der Leyen, a Bizottság elnöke jelentette be az Unió helyzetéről szóló 2021. szeptemberi beszédében. A jogszabály ezt követően az Európai Unió kiberbiztonsági helyzetének javításáról szóló, 2022. május 23-i tanácsi következtetésekben is említésre került, amelyekben a Tanács felszólította a Bizottságot, hogy 2022 végéig tegyen javaslatot a csatlakoztatott eszközök tekintetében alkalmazandó közös kiberbiztonsági követelményekre.
A Bizottság 2022. szeptember 15-én benyújtotta a kiberrezilienciáról szóló jogszabályra irányuló javaslatot, amely kiegészíti majd a meglévő uniós kiberbiztonsági keretet: a hálózati és információs rendszerek biztonságáról szóló irányelvet (NIS-irányelv), az Unió egész területén magas szintű kiberbiztonságot biztosító intézkedésekről szóló irányelvet (NIS 2 irányelv) és az uniós kiberbiztonsági jogszabályt.
- A kiberrezilienciáról szóló jogszabály, a Tanács tárgyalási megbízása, 2023. július 19.
- Rendelet a digitális elemeket tartalmazó termékekre vonatkozó harmonizált kiberbiztonsági követelményekről (a kiberrezilienciáról szóló jogszabály), a Bizottság javaslata, 2022. szeptember 15.
”
Forrás:
A kiberrezilienciáról szóló jogszabály: a Tanács és a Parlament megállapodásra jutott a digitális termékekre vonatkozó biztonsági követelményekről; EU Tanácsa; 2023. november 30.
