„Európában szinte mindennaposak az alapvető szolgáltatásokat és a demokratikus intézményeket érő hibrid és kibertámadások, amelyeket kifinomult módszereket alkalmazó állami és bűnözői csoportok hajtanak végre. Az Európai Bizottság ma új kiberbiztonsági csomagra tett javaslatot annak érdekében, hogy erre az egyre komolyabb fenyegetésre tekintettel tovább erősítse az EU kibertámadásokkal szembeni ellenálló képességét és kiberbiztonsági képességeit.
A csomag részét képezi a felülvizsgált kiberbiztonsági jogszabály, amely javítja az EU infokommunikációs technológiai (IKT) ellátási láncainak biztonságát. A javaslatcsomag egy egyszerűbb tanúsítási eljárás révén biztosítja, hogy az uniós polgárokhoz eljutó termékek már a tervezésüknél fogva kifogástalanok legyenek kiberbiztonsági szempontból. Megkönnyíti továbbá a meglévő uniós kiberbiztonsági szabályok betartását, és megerősíti az Európai Uniós Kiberbiztonsági Ügynökség (ENISA) arra irányuló tevékenységét, hogy támogassa a tagállamokat és az EU-t a kiberbiztonsági fenyegetések kezelésében.
Az IKT-ellátási láncok biztonságának fokozása az Unióban
Az új kiberbiztonsági jogszabály célja, hogy csökkentse a kiberbiztonsági szempontból aggályos harmadik országbeli beszállítóktól eredő kockázatokat az EU IKT-ellátási láncában. Harmonizált, arányos és kockázatalapú megközelítésen alapuló, megbízható IKT-ellátásilánc-biztonsági keretet határoz meg, amely lehetővé teszi, hogy az EU és a tagállamok közösen tárják fel és csökkentsék a kockázatokat az Unió 18 kritikus ágazatában, figyelembe véve a gazdasági hatásokat és a piaci kínálatot is.
A közelmúltban történt kiberbiztonsági incidensek rávilágítottak a kritikus szolgáltatások és infrastruktúra működéséhez elengedhetetlen IKT-ellátási láncok sérülékenységéből eredő jelentős kockázatokra. A jelenlegi geopolitikai helyzetben az ellátási láncok biztonsága már nem pusztán a műszaki termékek vagy szolgáltatások biztonságát jelenti, hanem a beszállítóhoz fűződő kockázatokkal is összefügg, különösen ami a kiszolgáltatottságot és a külföldi beavatkozást illeti.
A kiberbiztonsági jogszabály az 5G biztonsággal kapcsolatos eszköztár keretében már elvégzett munkára építve lehetővé fogja tenni az európai mobil telekommunikációs hálózatoknak a kiemelt kockázatot jelentő harmadik országban működő szolgáltatók hordozta kockázatoktól való kötelező mentesítését.
Az európai kiberbiztonsági tanúsítási keretrendszer egyszerűsítése és javítása
A felülvizsgált kiberbiztonsági jogszabály biztosítani fogja, hogy az uniós fogyasztókhoz eljutó termékeket és szolgáltatásokat hatékonyabban teszteljék a biztonság szempontjából. Erre a megújult európai kiberbiztonsági tanúsítási keretrendszer (ECCF) révén kerül sor. Az ECCF egyértelműsíti és egyszerűsíti az eljárásokat, így a tanúsítási rendszerek alapesetben 12 hónapon belül kidolgozhatók lesznek. Emellett agilisabb és átláthatóbb irányítást vezet be annak érdekében, hogy a nyilvánosság tájékoztatása és nyilvános konzultáció révén jobban bevonja az érdekelt feleket a folyamatokba.
Az ENISA által kezelt tanúsítási rendszerek a vállalkozások praktikus, önkéntesen használható eszközei lesznek. A vállalkozások a segítségükkel igazolhatják az uniós jogszabályoknak való megfelelést, így csökkennek terheik és költségeik. Az IKT-termékeken, -szolgáltatásokon, -folyamatokon és irányított biztonsági szolgáltatásokon túlmenően a vállalatok és szervezetek a piaci igények szerint tanúsíthatják kiberbiztonsági helyzetüket. A megújult ECCF végső soron versenyelőnyt nyújt majd az uniós vállalkozásoknak. Az uniós polgárok, vállalkozások és hatóságok számára garantálni fogja a magas szintű biztonságot, és fokozza az összetett IKT-ellátási láncokba vetett bizalmat.
