„A tagállamok képviselői (Coreper) a kiberbiztonsági fenyegetések és események észlelése, valamint az azokra való felkészülés és reagálás céljából az Unión belüli szolidaritás és képességek megerősítése érdekében közös álláspontra jutottak az úgynevezett „kiberbiztonsági szolidaritásról szóló jogszabályról”. A rendelettervezettel olyan uniós képességek jönnek létre, amelyek reziliensebbé és válaszkészebbé teszik Európát a kiberfenyegetésekkel szemben, ugyanakkor az együttműködési mechanizmusokat is erősítik.
„A mai megállapodás újabb lépés az európai kiberreziliencia javítása felé. Kétségkívül meg fogja erősíteni az EU és a tagállamok arra irányuló képességeit, hogy a nagyszabású kiberbiztonsági fenyegetésekre és támadásokra irányuló felkészülés, az azokra való reagálás és az ezeket követő helyreállítás hatékonyabb és eredményesebb legyen.” – José Luis Escrivá, Spanyolország digitális átalakulásért felelős minisztere
A bizottsági javaslat főbb célkitűzései
A Bizottság javaslatának fő céljai a következők:
- a jelentős vagy nagyszabású kiberbiztonsági fenyegetések és események észlelésének és a kapcsolódó helyzetismeretnek a támogatása
- a felkészültség fokozása, valamint a kritikus szervezetek és az alapvető szolgáltatások, például a kórházak és a közművek védelme
- a szolidaritás megerősítése uniós szinten, összehangolt válságkezelési és -elhárítási képességek a tagállamokban
- hozzájárulás ahhoz, hogy biztonságos és védett digitális környezet álljon a polgárok és a vállalkozások rendelkezésére
A jelentős kiberfenyegetések gyors és hatékony észlelése érdekében a rendelettervezet létrehoz egy „európai kiberpajzsot”, amely az unióbeli nemzeti és transznacionális biztonsági műveleti központokból (SOC) álló páneurópai infrastruktúra. Olyan szervezetekről van szó, amelyek feladata az információmegosztás, valamint a kiberfenyegetések észlelése és az azokra való reagálás. A legkorszerűbb technológiát – például mesterséges intelligenciát és fejlett adatelemzést – fognak használni ahhoz, hogy határokon átnyúlóan észleljék a kiberfenyegetéseket és -eseményeket, és azokról időben figyelmeztetéseket adjanak ki. A hatóságok és az érintett szervezetek ezáltal hatékonyabban és eredményesebben tudnak majd reagálni a jelentős eseményekre.
A rendelettervezet előírja továbbá egy olyan kiberbiztonsági vészhelyzeti mechanizmus létrehozását, amelynek célja növelni a felkészültséget és fokozni az eseményekre való reagálást szolgáló képességeket az EU-ban. A mechanizmus az alábbiakat fogja támogatni:
- felkészültségi intézkedések, többek között a kiemelten kritikus ágazatokban (az egészségügy, a közlekedés, az energetika stb. területén) működő szervezetek tesztelése közös kockázati forgatókönyvek és módszertan alapján az esetleges sebezhetőségek felderítése érdekében
- egy új uniós kiberbiztonsági tartalék, amely magánszektorbeli megbízható szolgáltatók eseményreagálási szolgáltatásaiból áll, e szolgáltatók előzetes szerződéseknek köszönhetően egy tagállam vagy az uniós intézmények, szervek és ügynökségek kérésére, jelentős vagy nagyszabású kiberbiztonsági események esetén készen állnak majd az azonnali beavatkozásra
- kölcsönös pénzügyi segítségnyújtás, azaz egy tagállam támogatást nyújthat egy másik tagállamnak
A javasolt rendelet végezetül létrehozza a kiberbiztonsági események felülvizsgálati mechanizmusát. Ennek célja az EU rezilienciájának fokozása a jelentős vagy nagyszabású kiberbiztonsági események utólagos vizsgálata és értékelése, a tanulságok levonása, valamint adott esetben az uniós kiberbiztonsági helyzet javítását célzó ajánlások kiadása révén. A Bizottság vagy a nemzeti hatóságok kérésére az EU kiberbiztonsági ügynöksége (ENISA) megvizsgál bizonyos kiberbiztonsági eseményeket, és jelentést készít a levont tanulságokról és az ajánlásokról.
