EU-s kiberbiztonsági előírások – Világelső jogi aktus születhet

A kiberrezilienciáról szóló jogszabály: az EU Tanácsa és az Európai Parlament tárgyalói ideiglenes megállapodásra jutottak a digitális termékek biztonsági követelményeiről, az úgynevezett a kiberrezilienciáról szóló jogszabály tervezetéről. Az Európai Bizottság üdvözli a politikai megállapodást.

A Tanács elnöksége és az Európai Parlament tárgyalói ideiglenes megállapodásra jutottak a digitális elemeket tartalmazó termékekre vonatkozó kiberbiztonsági követelményekről szóló jogszabályjavaslatról, amelynek célja annak szavatolása, hogy a forgalomba hozott termékek, például a csatlakoztatott otthoni kamerák, hűtőszekrények, televíziók és játékok biztonságosak legyenek (a kiberrezilienciáról szóló jogszabály) – írja az egov.hu portál decemberi hírlevelében.

A (…) megállapodás mérföldkövet jelent a biztonságos és védett európai digitális egységes piac felé vezető úton. Ha az EU-ban értékesítik őket, a csatlakoztatott eszközöknek meg kell felelniük a kiberbiztonság alapszintjének, biztosítandó a vállalkozások és a fogyasztók kiberfenyegetésekkel szembeni megfelelő védelmét. A kiberrezilienciáról szóló jogszabály hatályba lépésével éppen ezt fogja szavatolni – fogalmazott José Luis Escrivá, Spanyolország digitális transzformációért felelős minisztere.

Az új rendelet főbb célkitűzései

Az új jogszabály kiberbiztonsági követelményeket vezet be EU-szerte a hardver- és szoftvertermékek tervezésére, fejlesztésére, gyártására és forgalomba hozatalára vonatkozóan annak elkerülése érdekében, hogy az uniós tagállamok különböző jogszabályaiból eredő követelmények között átfedések alakuljanak ki.

A rendelet minden olyan termékre alkalmazandó lesz, amely közvetlenül vagy közvetve csatlakozik egy másik eszközhöz vagy egy hálózathoz. Néhány kivételt is meghatároz olyan termékek – például orvos- és repüléstechnikai eszközök, termékek és az autók – vonatkozásában, amelyekre vonatkozóan a hatályos uniós szabályokban már szerepelnek kiberbiztonsági követelmények.

A javaslat célja, hogy pótolja a hiányosságokat, tisztázza a hatályos kiberbiztonsági jogszabályokkal fennálló kapcsolatokat és e jogszabályokat koherensebbé tegye, szavatolva, hogy a digitális elemeket tartalmazó – például a dolgok internetéhez (IoT) tartozó – termékek az ellátási lánc egészében és teljes életciklusuk során biztonságosak legyenek.

Végezetül a rendelet azt is lehetővé teszi majd a fogyasztók számára, hogy a digitális elemeket tartalmazó termékek kiválasztásakor és használatakor figyelembe vegyék a kiberbiztonság szempontját, mivel megkönnyíti számukra annak megállapítását, hogy mely hardver- és szoftvertermékek rendelkeznek megfelelő kiberbiztonsági jellemzőkkel.

Előzmények

A csatlakoztatott eszközök kiberbiztonságáról szóló, 2020. december 2-ai következtetéseiben a Tanács hangsúlyozta, fontos felmérni, szükség van-e horizontális jogszabályra annak érdekében, hogy szabályozott legyen a csatlakoztatott eszközök összes releváns kiberbiztonsági szempontja, például az elérhetőség, az integritás, a bizalmas jelleg, valamint a forgalomba-hozatali feltételek meghatározása.

A kiberrezilienciáról szóló jogszabályt elsőként Ursula von der Leyen, a Bizottság elnöke jelentette be az unió helyzetéről szóló 2021 szeptemberi beszédében, majd az Európai Unió kiberbiztonsági helyzetének javításáról szóló, 2022. május 23-ai tanácsi következtetésekben is szóba került, felszólítva a Bizottságot, hogy 2022 végéig tegyen javaslatot a csatlakoztatott eszközök tekintetében alkalmazandó közös kiberbiztonsági követelményekre. A Bizottság 2022. szeptember 15-én benyújtotta ez irányú javaslatát, amely kiegészíti majd a már meglévő uniós kiberbiztonsági keretet.

Megmaradt a bizottsági javaslat fő irányvonala

Az ideiglenes megállapodás szerinti szöveg a következők tekintetében megegyezik a bizottsági javaslat általános irányvonalával:

• a megfelelésért való felelősség egyensúlyát átalakító szabályok a gyártók vonatkozásában, melyeknek teljesíteniük kell bizonyos olyan követelményeket, mint a kiberbiztonsági kockázatértékelés rendelkezésre bocsátása, a megfelelőségi nyilatkozatok kiállítása, valamint az illetékes hatóságokkal való együttműködés
• a gyártók által bevezetendő sebezhetőségkezelési eljárások a digitális termékek kiberbiztonságának szavatolása érdekében, valamint a gazdasági szereplőkre, például az importőrökre és a forgalmazókra vonatkozó kötelezettségek az említett eljárásokkal kapcsolatban
• olyan intézkedések, amelyek javítják a hardver- és szoftvertermékek biztonságának átláthatóságát a fogyasztók és az üzleti felhasználók számára
• a szabályok érvényesítését szolgáló piacfelügyeleti keret.

