„A Bizottság a mai napon javaslatot terjesztett elő egy, a kiberrezilienciáról szóló új jogszabályra azzal a céllal, hogy megóvja a fogyasztókat és a vállalkozásokat a nem megfelelő biztonsági funkciókkal rendelkező termékek veszélyeitől. Ez az első ilyen jellegű uniós szintű jogszabály, mely kötelező kiberbiztonsági követelményeket vezet be a digitális elemeket tartalmazó termékekre vonatkozóan, mely követelményeket a termékeknek a teljes életciklusuk alatt teljesíteniük kell.
A Bizottság elnöke, Ursula von der Leyen által 2021 szeptemberében, az Európai Unió helyzetéről szóló beszédben említett, illetőleg a digitális évtizedre vonatkozó 2020. évi uniós kiberbiztonsági stratégiára és a biztonsági unióra vonatkozó 2020. évi uniós stratégiára épülő jogi aktus biztosítani fogja, hogy a digitális termékek – például a vezeték nélküli és vezetékes termékek és szoftverek – Unió-szerte biztonságosabbá váljanak a fogyasztók számára: az új javaslat növeli a gyártók felelősségét, mivel előírja, hogy az azonosított sebezhetőségek kezelése érdekében kötelező biztonsági támogatást és szoftverfrissítéseket biztosítani, továbbá lehetővé teszi a fogyasztók számára, hogy hozzáférjenek a kellő információkhoz az általuk vásárolt és használt termékek kiberbiztonságáról.
Margrethe Vestager, a digitális korra felkészült Európáért felelős ügyvezető alelnök így nyilatkozott: „Elengedhetetlen, hogy biztonságosnak érezzük az egységes piacon vásárolt termékeket. Hasonlóan ahhoz, ahogy a CE-jelölés biztosítja, hogy megbízhatunk az azzal ellátott játékban vagy hűtőszekrényben, a kiberrezilienciáról szóló jogszabály biztosítani fogja, hogy a vásárolt összekapcsolt termékek és szoftverek szigorú kiberbiztonsági előírásoknak feleljenek meg. A jogszabály a felelősséget a megfelelő helyre fogja helyezni: azok vállára, akik a termékeket forgalomba hozzák.”
Margarítisz Szhinász, az európai életmód előmozdításáért felelős alelnök a következőket tette hozzá: „A kiberrezilienciáról szóló jogszabály az Unió válasza a modern biztonsági fenyegetésekre, melyek mára digitális társadalmunkban mindenütt jelen vannak. A kritikus infrastruktúrára, a kiberbiztonsági felkészültségre és reagálási képességre, valamint a kiberbiztonsági termékek tanúsítására vonatkozó szabályok létrehozása révén az EU úttörő szerepet vállalt a kiberbiztonsági ökoszisztéma létrehozásában. Ma egy olyan törvénnyel tesszük teljessé ezt az ökoszisztémát, amely fokozza a biztonságot otthonainkban és a vállalkozásainkban, továbbá megbízhatóbbá tesz minden összekapcsolt terméket. A kiberbiztonság már nem csak az ipart érinti, hanem a társadalom számára is fontos kérdés.”
Thierry Breton, a belső piacért felelős biztos hangsúlyozta: „Ha a kiberbiztonságról van szó, Európa is csak annyira lehet erős, mint a leggyengébb láncszeme, legyen az akár egy sebezhető tagállam vagy egy nem biztonságos termék az ellátási láncban. Számítógépek, telefonok, háztartási készülékek, virtuális segédeszközök, autók és játékok… a több százmillió összekapcsolt termék mindegyike potenciális belépési pont, melyen keresztül kibertámadás indítható. Jelenleg a legtöbb hardver- és szoftvertermékre mégsem vonatkoznak kiberbiztonsági kötelezettségek. A kiberrezilienciáról szóló jogszabály hozzá fog járulni Európa gazdaságának és kollektív biztonságának a védelméhez azáltal, hogy a kiberbiztonsági funkciókat a termékek szerves részévé teszi.”
