Mától hatályosak az EU új kiberbiztonsági szabályai

A legfőbb cél az egységesítés, az átjárhatóság, a közös munka, hogy a távközlési rendszerek biztonságát maximalizálni lehessen.

Írta: Dajkó Pál
Forrás: EU Press
2019-06-27 08:32

A komplex keretrendszer több elemből áll, a fő célja a kiberbiztonság erősítése. Mint a hivatalos közlemény megemlíti, fajsúlyos részei pl. a hálózati és információs rendszerek biztonságáról szóló irányelv (a kiberbiztonsági irányelv), az uniós kiberbiztonsági jogszabály, valamint az új távközlési szabályok.

Az új kiberbiztonsági jogszabály első alkalommal vezet be uniós szintű szabályokat a termékek, folyamatok és szolgáltatások kiberbiztonsági tanúsítására vonatkozóan. Ezenkívül a jogszabály állandó megbízatás formájában megújítja az Európai Uniós Kiberbiztonsági Ügynökség (ENISA) mandátumát, valamint több erőforrást biztosít az ügynökség számára céljai megvalósításához.

Az új távközlési szabályok (Elektronikus Hírközlési Kódex) értelmében a tagállamok kötelesek fenntartani a nyilvános hírközlő hálózatok integritását és biztonságát, valamint gondoskodni arról, hogy az üzemeltetők műszaki és szervezési intézkedéseket tegyenek a hálózatok és szolgáltatások biztonságát fenyegető kockázatok megfelelő kezelése érdekében. A szabályok a nemzeti szabályozó hatóságok hatásköréről is rendelkeznek, beleértve a kötelező erejű utasítások kiadására és azok betartatására vonatkozó hatáskört is. Ezenkívül a tagállamok – a kommunikáció titkosságának biztosítása érdekében – a nyilvános hálózatok jogosulatlan hozzáféréssel szembeni védelmével kapcsolatos feltételekhez köthetik az általános engedélyek kiadását.

Kiberbiztonsági tanúsítási keret

Az európai kiberbiztonsági tanúsítási rendszer meghatározott termékek, szolgáltatások és folyamatok kiberbiztonsági tulajdonságainak értékelésére alkalmazandó szabályok, műszaki követelmények, szabványok és eljárások uniós szinten elfogadott átfogó rendszere. Tekintettel az IKT-termékek, -szolgáltatások és -folyamatok sokféleségére és számos felhasználására, az európai kiberbiztonsági tanúsítási keret lehetővé teszi igényekhez igazított, kockázatalapú uniós tanúsítási rendszerek létrehozását.

Az egyes uniós rendszereknek különösen is meg kell határozniuk: a) az érintett termékek és szolgáltatások kategóriáit, b) a kiberbiztonsági követelményeket, például a vonatkozó szabványokra vagy műszaki előírásokra való hivatkozással, c) az értékelés típusát (önértékelés vagy harmadik fél általi értékelés), valamint d) a biztonság elérendő szintjét (alapvető, jelentős és/vagy magas).

A tanúsítvány a kiberkockázat meghatározásához három megbízhatósági szintre (alapvető, jelentős, magas) hivatkozhat, amely a biztonsági események valószínűsége és hatása szempontjából arányban áll az adott termék, szolgáltatás vagy folyamat rendeltetés szerinti használatához fűződő kockázat szintjével. Például a magas biztonsági szint azt jelenti, hogy a tanúsított termék megfelelt a legszigorúbb biztonsági vizsgálatokon.

A kiállított tanúsítványt valamennyi tagállamban elismerik majd, megkönnyítve ezzel a vállalkozások számára a határokon átnyúló kereskedelmet, a felhasználók számára pedig az adott termék vagy szolgáltatás biztonsági tulajdonságainak megértését. Ez lehetővé teszi az uniós piac egészében a szolgáltatók közötti előnyös versenyt, és ezáltal a fogyasztók számára jobb termékeket és jobb ár-érték arányt kínál.

A tanúsított termékek, szolgáltatások és folyamatok – azokat is beleértve, amelyek vonatkozásában uniós megfelelési nyilatkozatot állítottak ki – gyártóinak, illetve szolgáltatóinak meghatározott kiegészítő kiberbiztonsági információt (többek között a végfelhasználóknak a termékek vagy szolgáltatások biztonságos konfigurálásában, beszerelésében, telepítésében, üzemeltetésében és karbantartásában segítséget nyújtó iránymutatásokat és ajánlásokat) kell nyújtaniuk, amely további hozzáadott értéket fog biztosítani a kiberbiztonsági tanúsítás tekintetében.

Kötelezővé válik-e a kiberbiztonsági tanúsítás?

A tanúsítási keret alapján létrehozott rendszerek önkéntesek, azaz az eladók maguk dönthetik el, hogy kívánják-e a keret alapján tanúsítani termékeiket. Ugyanakkor a kiberbiztonsági jogszabály értelmében az Európai Bizottság rendszeresen értékeli az elfogadott európai kiberbiztonsági tanúsítási rendszerek hatékonyságát és alkalmazását. A Bizottság ennek keretében különösen azt vizsgálja, hogy az IKT-termékek, -szolgáltatások és -folyamatok megfelelő kiberbiztonsági szintjének biztosítása, valamint a belső piac működésének javítása érdekében célszerű-e valamely európai kiberbiztonsági tanúsítási rendszer alkalmazását egy vonatkozó uniós jogszabály révén kötelezővé tenni. Emellett egyéb tagállami vagy uniós szintű jogszabályok esetében lehetőség van arra, hogy egyszerűen a meglévő rendszerek leírása révén mutassák be, hogy a termékeknek vagy rendszereknek milyen jövőbeli kötelezettségeknek kell megfelelniük.