A társjogalkotók általi legfontosabb módosítások

Mindazonáltal a társjogalkotók megállapodtak a bizottsági javaslat egyes részeinek kiigazításáról, főként a következők tekintetében:

• a javasolt jogszabály hatálya: egyszerűsödött az új rendelet hatálya alá tartozó digitális termékek besorolásának módszertana
• a termékek várható élettartamának a gyártók általi meghatározása: míg az alapelv továbbra is az, hogy a támogatási időszaknak a digitális termék várható élettartamával kell megegyeznie, a rendelet megjelöl egy legalább ötéves támogatási időszakot, kivéve azokat a termékeket, amelyek ennél várhatóan rövidebb ideig lesznek használatban
• az aktívan kihasznált sebezhetőségek vagy biztonsági események tekintetében fennálló jelentéstételi kötelezettségek: először az illetékes nemzeti hatóságokat kell majd értesíteni, ugyanakkor megerősítették az Európai Uniós Kiberbiztonsági Ügynökség (ENISA) szerepét
• az új előírások három évvel a jogszabály hatálybalépését követően válnak alkalmazandóvá, ami elegendő időt biztosít arra, hogy a gyártók alkalmazkodni tudjanak az új követelményekhez
• megállapodás született további a kis- és mikrovállalkozásokat célzó támogató intézkedésekről, többek között kifejezetten e vállalkozásoknak szánt tájékoztatási és képzési tevékenységekről, valamint a tesztelési és megfelelőségértékelési eljárásokhoz nyújtott támogatásról.

Az elmúlt évben a szoftverellátási lánccal összefüggő támadások száma megháromszorozódott, és nap mint nap esnek kiberbűnözők áldozatául kisvállalkozások és olyan kritikus intézmények, mint a kórházak (Képünk illusztráció)

A következő lépések                                                        

Az ideiglenes megállapodás után ezekben a hetekben szakértői szinten folytatódik a munka a részletek véglegesítésére. Ezután a spanyol elnökség jóváhagyásra benyújtja majd a kompromisszumos szöveget a tagállamok képviselőinek (Coreper). Mindkét intézménynek meg kell erősítenie a teljes szöveget, melynek a társjogalkotók általi hivatalos elfogadás előtt jogász-nyelvészi ellenőrzésen is át kell esnie.

A megállapodást tehát az Európai Parlamentnek és a Tanácsnak is jóvá kell hagynia; a kiberrezilienciáról szóló jogszabály a Hivatalos Lapban történt kihirdetése utáni 20. napon lép hatályba, de a hardver- és szoftvertermékek gyártóinak, importőreinek és forgalmazóinak 36 hónap áll rendelkezésükre, hogy alkalmazkodjanak az új követelményekhez. Kivételt jelent a gyártók incidensekkel és sebezhetőségekkel kapcsolatos jelentéstételi kötelezettsége, amire szigorúbb, 21 hónapos türelmi idő vonatkozik.

A Bizottság üdvözli a megállapodást

Az Európai Bizottság üdvözli az Európai Parlament és a Tanács között létrejött, a kiberrezilienciáról szóló jogszabályról politikai megállapodást. A jogszabály az első ilyen jellegű jogi aktus a világon, és unió-szerte javítani fogja a digitális termékekkel kapcsolatos kiberbiztonság szintjét a fogyasztók és a vállalkozások számára. Kötelező, arányos kiberbiztonsági követelményeket ír elő minden hardver és szoftver esetében, a babamonitoroktól kezdve az okosórákon és a számítógépes játékokon át a tűzfalakig és az útválasztókig bezárólag– derül ki az egov.hu portál egy másik hírleveléből.

A kiberbiztonság az Európai Bizottság egyik legfőbb prioritása. A kiberrezilienciáról szóló jogszabály a 2020-as uniós kiberbiztonsági stratégiára és a biztonsági unióra vonatkozó EU-s stratégiára épül, kiegészíti a meglévő jogszabályokat, különösen a 2022-ben elfogadott NIS 2 keretet.

Az új rendelet értelmében az uniós piacon forgalomba hozott összes terméknek kiberbiztonságosnak kell lennie. Ez kulcsfontosságú lépés a kiberbűnözők és más rosszindulatú szereplők jelentette növekvő fenyegetés elleni küzdelemben. Mindennek pedig azért van jelentősége, mivel az elmúlt évben a szoftverellátási lánccal összefüggő támadások száma megháromszorozódott, és nap mint nap esnek kiberbűnözők áldozatául kisvállalkozások és olyan kritikus intézmények, mint a kórházak. 11 másodpercenként ér egy szervezetet zsarolóvírusos támadás, aminek a becsült költsége évente 20 milliárd eurót tesz ki. Csak 2021-ben a kiberbűnözők mintegy 10 millió elosztott szolgáltatásmegtagadási (DDoS) támadást indítottak feltört eszközökről világszerte, amivel weboldalakat és online szolgáltatásokat tettek hozzáférhetetlenné a felhasználók számára.

A kiberrezilienciáról szóló jogszabály hatálybalépése után a szoftver- és hardvertermékeken fel lesz tüntetve a CE-jelölés, amely jelzi, hogy azok megfelelnek a rendelet követelményeinek, ezért értékesíthetők az EU-ban. A jogszabály emellett kötelezi a gyártókat arra, hogy a vásárlás után több éven át, megfelelő időben biztosítsanak biztonsági frissítéseket a fogyasztók számára. A támogatási időszaknak tükröznie kell a termékek várható felhasználási idejét.

Ezekkel az intézkedésekkel a felhasználók tájékozottabb és biztonságosabb döntést hozzanak.

Az eredeti két cikk itt és itt is elolvasható.

---