Az Európai Bizottság ma új jogszabályt javasolt a kiber-támadásokkal szembeni ellenállóképesség javítására, hogy megóvja a fogyasztókat és a vállalkozásokat a nem kellő biztonsági funkciókkal rendelkező termékek veszélyeitől. Ez az első ilyen uniós szintű jogszabály: kötelező kiber-biztonsági követelményeket vezet be a digitális elemeket tartalmazó termékekre vonatkozóan, és előírja, hogy a termékeknek teljes életciklusuk alatt meg kell felelniük a követelményeknek.
Az új jogi aktus, amit Ursula von der Leyen elnök már megemlített tavaly szeptemberben, az Európai Unió helyzetéről szóló beszédében, és ami a digitális évtizedre vonatkozó 2020. évi uniós kiber-biztonsági stratégiára és a biztonsági unióra vonatkozó 2020. évi uniós stratégiára épül, szavatolni fogja, hogy a digitális termékek – például a vezeték nélküli és vezetékes termékek és szoftverek – Európai Unió-szerte az eddiginél biztonságosabbá váljanak a fogyasztók számára.
Az Európai Unió helyzetéről szóló bizottsági elnöki beszédben említett, illetőleg a digitális évtizedre vonatkozó 2020. évi uniós kiber-biztonsági stratégiára és a biztonsági unióra vonatkozó 2020. évi uniós stratégiára épülő jogi aktus biztosítani fogja, hogy a digitális termékek – például a vezeték nélküli és vezetékes termékek és szoftverek – Unió-szerte biztonságosabbá váljanak a fogyasztók számára: az új javaslat növeli a gyártók felelősségét, mivel előírja, hogy az azonosított sebezhetőségek kezelése érdekében kötelező biztonsági támogatást és szoftverfrissítéseket biztosítani, továbbá lehetővé teszi a fogyasztók számára, hogy hozzáférjenek a kellő információkhoz az általuk vásárolt és használt termékek kiber-biztonságáról.
Margrethe Vestager, a digitális korra felkészült Európáért felelős ügyvezető alelnök így nyilatkozott: „Elengedhetetlen, hogy biztonságosnak érezzük az egységes piacon vásárolt termékeket. Hasonlóan ahhoz, ahogy a CE-jelölés biztosítja, hogy megbízhatunk az azzal ellátott játékban vagy hűtőszekrényben, a kiber-rezilienciáról szóló jogszabály biztosítani fogja, hogy a vásárolt összekapcsolt termékek és szoftverek szigorú kiber-biztonsági előírásoknak feleljenek meg. A jogszabály a felelősséget a megfelelő helyre fogja helyezni: azok vállára, akik a termékeket forgalomba hozzák.”
Margarítisz Szhinász, az európai életmód előmozdításáért felelős alelnök a következőket tette hozzá: „A kiber-rezilienciáról szóló jogszabály az Unió válasza a modern biztonsági fenyegetésekre, melyek mára digitális társadalmunkban mindenütt jelen vannak. A kritikus infrastruktúrára, a kiber-biztonsági felkészültségre és reagálási képességre, valamint a kiber-biztonsági termékek tanúsítására vonatkozó szabályok létrehozása révén az EU úttörő szerepet vállalt a kiber-biztonsági ökoszisztéma létrehozásában. Ma egy olyan törvénnyel tesszük teljessé ezt az ökoszisztémát, amely fokozza a biztonságot otthonainkban és a vállalkozásainkban, továbbá megbízhatóbbá tesz minden összekapcsolt terméket. A kiber-biztonság már nem csak az ipart érinti, hanem a társadalom számára is fontos kérdés.”
