„Az EU folyamatosan arra törekszik, hogy fokozza a rezilienciát az egyre növekvő kiberfenyegetésekkel szemben, valamint garantálja digitális társadalmunk és gazdaságunk biztonságát és védelmét.
A Tanács a mai napon elfogadta az EU egész területén egységesen magas szintű kiberbiztonságot biztosító intézkedésekkel kapcsolatos álláspontját („általános megközelítés”), amely intézkedések célja, hogy tovább javuljon mind az állami, mind a magánszektornak, illetve az Unió egészének kiberrezilienciája és a kiberbiztonsági eseményekre való reagálási képessége.
Elfogadását követően az új, „NIS 2” elnevezésű irányelv a hálózati és információs rendszerek biztonságáról szóló jelenlegi irányelv (NIS-irányelv) helyébe lép.
Azt tapasztaljuk, hogy gyorsan nő az állami és a magánszektor, valamint a polgáraink elleni kibertámadások száma, és e támadások jelentős hatást gyakorolnak társadalmunkra, nem utolsósorban azért, mert egyre inkább digitalizált világban élünk. Mivel jelentős a tét, az új kiberbiztonsági irányelv nagyon fontos szerepet fog játszani kiberbiztonságunk megerősítésében. Bizonyítéka lesz továbbá annak, hogy Európa vezető szerepet tölt be a kiberbiztonsággal kapcsolatos jogalkotásban. – Boštjan Koritnik, Szlovénia közigazgatási minisztere.
A kiberbiztonsági kockázatok és események kezelésének javítása és fokozott együttműködés
A NIS 2 irányelv meghatározza a kiberbiztonsági kockázatkezelési intézkedések és bejelentési kötelezettségek alapját az irányelv hatálya alá tartozó valamennyi ágazatra nézve, így az energiaügy, a közlekedés, az egészségügy és a digitális infrastruktúra területén.A módosított irányelv célja, hogy megszüntesse a kiberbiztonsági követelmények és a kiberbiztonsági intézkedések végrehajtása terén a különböző tagállamok között meglévő eltéréseket. Ennek érdekében minimumszabályokat állapít meg a szabályozási keretre vonatkozóan, és mechanizmusokat határoz meg az egyes tagállamok illetékes hatóságai közötti hatékony együttműködéshez. Aktualizálja a kiberbiztonsági kötelezettségek hatálya alá tartozó ágazatok és tevékenységek listáját, és a végrehajtás biztosítása érdekében jogorvoslatokról és szankciókról rendelkezik.
Az irányelv hivatalosan létrehozza az Európai Kiberválságügyi Kapcsolattartó Szervezetek Hálózatát (EU-CyCLONe), amely támogatni fogja a nagyszabású kiberbiztonsági események összehangolt kezelését.
A Tanács által módosított szabályok hatályának kiterjesztése
Míg a korábbi kiberbiztonsági irányelv értelmében a tagállamok feladata volt annak meghatározása, hogy mely szervezetek felelnek meg azoknak a kritériumoknak, amelyek alapján alapvető szolgáltatásokat nyújtó szereplőnek minősülnek, az új NIS 2 irányelv most bevezet egy, a méretkorlátra vonatkozó szabályt. Ez azt jelenti, hogy az irányelv hatálya alá tartozó ágazatokban működő vagy szolgáltatásokat nyújtó valamennyi közepes és nagyméretű szervezet az irányelv hatálya alá tartozik.Noha ezt az általános szabályt a Tanács is megtartotta az álláspontjában, kiegészítette a szöveget olyan további rendelkezésekkel, amelyek célja az arányosság és a magasabb szintű kockázatkezelés biztosítása, valamint a kritikus szintre vonatkozó egyértelmű kritériumok meghatározása annak megállapítása tekintetében, hogy mely szervezetek tartoznak az irányelv hatálya alá.
A tanácsi szöveg azt is egyértelművé teszi, hogy az irányelv nem alkalmazandó az olyan területeken tevékenységet folytató szervezetekre, mint a védelem vagy a nemzetbiztonság, a közbiztonság, a bűnüldözés és az igazságszolgáltatás. A parlamentek és a központi bankok szintén nem tartoznak az irányelv hatálya alá.
Mivel a közigazgatások szintén gyakran válnak kibertámadások célpontjaivá, a NIS 2 irányelv a központi kormányzatok közigazgatási szerveire is alkalmazandó lesz. Ezen túlmenően a tagállamok dönthetnek úgy, hogy az irányelvet regionális és helyi szinten is alkalmazni kell az ilyen szervekre.
A Tanács által bevezetett egyéb módosítások
A Tanács összehangolta a szöveget az ágazatspecifikus jogszabályokkal, így mindenekelőtt a pénzügyi ágazat digitális működési rezilienciájáról szóló rendelettel (DORA) és a kritikus fontosságú szervezetek rezilienciájáról szóló irányelvvel (CER) a jogi egyértelműség megteremtése, valamint a NIS 2 irányelv és az e jogi aktusok közötti koherencia garantálása céljából.A szakértői tanulásra vonatkozó önkéntes mechanizmus növelni fogja a kölcsönös bizalmat, valamint erősíteni fogja azt, hogy tanulni lehessen a bevált gyakorlatokból és tapasztalatokból, és ezáltal hozzájárul a kiberbiztonság egységesen magas szintjének eléréséhez.
A Tanács egyszerűsítette továbbá a bejelentési kötelezettségeket annak érdekében, hogy elkerülhető legyen a túlzott mennyiségű jelentéstétel, illetve az, hogy az irányelv hatálya alá tartozó szervezetekre túlságosan nagy terhek háruljanak.
A tagállamoknak az irányelv hatálybalépését követően két év áll rendelkezésükre, hogy a rendelkezéseket beépítsék nemzeti jogukba.
További lépések
A ma kialakított általános megközelítés lehetővé teszi a Tanács elnöksége számára, hogy megkezdje a tárgyalásokat az Európai Parlamenttel. A végleges szöveget a Tanácsnak és az Európai Parlamentnek is jóvá kell hagynia.
- Tevezet – Irányelv az Unió egész területén egységesen magas szintű kiberbiztonságot biztosító intézkedésekről – A Tanács általános megközelítése (angol nyelven)
- Kiberbiztonság: hogyan kezeli az EU a kiberfenyegetéseket (háttér-információk)
- Európa digitális jövője (háttér-információk)
- Miként reagál az EU a válságokra és hogyan erősíti a rezilienciát? (háttér-információk)
- Európa digitális jövőjének alakítása – Kiberbiztonsági politikák (a Bizottság ismertetője, csak angol nyelven elérhető oldal)
Forrás:
A kiberbiztonság és -reziliencia megerősítése az EU egész területén – A Tanács kialakította álláspontját; Európai Unió Tanácsa; 2021. december 3.