Skip to main content
Európai Unióinformatikaközigazgatási informatikapolitika

Az Európai Unió Tanácsa a kiberbiztonsági szolidaritásról szóló jogszabályról („Cyber solidarity act”)

Szerző: 2024. január 29.No Comments

„A tagállamok képviselői (Coreper) a kiberbiztonsági fenyegetések és események észlelése, valamint az azokra való felkészülés és reagálás céljából az Unión belüli szolidaritás és képességek megerősítése érdekében közös álláspontra jutottak az úgynevezett „kiberbiztonsági szolidaritásról szóló jogszabályról”. A rendelettervezettel olyan uniós képességek jönnek létre, amelyek reziliensebbé és válaszkészebbé teszik Európát a kiberfenyegetésekkel szemben, ugyanakkor az együttműködési mechanizmusokat is erősítik.

„A mai megállapodás újabb lépés az európai kiberreziliencia javítása felé. Kétségkívül meg fogja erősíteni az EU és a tagállamok arra irányuló képességeit, hogy a nagyszabású kiberbiztonsági fenyegetésekre és támadásokra irányuló felkészülés, az azokra való reagálás és az ezeket követő helyreállítás hatékonyabb és eredményesebb legyen.” – José Luis Escrivá, Spanyolország digitális átalakulásért felelős minisztere

A bizottsági javaslat főbb célkitűzései

A Bizottság javaslatának fő céljai a következők:

  • a jelentős vagy nagyszabású kiberbiztonsági fenyegetések és események észlelésének és a kapcsolódó helyzetismeretnek a támogatása
  • a felkészültség fokozása, valamint a kritikus szervezetek és az alapvető szolgáltatások, például a kórházak és a közművek védelme
  • a szolidaritás megerősítése uniós szinten, összehangolt válságkezelési és -elhárítási képességek a tagállamokban
  • hozzájárulás ahhoz, hogy biztonságos és védett digitális környezet álljon a polgárok és a vállalkozások rendelkezésére

A jelentős kiberfenyegetések gyors és hatékony észlelése érdekében a rendelettervezet létrehoz egy „európai kiberpajzsot”, amely az unióbeli nemzeti és transznacionális biztonsági műveleti központokból (SOC) álló páneurópai infrastruktúra. Olyan szervezetekről van szó, amelyek feladata az információmegosztás, valamint a kiberfenyegetések észlelése és az azokra való reagálás. A legkorszerűbb technológiát – például mesterséges intelligenciát és fejlett adatelemzést – fognak használni ahhoz, hogy határokon átnyúlóan észleljék a kiberfenyegetéseket és -eseményeket, és azokról időben figyelmeztetéseket adjanak ki. A hatóságok és az érintett szervezetek ezáltal hatékonyabban és eredményesebben tudnak majd reagálni a jelentős eseményekre.

A rendelettervezet előírja továbbá egy olyan kiberbiztonsági vészhelyzeti mechanizmus létrehozását, amelynek célja növelni a felkészültséget és fokozni az eseményekre való reagálást szolgáló képességeket az EU-ban. A mechanizmus az alábbiakat fogja támogatni:

  • felkészültségi intézkedések, többek között a kiemelten kritikus ágazatokban (az egészségügy, a közlekedés, az energetika stb. területén) működő szervezetek tesztelése közös kockázati forgatókönyvek és módszertan alapján az esetleges sebezhetőségek felderítése érdekében
  • egy új uniós kiberbiztonsági tartalék, amely magánszektorbeli megbízható szolgáltatók eseményreagálási szolgáltatásaiból áll, e szolgáltatók előzetes szerződéseknek köszönhetően egy tagállam vagy az uniós intézmények, szervek és ügynökségek kérésére, jelentős vagy nagyszabású kiberbiztonsági események esetén készen állnak majd az azonnali beavatkozásra
  • kölcsönös pénzügyi segítségnyújtás, azaz egy tagállam támogatást nyújthat egy másik tagállamnak

A javasolt rendelet végezetül létrehozza a kiberbiztonsági események felülvizsgálati mechanizmusát. Ennek célja az EU rezilienciájának fokozása a jelentős vagy nagyszabású kiberbiztonsági események utólagos vizsgálata és értékelése, a tanulságok levonása, valamint adott esetben az uniós kiberbiztonsági helyzet javítását célzó ajánlások kiadása révén. A Bizottság vagy a nemzeti hatóságok kérésére az EU kiberbiztonsági ügynöksége (ENISA) megvizsgál bizonyos kiberbiztonsági eseményeket, és jelentést készít a levont tanulságokról és az ajánlásokról.