A Tanács módosításai
A Tanács az álláspontjában fenntartja a bizottsági javaslat általános irányvonalát, ugyanakkor módosítja is a rendelettervezetet a következő szempontok szerint:
- pontosítja a terminológiát, és hozzáigazítja a szöveget a tagállamok sajátosságaihoz, különösen a biztonsági műveleti központok és a kiberpajzs tekintetében.
- a tárgyra és a hatályra vonatkozó részekben javítja a reagálási intézkedésekkel és a helyreállítással, valamint a nemzetbiztonságra vonatkozó rendelkezésekkel kapcsolatos szövegezést
- módosítja a fogalommeghatározásokat és összehangolja azokat más jogszabályokkal, főként a hálózati és információs rendszerekről szóló, nemrégiben felülvizsgált irányelvvel („NIS 2”)
- a szöveg egésze hangsúlyozza a bizottsági javaslattal létrehozott mechanizmusokban való tagállami részvétel önkéntes jellegét, továbbá egyértelművé válnak a már meglévő, illetve a rendelettervezetben meghatározott szervezetek közötti kölcsönhatások
- az egész szöveg megerősíti és pontosítja az Európai Uniós Kiberbiztonsági Ügynökség (ENISA) szerepét
- javítások kerültek be a közbeszerzést, a finanszírozást, az információmegosztást és a kiberbiztonsági események felülvizsgálati mechanizmusát illetően
További lépések
A Tanács közös álláspontjáról a mai napon elért megállapodás („tárgyalási megbízás”) lehetővé teszi a soron következő elnökség számára, hogy tárgyalásokat kezdjen az Európai Parlamenttel („háromoldalú egyeztetések”) a javasolt jogszabály végleges változatáról.
Háttér-információ
A Bizottság 2023. április 18-án elfogadta a kiberbiztonsági fenyegetések és események észlelése, valamint az azokra való felkészülés és reagálás céljából az Unión belüli szolidaritás és képességek megerősítését célzó intézkedések meghatározásáról szóló rendeletre (azaz a kiberbiztonsági szolidaritásról szóló jogszabályra) irányuló javaslatot.
E jogalkotási javaslat több korábbi forrásra nyúlik vissza. A 2020 decemberében elfogadott uniós kiberbiztonsági stratégiában említés történt az európai kiberpajzs létrehozásáról, amely megerősítené a kiberfenyegetés-észlelési és az információmegosztási képességeket az EU-ban. Az uniós tagállamok távközlésért felelős miniszterei 2022. március 8-án és 9-én nem hivatalos ülést tartottak Nevers-ben, és kifejezték azon kívánságukat, hogy az EU teljeskörűen felkészüljön a nagyszabású kibertámadásokra. A Tanács a kiberbiztonsági helyzetről szóló 2022. májusi következtetéseiben kiemelte, hogy kezelni kell a kibertámadásokra való reagálással és felkészültséggel kapcsolatos hiányosságokat, és felkérte a Bizottságot, hogy nyújtson be javaslatot egy új Kiberbiztonsági Vészhelyzet-elhárítási Alapra vonatkozóan.
A Bizottság javaslata ezért bevezeti az „európai kiberpajzsot”, amely olyan műveleti központokból (SOC) áll, amelyeket a Digitális Európa program által finanszírozott több országra kiterjedő SOC-platformok fognak össze. A kiberbiztonsági szolidaritásról szóló uniós jogszabály keretébe tartozó fellépések teljes költségvetése 1,1 milliárd EUR, amelynek mintegy kétharmadát az EU a Digitális Európa programon keresztül finanszírozza.
- A kiberbiztonsági szolidaritásról szóló jogszabály, a Tanács tárgyalási megbízása, 2023. december 20.
- A kiberbiztonsági szolidaritásról szóló jogszabály, a Tanács jelentése az elért eredményekről, 2023. december 5.
- Rendelet a kiberbiztonsági fenyegetések és események észlelése, valamint az azokra való felkészülés és reagálás céljából az Unión belüli szolidaritás és képességek megerősítését célzó intézkedések meghatározásáról (a kiberbiztonsági szolidaritásról szóló jogszabály), a Bizottság javaslata, 2023. április 18.
- A Tanács következtetései az EU kiberbiztonsági helyzetének javításáról, sajtóközlemény, 2022. május 23.
”
Forrás:
A kiberbiztonsági szolidaritásról szóló jogszabály: a tagállamok közös álláspontról állapodtak meg az uniós kiberbiztonsági kapacitások megerősítése érdekében; EU Tanácsa; 2023. december 20.