Figyelembe véve, hogy globális szinten 11 másodpercenként zsarolóvírus-támadás ér egy szervezetet, és a kiberbűnözés által okozott becsült éves kár 2021-ben elérte az 5,5 billió eurót (a Közös Kutatóközpont jelentése, 2020: „Cybersecurity – Our Digital Anchor, a European perspective” [Kiberbiztonság – a digitális világunk alapja, európai perspektíva]), a kiberbiztonság erősítése és a – sikeres támadások leggyakoribb célpontját képező – digitális termékek sebezhetőségének csökkentése fontosabb, mint valaha. Az intelligens és összekapcsolt termékek terjedéséből adódóan a csupán egyetlen terméket érő kiberbiztonsági támadások is hatással lehetnak a teljes ellátási láncra, ami a belső piacon a gazdasági és társadalmi tevékenységek súlyos zavarához vezethet, valamint alááshatja a biztonságot vagy akár életeket is veszélyeztethet.
A ma javasolt intézkedések a termékekre vonatkozó uniós jogszabályok új jogszabályi keretén alapulnak, és a következőket foglalják magukban:
a) a digitális elemeket tartalmazó termékek forgalomba hozatalára vonatkozó szabályok, melyek e termékek kiberbiztonságát hivatottak biztosítani;
b) a digitális elemeket tartalmazó termékek tervezésére, fejlesztésére és gyártására vonatkozó alapvető követelmények, valamint a gazdasági szereplők e termékekkel kapcsolatos kötelezettségei;
c) a digitális alkotóelemeket tartalmazó termékek teljes életcikluson átívelő kiberbiztonságának garantálása érdekében alapvető követelmények a biztonsági rések kezelésére irányuló, gyártók által alkalmazott folyamatokra, továbbá kötelezettségek e folyamatokkal kapcsolatban a gazdasági szereplőkre nézve. A gyártóknak továbbá jelentést kell tenniük a kihasznált biztonsági résekről és a kiberbiztonsági eseményekről;
d) a piacfelügyeletre és a végrehajtásra vonatkozó szabályok.
Az új szabályok nagyobb felelősséget helyeznek a gyártókra, akiknek biztosítaniuk kell, hogy az uniós piacon forgalmazott, digitális elemeket tartalmazó termékeik megfeleljenek a vonatkozó biztonsági követelményeknek. Következősképpen a fogyasztók és a polgárok, valamint a digitális termékeket használó vállalkozások javát szolgálják azáltal, hogy javítják a digitális elemeket tartalmazó termékek biztonsági jellemzőinek átláthatóságát és előmozdítják az azokba vetett bizalmat, valamint biztosítják az alapvető jogok, például a magánélet jobb védelmét, valamint a jobb adatvédelmet.
Bár e kérdéseket világszerte más joghatóságok is vizsgálják, a kiberrezilienciáról szóló jogszabály valószínűleg nemzetközi,az EU belső piacán túlmutató referenciaponttá fog válni. A kiberrezilienciáról szóló jogszabályon alapuló uniós szabványok meg fogják könnyíteni a rendelet végrehajtását, és előny fognak jelenteni az uniós kiberbiztonsági ágazat számára a globális piacokon.
A javasolt rendelet vonatkozni fog minden olyan termékre, amely közvetlenül vagy közvetve egy másik eszközhöz vagy hálózathoz kapcsolódik. Lesznek azonban kivételek; a rendelet nem vonatkozik majd azokra a termékekre, amelyek tekintetében a hatályos – pl. az orvostechnikai eszközökre, a légi közlekedésre vagy az autókra vonatkozó – uniós szabályok már tartalmaznak kiberbiztonsági követelményeket.
