„AZ EURÓPAI UNIÓ TANÁCSA, tekintettel az Európai Unióról szóló szerződésre és különösen annak 29. cikkére, tekintettel az Unió külügyi és biztonságpolitikai főképviselőjének javaslatára, mivel:
…(4) A rossz szándékú kibertevékenységekről szóló, 2018. április 16-i tanácsi következtetésekben a Tanács határozottan elítélte az információs és kommunikációs technológia (a továbbiakban: az IKT) rossz szándékú felhasználását és hangsúlyozta, hogy az IKT-k rossz szándékú felhasználása elfogadhatatlan, mert veszélyezteti a stabilitást és a biztonságot, valamint annak következtében erodálódnak azok a kedvező hatások, amelyek az internetből és az IKT-k használatából fakadnak. A Tanács emlékeztetett arra, hogy a kiberdiplomáciai eszköztár hozzájárul a kibertérben a konfliktusmegelőzéshez, az együttműködéshez és a stabilitáshoz azzal, hogy a KKBP területén olyan intézkedések, többek között korlátozó intézkedések bevezetését teszi lehetővé, amelyekkel a rossz szándékú kibertevékenységek megelőzhetők, illetve fel lehet lépni ellenük. Kijelentette, hogy az Unió továbbra is határozottan kiáll amellett, hogy a hatályos nemzetközi jogot alkalmazni kell a kibertérre, és hangsúlyozta, hogy a nemzetközi jognak – mindenekelőtt az ENSZ Alapokmányának – a tiszteletben tartása elengedhetetlen a béke és a stabilitás fenntartásához. Emellett a Tanács azt is kiemelte, hogy az államok nem bízhatnak meg másokat nemzetközi jogot sértő cselekmények IKT-k felhasználásával történő elkövetésére, és törekedniük kell annak biztosítására, hogy nem állami szereplők ne használhassák területüket ilyen cselekmények elkövetésére, ahogyan azt a nemzetközi biztonság összefüggésében az információs és távközlési technológiák területén végbemenő fejleményekkel foglalkozó illetékes ENSZ kormányzati szakértői csoport a 2015. évi jelentésében megfogalmazta.
…
(7) Ezzel összefüggésben ez a határozat keretet hoz létre a jelentős hatású, az Unióra vagy annak tagállamaira nézve külső fenyegetést jelentő kibertámadások elkövetésének megakadályozását és az elhárításukat célzó célzott korlátozó intézkedésekhez. Ha azt az Európai Unóról szóló szerződés 21. cikkének vonatkozó rendelkezéseiben foglalt közös kül- és biztonságpolitikai célok eléréséhez szükségesnek ítélik, ez a határozat lehetővé teszi továbbá azt, hogy a jelentős hatású kibertámadásokra válaszul korlátozó intézkedéseket lehessen alkalmazni harmadik államokkal vagy nemzetközi szervezetekkel szemben.(8) Az elrettentő és visszatartó hatás érdekében a célzott korlátozó intézkedéseknek az e határozat hatálya alá tartozó azon kibertámadásokra kell összpontosulniuk, amelyeket szándékosan követnek el.
(9) A célzott korlátozó intézkedéseket meg kell különböztetni valamely harmadik államnak a kibertámadásokért való felelőssé tételétől. Célzott korlátozó intézkedések alkalmazása nem jelent ilyen felelőssé tételt, ami egy eseti alapon hozott, szuverén politikai döntés. Minden tagállam szabadon dönt arról, hogy bizonyos kibertámadásokat valamely harmadik államnak tulajdonít.
1. cikk
(1) Ezt a határozatot azokra a jelentős hatású kibertámadásokra kell alkalmazni – ideértve a potenciálisan jelentős hatással járó, megkísérelt kibertámadásokat is –, amelyek az Unióra vagy annak tagállamaira nézve külső fenyegetést jelentenek.
(2) A külső fenyegetésnek minősülő kibertámadások közé tartoznak azok a kibertámadások,
a) amelyek az Unión kívülről erednek, vagy amelyeket az Unión kívül követnek el;b) amelyek Unión kívüli infrastruktúrát alkalmaznak;
c) amelyeket az Unión kívül letelepedett vagy tevékenységét az Unión kívül végző természetes vagy jogi személy, szervezet vagy szerv követ el; vagy
d) amelyeket a tevékenységét az Unión kívül végző természetes vagy jogi személy, szervezet vagy szerv támogatásával, irányításával vagy ellenőrzése alatt követnek el.
(3) E tekintetben kibertámadásnak minősülnek az alábbiak bármelyikét magukban foglaló tevékenységek:
a) információs rendszerekhez való hozzáférés;b) információs rendszerekbe történő beavatkozás;
c) adatokat érintő beavatkozás; vagy
d) adatkifürkészés,
amennyiben ezeket a tevékenységeket a rendszernek vagy az adatoknak vagy azok valamely részének a tulajdonosa vagy más jogosultja nem engedélyezte megfelelően, vagy ha ezeket a tevékenységeket az Unió vagy az érintett tagállam joga nem teszi lehetővé.
(4) A tagállamok számára veszélyt jelentő kibertámadások közé tartoznak azok, amelyek többek között az alábbiakhoz kapcsolódó információs rendszereket érintik:
a) olyan kritikus infrastruktúra – így a tenger alatti kábelek és a világűrbe felbocsátott objektumok is –, amely elengedhetetlen a társadalom létfontosságú funkcióinak vagy az emberek egészségének, biztonságának, védelmének, illetve gazdasági vagy szociális jólétének fenntartásához;
b) alapvető társadalmi és/vagy gazdasági tevékenységek fenntartásához elengedhetetlen szolgáltatások, különösen következő ágazatok vonatkozásában: az energiaágazat (villamos energia, kőolaj és földgáz); a közlekedési ágazat (légi, vasúti, vízi és közúti közlekedés); a bankszektor; a pénzügyi piaci infrastruktúrák; az egészségügy (egészségügyi szolgáltatók, kórházak és magánklinikák); az ivóvízellátás és ivóvízelosztás; a digitális infrastruktúra; és az érintett tagállam számára alapvető fontosságú bármely egyéb ágazat terén;
c) kritikus állami funkciók, különösen a következő területeken: védelem; intézmények irányítása és működése; a nyilvános választásokat és a szavazási folyamatot is ideértve; gazdasági és polgári infrastruktúra működése; belső biztonság; valamint külkapcsolatok, többek között diplomáciai képviseletek révén;
d) minősített adatok tárolása és kezelése; vagy
e) kormányzati veszélyhelyzet-elhárító csoportok.
(5) Az Unió számára veszélyt jelentő kibertámadások közé tartoznak azok, amelyeket az intézményei, szervei és hivatalai, a harmadik országokban található küldöttségei, illetve a nemzetközi szervezeteknél működő képviseletei, a közös biztonság- és védelempolitika (KBVP) műveletei és missziói, valamint a különleges képviselői ellen intéznek.
(6) Ha azt az Európai Unióról szóló szerződés 21. cikkének vonatkozó rendelkezéseiben foglalt KBVP célok eléréséhez szükségesnek ítélik, a jelentős hatású kibertámadásokra válaszul e határozat alapján korlátozó intézkedéseket lehet alkalmazni harmadik országokkal vagy nemzetközi szervezetekkel szemben is….”
Forrás:
A Tanács (KKBP) 2019/797 határozata (2019. május 17.) az Uniót vagy annak tagállamait fenyegető kibertámadások elleni korlátozó intézkedésekről; Európai Tanács; EUR-lex; 2019. május 17.