A kiberbiztonsági szabályok betartásának elősegítése
A csomag a digitális omnibusz csomagban javasolt, a biztonsági incidensek bejelentésére szolgáló egyablakos ügyintézési pontot kiegészítő olyan intézkedéseket vezet be, amelyek megkönnyítik az Unióban működő vállalatok megfelelését az uniós kiberbiztonsági szabályoknak és kockázatkezelési követelményeknek. A NIS 2 irányelv célzott módosításai arra irányulnak, hogy fokozzák a jogi egyértelműséget. 28 700 cég, köztük 6200 mikro- és kisvállalkozás számára könnyítik meg a jogkövetést. Emellett bevezetik a kis méretű, közepes piaci tőkeértékű vállalatok új kategóriáját, ezzel csökkentve 22 500 vállalat jogszabályi megfelelési költségeit. A módosítások egyszerűsítik a joghatósági szabályokat, észszerűsítik a zsarolóvírus-támadásokra vonatkozó adatok gyűjtését, és megkönnyítik a határokon átnyúló szervezetek felügyeletét, miközben megerősítik az ENISA koordinációs szerepét.
Európa kiberbiztonsági ellenálló képességének fokozása az ENISA erősítésével
Az első kiberbiztonsági jogszabály 2019. évi elfogadása óta az ENISA az uniós kiberbiztonsági ökoszisztéma sarokkövévé vált. A ma előterjesztett felülvizsgált kiberbiztonsági jogszabály lehetővé teszi, hogy az ENISA segítsen világosabbá tenni az Unió és tagállamai számára, hogy mik a közös fenyegetések. Arról is gondoskodik, hogy felkészüljenek és reagáljanak a kiberbiztonsági incidensekre.
Az ügynökség továbbra is támogatni fogja az EU-ban működő vállalatokat és érdekelt feleket azáltal, hogy idejekorán figyelmeztetést nyújt a kiberbiztonsági fenyegetésekről és incidensekről. Az Europollal és a számítógép-biztonsági incidensekre reagáló csoportokkal együttműködve támogatni fogja a vállalatokat a zsarolóvírusos támadásokra való reagálásban és az azokat követő helyreállításban. Emellett az ENISA uniós megközelítést is ki fog dolgozni annak érdekében, hogy jobb sérülékenységmenedzsment-szolgáltatásokat nyújtson az érdekelt feleknek. Szintén az ügynökség feladata lesz a digitális omnibusz csomagban javasolt, a biztonsági incidensek bejelentésére szolgáló egyablakos ügyintézési pont üzemeltetése.
Az ENISA továbbra is kulcsszerepet fog játszani a képzett európai kiberbiztonsági munkaerő bővítésében. Ezt szolgálja majd a Kiberkészségek Akadémiája nevű kísérleti projekt és a kiberbiztonsági készségek egész EU-ra kiterjedő tanúsítási rendszereinek létrehozása.
További lépések
A kiberbiztonsági jogszabály az Európai Parlament és az Európai Unió Tanácsa általi jóváhagyást követően azonnal alkalmazandó lesz. A NIS 2 irányelv kapcsolódó módosításait szintén elő fogják terjeszteni jóváhagyásra. Az irányelv elfogadását követően a tagállamoknak egy év áll rendelkezésükre, hogy átültessék azt nemzeti jogukba, és közöljék a Bizottsággal a vonatkozó jogszabályok szövegét.
További információk
Felülvizsgált kiberbiztonsági jogszabály
Idézet(ek)
„A kiberbiztonsági fenyegetések nem csupán technikai kihívások. Stratégiai kockázatot jelentenek demokráciánkra, gazdaságunkra és életmódunkra nézve. Az új kiberbiztonsági csomag nemcsak a kritikus IKT-ellátási láncaink jobb védelméhez, hanem a kibertámadások elleni határozott küzdelemhez szükséges eszközöket is biztosítani fogja. Fontos lépés ez Európa technológiai szuverenitása és a mindenki számára nagyobb biztonság felé vezető úton.” – Henna Virkkunen, a technológiai szuverenitásért, a biztonságért és a demokráciáért felelős ügyvezető alelnök”
Forrás:
A Bizottság megerősíti az EU kiberbiztonsági képességeit és ellenálló képességét; Európai Bizottság; 2026. január 20.