A következő lépések
Most az Európai Parlamenten és a Tanácson a sor, hogy megvizsgálja a kiberrezilienciáról szóló jogszabálytervezet. Elfogadását követően a gazdasági szereplőknek és a tagállamoknak két év áll majd rendelkezésére, hogy alkalmazkodjanak az új követelményekhez. E szabály alól kivételt képez a gyártóknak a kihasznált biztonsági rések és a kiberbiztonsági események jelentésére vonatkozó kötelezettsége, amely már a hatálybalépéstől számított egy év elteltével alkalmazandó lenne, mivel a többi új kötelezettségnél kevesebb szervezeti módosítást igényel. A Bizottság rendszeresen felül fogja vizsgálni a kiberrezilienciáról szóló jogszabályt, és jelentést fog tenni annak működéséről.
Háttér-információk
A kiberbiztonság a Bizottság egyik legfontosabb prioritása, és alapkövét képezi a digitális és összekapcsolt Európának. A koronavírus-válság idején megsokasodtak a kibertámadások, ami megmutatta, mennyire fontos a kórházak, kutatóközpontok és más infrastruktúrák védelme. Határozott fellépésre van szükség ezen a területen ahhoz, hogy az Unió gazdasága és társadalma időtállóvá váljon. A becslések szerint az adatvédelmi incidensek miatt felmerülő éves költség legalább 10 milliárd euróra rúg, míg az internetes forgalom megzavarására irányuló rosszindulatú kísérletek miatti költség évente legalább 65 milliárd eurót tesz ki (a rádióberendezésekről szóló irányelv kiegészítéséről szóló felhatalmazáson alapuló bizottsági rendeletet kísérő hatásvizsgálat).
A 2020 decemberében ellőterjesztett kiberbiztonsági stratégia értelmében a kiberbiztonság beépülne az ellátási lánc valamennyi elemébe, és a négy kiberbiztonsági szektoron – a belső piac, a bűnüldözés, a diplomácia és a védelem területén – átívelve még szorosabban összekapcsolná az uniós tevékenységeket és erőforrásokat. A stratégia az Európa digitális jövőjének megtervezéséről szóló közleményre és a biztonsági unióra vonatkozó uniós stratégiára épül, valamint több olyan jogalkotási aktusra, fellépésre és kezdeményezésre, amelyeket az Unió a kiberbiztonsági kapacitások megerősítése és Európa kibertámadásokkal szembeni ellenálló képességének fokozása érdekében vezetett be.
A kiberrezilienciáról szóló új jogszabály kiegészíti az uniós kiberbiztonsági keretet, amely a hálózati és információs rendszerek biztonságáról szóló irányelvből (a NIS-irányelvből), az Európai Parlament és a Tanács nemrégiben elfogadott, az Unió egész területén magas szintű kiberbiztonságot biztosító intézkedésekről szóló irányelvből (a NIS 2 irányelvből), valamint az uniós kiberbiztonsági jogszabályból áll.
További információk
Kérdések és válaszok: A kiberrezilienciáról szóló jogszabályTájékoztató az uniós kiberrezilienciáról szóló jogszabályról
Javaslat a kiberrezilienciáról szóló jogszabályra
Tájékoztató az új uniós kiberbiztonsági stratégiáról
Tájékoztató az Unió egész területén magas szintű kiberbiztonságot biztosító intézkedésekről szóló irányelvjavaslatról (a NIS 2 irányelvről)
Tájékoztató a kiberbiztonságról: az Unió külső tevékenysége
Kérdések és válaszok: új uniós kiberbiztonsági stratégia és a kritikus fizikai és digitális létesítmények rezilienciájának fokozását szolgáló új szabályok
A kiberbiztonság Unió-szerte egységesen magas szintjének megvalósítását szolgáló intézkedésekről szóló irányelvre irányuló javaslat (NIS 2 irányelv)
Irányelvjavaslat a kritikus fontosságú szervezetek rezilienciájáról”
Forrás:
Az Unió helyzete: az új uniós kiberbiztonsági szabályoknak köszönhetően biztonságosabbá válnak a hardver- és szoftvertermékek; Európai Bizottság; 2022. szeptember 15.