Thierry Breton, a belső piacért felelős biztos hangsúlyozta: „Ha a kiber-biztonságról van szó, Európa is csak annyira lehet erős, mint a leggyengébb láncszeme, legyen az akár egy sebezhető tagállam vagy egy nem biztonságos termék az ellátási láncban. Számítógépek, telefonok, háztartási készülékek, virtuális segédeszközök, autók és játékok… a több százmillió összekapcsolt termék mindegyike potenciális belépési pont, melyen keresztül kiber-támadás indítható. Jelenleg a legtöbb hardver- és szoftvertermékre mégsem vonatkoznak kiber-biztonsági kötelezettségek. A kiber-rezilienciáról szóló jogszabály hozzá fog járulni Európa gazdaságának és kollektív biztonságának a védelméhez azáltal, hogy a kiber-biztonsági funkciókat a termékek szerves részévé teszi.”
Figyelembe véve, hogy globális szinten 11 másodpercenként zsarolóvírus-támadás ér egy szervezetet, és a kiber-bűnözés által okozott becsült éves kár 2021-ben elérte az 5,5 billió eurót (a Közös Kutatóközpont jelentése, 2020: „Cybersecurity – Our Digital Anchor, a European perspective” [Kiber-biztonság – a digitális világunk alapja, európai perspektíva]), a kiber-biztonság erősítése és a – sikeres támadások leggyakoribb célpontját képező – digitális termékek sebezhetőségének csökkentése fontosabb, mint valaha. Az intelligens és összekapcsolt termékek terjedéséből adódóan a csupán egyetlen terméket érő kiber-biztonsági támadások is hatással lehetnek a teljes ellátási láncra, ami a belső piacon a gazdasági és társadalmi tevékenységek súlyos zavarához vezethet, valamint alááshatja a biztonságot vagy akár életeket is veszélyeztethet.
A ma javasolt intézkedések a termékekre vonatkozó uniós jogszabályok új jogszabályi keretén alapulnak, és a következőket foglalják magukban:
a) a digitális elemeket tartalmazó termékek forgalomba hozatalára vonatkozó szabályok, melyek e termékek kiber-biztonságát hivatottak biztosítani;
b) a digitális elemeket tartalmazó termékek tervezésére, fejlesztésére és gyártására vonatkozó alapvető követelmények, valamint a gazdasági szereplők e termékekkel kapcsolatos kötelezettségei;
c) a digitális alkotóelemeket tartalmazó termékek teljes életcikluson átívelő kiber-biztonságának garantálása érdekében alapvető követelmények a biztonsági rések kezelésére irányuló, gyártók által alkalmazott folyamatokra, továbbá kötelezettségek e folyamatokkal kapcsolatban a gazdasági szereplőkre nézve. A gyártóknak továbbá jelentést kell tenniük a kihasznált biztonsági résekről és a kiber-biztonsági eseményekről;
d) a piacfelügyeletre és a végrehajtásra vonatkozó szabályok.
Az új szabályok nagyobb felelősséget helyeznek a gyártókra, akiknek biztosítaniuk kell, hogy az uniós piacon forgalmazott, digitális elemeket tartalmazó termékeik megfeleljenek a vonatkozó biztonsági követelményeknek. Következősképpen a fogyasztók és a polgárok, valamint a digitális termékeket használó vállalkozások javát szolgálják azáltal, hogy javítják a digitális elemeket tartalmazó termékek biztonsági jellemzőinek átláthatóságát és előmozdítják az azokba vetett bizalmat, valamint biztosítják az alapvető jogok, például a magánélet jobb védelmét, valamint a jobb adatvédelmet.
Bár e kérdéseket világszerte más joghatóságok is vizsgálják, a kiber-rezilienciáról szóló jogszabály valószínűleg nemzetközi,az EU belső piacán túlmutató referenciaponttá fog válni. A kiber-rezilienciáról szóló jogszabályon alapuló uniós szabványok meg fogják könnyíteni a rendelet végrehajtását, és előny fognak jelenteni az uniós kiber-biztonsági ágazat számára a globális piacokon.
