„A Bizottság üdvözli az Európai Parlament és a Tanács között tegnap éjjel létrejött politikai megállapodást a kiberrezilienciáról szóló jogszabályról, amelyre a Bizottság 2022. szeptemberében tett javaslatot.
A kiberrezilienciáról szóló jogszabály az első ilyen jellegű jogi aktus a világon. Unió-szerte javítani fogja a digitális termékekkel kapcsolatos kiberbiztonság szintjét a fogyasztók és a vállalkozások számára, ugyanis kötelező, arányos kiberbiztonsági követelményeket ír elő minden hardver és szoftver esetében, a babamonitoroktól kezdve az okosórákon és a számítógépes játékokon át a tűzfalakig és az útválasztókig. A különböző kockázati szintű termékekre más-más biztonsági követelmények vonatkoznak majd. A termékek kevesebb mint 10%-át fogják harmadik fél általi értékelésnek alávetni.
Az új rendelet értelmében az uniós piacon forgalomba hozott összes terméknek kiberbiztonságosnak kell lennie. Ez kulcsfontosságú lépés a kiberbűnözők és más rosszindulatú szereplők jelentette növekvő fenyegetés elleni küzdelemben.
A kiberrezilienciáról szóló jogszabály hatálybalépését követően a hardver- és szoftvergyártóknak kiberbiztonsági intézkedéseket kell végrehajtaniuk a termékeik teljes életciklusa során, a tervezéstől kezdve a fejlesztésen át a termék forgalomba hozatalát követő időszakig. A szoftver- és hardvertermékeken fel lesz tüntetve a CE-jelölés, amely jelzi, hogy azok megfelelnek a rendelet követelményeinek, ezért értékesíthetők az EU-ban.
A jogszabály ezenkívül jogilag kötelezi a gyártókat arra, hogy a vásárlást követően több éven keresztül, megfelelő időben biztosítsanak biztonsági frissítéseket a fogyasztók számára. A támogatási időszaknak tükröznie kell a termékek várható felhasználási idejét.
Ezekkel az intézkedésekkel az új jogszabály lehetővé teszi a felhasználók számára, hogy tájékozottabb és biztonságosabb döntéseket hozzanak, ugyanis a gyártókat arra kötelezi, hogy átláthatóbban és felelősségteljesebben foglalkozzanak termékeik biztonságával.
A következő lépések
A megállapodást az Európai Parlamentnek és a Tanácsnak hivatalosan is jóvá kell hagynia. Elfogadását követően a kiberrezilienciáról szóló jogszabály a Hivatalos Lapban való kihirdetését követő 20. napon lép hatályba.
A jogszabály hatálybalépése után a hardver- és szoftvertermékek gyártóinak, importőreinek és forgalmazóinak 36 hónap áll rendelkezésükre, hogy alkalmazkodjanak az új követelményekhez. Ez alól kivételt jelent a gyártók incidensekkel és sebezhetőségekkel kapcsolatos jelentéstételi kötelezettsége, amire szigorúbb, 21 hónapos türelmi idő vonatkozik.
Háttér-információk
A kiberbiztonság az Európai Bizottság egyik legfőbb prioritása. Határozott lépéseket kell tennünk digitális termékeink – mind a szoftverek, mind a hardverek – biztonságossá tétele érdekében.
A kiberrezilienciáról szóló jogszabály – amelyet az Európai Unió helyzetéről szóló 2021. évi beszédben jelentettek be a digitális korra felkészült Európa kiépítésére irányuló terv részeként – a 2020. évi uniós kiberbiztonsági stratégiára és a biztonsági unióra vonatkozó 2020. évi uniós stratégiára épül. Kiegészíti a meglévő jogszabályokat, különösen a 2022-ben elfogadott NIS 2 keretet.
Az elmúlt évben a szoftverellátási lánccal összefüggő támadások száma megháromszorozódott, és nap mint nap esnek kiberbűnözők áldozatául kisvállalkozások és olyan kritikus intézmények, mint a kórházak. 11 másodpercenként ér egy szervezetet zsarolóvírusos támadás, aminek a becsült költsége évente 20 milliárd eurót tesz ki. Csak 2021-ben a kiberbűnözők mintegy 10 millió elosztott szolgáltatásmegtagadási (DDoS) támadást indítottak feltört eszközökről világszerte, amivel weboldalakat és online szolgáltatásokat tettek hozzáférhetetlenné a felhasználók számára.
További információk
A kiberrezilienciáról szóló jogszabály
Javaslat a kiberrezilienciáról szóló jogszabályra
A kiberrezilienciáról szóló jogszabály – Kérdések és válaszok (frissített változat)
Tájékoztató: a kiberrezilienciáról szóló jogszabály
Hatásvizsgálat: a kiberrezilienciáról szóló jogszabály
Idézet(ek)
„Fontos, hogy a fogyasztók biztonságban érezzék magukat az uniós piacon elérhető termékekkel kapcsolatban. A kiberrezilienciáról szóló, ma elfogadott jogszabály biztosítani fogja, hogy az otthon és a munkahelyeken használt digitális termékek szigorú kiberbiztonsági normáknak feleljenek meg. E termékek forgalmazóinak felelősséget kell vállalniuk azok biztonságosságáért.” – Věra Jourová, az értékekért és az átláthatóságért felelős alelnök – 01/12/2023
„Az EU-ban forgalmazott termékek biztonsága mindig is kiemelt szempont volt számunkra, és ezen a téren jelentős sikereket könyvelhettünk el. A kiberrezilienciáról szóló hiánypótló jogszabály kiegészíti a biztonsági szabályokat, hogy a beépített biztonság minden olyan termékre vonatkozzon, amely eljut az uniós fogyasztókhoz és felhasználókhoz. Az új szabályok értelmében az EU-ban értékesített valamennyi összekapcsolt terméknek kiberbiztonságosnak kell lennie, garantálva a vállalkozások és a lakossági felhasználók fokozott biztonságát.” – Margarítisz Szhinász, az európai életmód előmozdításáért felelős alelnök – 01/12/2023
„Üdvözlöm a Parlament és a Tanács között létrejött megállapodást a szolgálataink által előterjesztett fontos rendeletről. A jogszabály garantálja, hogy az EU-ban a digitális eszközök a tervezésüktől kezdve egészen az életciklusuk végéig szigorú kiberbiztonsági követelményeknek feleljenek meg. Ez a beépített kiberbiztonság kulcsfontosságú mind a fogyasztók, mind a társadalom egészének biztonsága szempontjából.” – Thierry Breton, a belső piacért felelős biztos – 01/12/2023”
Forrás:
A Bizottság üdvözli a kiberrezilienciáról szóló jogszabályra vonatkozó politikai megállapodást; Európai Bizottság; 2023. december 1.