A Tanács módosításai

A Tanács az álláspontjában fenntartja a bizottsági javaslat általános irányvonalát, ugyanakkor módosítja is a rendelettervezetet a következő szempontok szerint:

  • pontosítja a terminológiát, és hozzáigazítja a szöveget a tagállamok sajátosságaihoz, különösen a biztonsági műveleti központok és a kiberpajzs tekintetében.
  • a tárgyra és a hatályra vonatkozó részekben javítja a reagálási intézkedésekkel és a helyreállítással, valamint a nemzetbiztonságra vonatkozó rendelkezésekkel kapcsolatos szövegezést
  • módosítja a fogalommeghatározásokat és összehangolja azokat más jogszabályokkal, főként a hálózati és információs rendszerekről szóló, nemrégiben felülvizsgált irányelvvel („NIS 2”)
  • a szöveg egésze hangsúlyozza a bizottsági javaslattal létrehozott mechanizmusokban való tagállami részvétel önkéntes jellegét, továbbá egyértelművé válnak a már meglévő, illetve a rendelettervezetben meghatározott szervezetek közötti kölcsönhatások
  • az egész szöveg megerősíti és pontosítja az Európai Uniós Kiberbiztonsági Ügynökség (ENISA) szerepét
  • javítások kerültek be a közbeszerzést, a finanszírozást, az információmegosztást és a kiberbiztonsági események felülvizsgálati mechanizmusát illetően

További lépések

A Tanács közös álláspontjáról a mai napon elért megállapodás („tárgyalási megbízás”) lehetővé teszi a soron következő elnökség számára, hogy tárgyalásokat kezdjen az Európai Parlamenttel („háromoldalú egyeztetések”) a javasolt jogszabály végleges változatáról.

Háttér-információ

A Bizottság 2023. április 18-án elfogadta a kiberbiztonsági fenyegetések és események észlelése, valamint az azokra való felkészülés és reagálás céljából az Unión belüli szolidaritás és képességek megerősítését célzó intézkedések meghatározásáról szóló rendeletre (azaz a kiberbiztonsági szolidaritásról szóló jogszabályra) irányuló javaslatot.

E jogalkotási javaslat több korábbi forrásra nyúlik vissza. A 2020 decemberében elfogadott uniós kiberbiztonsági stratégiában említés történt az európai kiberpajzs létrehozásáról, amely megerősítené a kiberfenyegetés-észlelési és az információmegosztási képességeket az EU-ban. Az uniós tagállamok távközlésért felelős miniszterei 2022. március 8-án és 9-én nem hivatalos ülést tartottak Nevers-ben, és kifejezték azon kívánságukat, hogy az EU teljeskörűen felkészüljön a nagyszabású kibertámadásokra. A Tanács a kiberbiztonsági helyzetről szóló 2022. májusi következtetéseiben kiemelte, hogy kezelni kell a kibertámadásokra való reagálással és felkészültséggel kapcsolatos hiányosságokat, és felkérte a Bizottságot, hogy nyújtson be javaslatot egy új Kiberbiztonsági Vészhelyzet-elhárítási Alapra vonatkozóan.

A Bizottság javaslata ezért bevezeti az „európai kiberpajzsot”, amely olyan műveleti központokból (SOC) áll, amelyeket a Digitális Európa program által finanszírozott több országra kiterjedő SOC-platformok fognak össze. A kiberbiztonsági szolidaritásról szóló uniós jogszabály keretébe tartozó fellépések teljes költségvetése 1,1 milliárd EUR, amelynek mintegy kétharmadát az EU a Digitális Európa programon keresztül finanszírozza.

Forrás:
A kiberbiztonsági szolidaritásról szóló jogszabály: a tagállamok közös álláspontról állapodtak meg az uniós kiberbiztonsági kapacitások megerősítése érdekében; EU Tanácsa; 2023. december 20.