A javasolt rendelet vonatkozni fog minden olyan termékre, amely közvetlenül vagy közvetve egy másik eszközhöz vagy hálózathoz kapcsolódik. Lesznek azonban kivételek; a rendelet nem vonatkozik majd azokra a termékekre, amelyek tekintetében a hatályos – pl. az orvostechnikai eszközökre, a légi közlekedésre vagy az autókra vonatkozó – uniós szabályok már tartalmaznak kiber-biztonsági követelményeket.
A következő lépések
Most az Európai Parlamenten és a Tanácson a sor, hogy megvizsgálja a kiberrezilienciáról szóló jogszabálytervezet. Elfogadását követően a gazdasági szereplőknek és a tagállamoknak két év áll majd rendelkezésére, hogy alkalmazkodjanak az új követelményekhez. E szabály alól kivételt képez a gyártóknak a kihasznált biztonsági rések és a kiberbiztonsági események jelentésére vonatkozó kötelezettsége, amely már a hatálybalépéstől számított egy év elteltével alkalmazandó lenne, mivel a többi új kötelezettségnél kevesebb szervezeti módosítást igényel. A Bizottság rendszeresen felül fogja vizsgálni a kiberrezilienciáról szóló jogszabályt, és jelentést fog tenni annak működéséről.
Háttér-információk
A kiberbiztonság a Bizottság egyik legfontosabb prioritása, és alapkövét képezi a digitális és összekapcsolt Európának. A koronavírus-válság idején megsokasodtak a kibertámadások, ami megmutatta, mennyire fontos a kórházak, kutatóközpontok és más infrastruktúrák védelme. Határozott fellépésre van szükség ezen a területen ahhoz, hogy az Unió gazdasága és társadalma időtállóvá váljon. A becslések szerint az adatvédelmi incidensek miatt felmerülő éves költség legalább 10 milliárd euróra rúg, míg az internetes forgalom megzavarására irányuló rosszindulatú kísérletek miatti költség évente legalább 65 milliárd eurót tesz ki (a rádióberendezésekről szóló irányelv kiegészítéséről szóló felhatalmazáson alapuló bizottsági rendeletet kísérő hatásvizsgálat).
A 2020 decemberében ellőterjesztett kiberbiztonsági stratégia értelmében a kiberbiztonság beépülne az ellátási lánc valamennyi elemébe, és a négy kiberbiztonsági szektoron – a belső piac, a bűnüldözés, a diplomácia és a védelem területén – átívelve még szorosabban összekapcsolná az uniós tevékenységeket és erőforrásokat. A stratégia az Európa digitális jövőjének megtervezéséről szóló közleményre és a biztonsági unióra vonatkozó uniós stratégiára épül, valamint több olyan jogalkotási aktusra, fellépésre és kezdeményezésre, amelyeket az Unió a kiberbiztonsági kapacitások megerősítése és Európa kibertámadásokkal szembeni ellenálló képességének fokozása érdekében vezetett be.
A kiberrezilienciáról szóló új jogszabály kiegészíti az uniós kiberbiztonsági keretet, amely a hálózati és információs rendszerek biztonságáról szóló irányelvből (a NIS-irányelvből), az Európai Parlament és a Tanács nemrégiben elfogadott, az Unió egész területén magas szintű kiberbiztonságot biztosító intézkedésekről szóló irányelvből (a NIS 2 irányelvből), valamint az uniós kiberbiztonsági jogszabályból áll.
Kérdések és válaszok: A kiberrezilienciáról szóló jogszabály. Tájékoztató az uniós kiberrezilienciáról szóló jogszabályról. Javaslat a kiberrezilienciáról szóló jogszabályra. Tájékoztató az új uniós kiberbiztonsági stratégiáról. Tájékoztató az Unió egész területén magas szintű kiberbiztonságot biztosító intézkedésekről szóló irányelvjavaslatról (a NIS 2 irányelvről). Tájékoztató a kiberbiztonságról: az Unió külső tevékenysége.