Melyek az ENISA fő feladatai az új megbízatás keretében?

A kiberbiztonsági vonatkozású – különösen a kiberbiztonsági irányelvhez kapcsolódó – uniós szakpolitikák végrehajtásának támogatása, valamint az egyéb ágazatok (energia, közlekedés, pénzügy stb.) kiberbiztonsági elemeket tartalmazó más szakpolitikai kezdeményezéseinek a támogatása. Az Európai Uniós Hálózat- és Információbiztonsági Ügynökség támogatni fogja a tagállamokat az adatvédelemhez és a magánélet tiszteletben tartásához kapcsolódó uniós szakpolitikák és jogszabályok egyes kiberbiztonsági vonatkozásainak végrehajtásában is
Kiberbiztonsági kapacitásépítés – például képzések révén – az uniós és nemzeti közigazgatási szervek képességei és szakértelme javításának támogatása érdekében, többek között a biztonsági eseményekre való reagálás és a kiberbiztonsággal kapcsolatos szabályozói intézkedések felülvizsgálata terén
Piaci feladatok (szabványosítás, kiberbiztonsági tanúsítás), például a kiberbiztonsági piac megfelelő tendenciáinak elemzése a kereslet és a kínálat megfelelőbb összehangolása, valamint az IKT szabványosításának és kiberbiztonsági tanúsításának területeit érintő uniós politika kialakításának támogatása érdekében
Operatív együttműködés és válságkezelés a meglévő megelőző operatív képességek megerősítése és a CSIRT-hálózat titkárságaként az operatív együttműködés támogatása érdekében. Az Európai Uniós Hálózat- és Információbiztonsági Ügynökség ezenkívül segítséget fog nyújtani az arra igényt tartó tagállamoknak az események kezeléséhez, valamint szerepet fog játszani a nagy léptékű, határokon átnyúló kiberbiztonsági eseményekre és válsághelyzetekre való uniós szinten összehangolt reagálásban
A sebezhetőségek koordinált feltárása: Az Európai Uniós Hálózat- és Információbiztonsági Ügynökség segíteni fogja a tagállamokat és az uniós intézményeket, ügynökségeket és szerveket abban, hogy önkéntes alapon sebezhetőségfeltárási politikákat dolgozzanak ki és hajtsanak végre. Támogatni fogja továbbá a sebezhető termékekkel foglalkozó szervezetek, gyártók és szolgáltatók, valamint a kiberbiztonsági kutatói közösség sebezhetőségeket észlelő tagjai közötti együttműködést is

Hozzászólások (6)

Azóta történt

Szakemberhiány is gátolja az ipari kiberbiztonság kiterjesztését

Tavaly az operációs technológiai és az ipari vezérlőrendszer-hálózatokat érintő incidensek 52%-a mögött az alkalmazottak által vétett hibák vagy nem szándékos cselekedetek álltak.

Biztonság 2019-08-26 7
Újabb terv az európai technológiai lemaradás behozására

Egyelőre még csak ötletelés folyik, de ha kellő támogatottságot kap a befektetési alap létrehozása, az gyökeres fordulat lesz az Európai Unióban.

Mérleg 2019-08-27 19
Fontos uniós döntés a 112-es segélyhívó használatáról

A tagállamok kötelesek biztosítani a segélyhívóra érkező hívás hívójának földrajzi azonosíthatóságát akkor is, ha a készülékben nincs SIM-kártya.

Mérleg 2019-09-06 36
Kezdődik a Kiberbiztonsági Hónap, októberben verseny is lesz

Az ECSM célja a kiberbiztonsági tudatosság növelése, valamint a kibertérben megjelenő fenyegetések széles körben történő megismertetése.

Biztonság 2019-10-01 0

Előzmények

Holnaptól maximalizált az EU-n belüli hívások ára

A jövőben az uniós országok közötti telefonhívásokért percenként legfeljebb 19, sms-enként legfeljebb 6 eurócentet kell majd fizetni – plusz áfa.

Távközlés 2019-05-14 27
Csont nélkül ment át az új EU-s szerzői jogi törvény

Magyarország is támogatta a sok kritikát kapott reform bevezetését.

Mérleg 2019-04-15 8
Az online vásárlásokat is érinti az új EU-s szabályozás

Az Európai Parlament és a Tanács ideiglenes megállapodásra jutott a fogyasztóvédelmi szabályok megerősítéséről és érvényesíthetőségének javításáról.

Mérleg 2019-04-02 19
Az EU erősítené a kiberbiztonságot

Néhány éves tesztidőszak után mérlegelik azt, hogy kötelezővé teszik-e a tagállamok számára bizonyos szabványok alkalmazását.

Biztonság 2019-03-14 36

Percről percre

Motorola Edge 50 Pro - több Moto-erő kéne bele

ma Érdekes egyveleg a középső Edge 50: a jó tulajdonságai közé becsúszott pár rossz, de vannak szerethető, egyedi megoldásai is.

Harold Halibut teszt

gp Tíz éven át készült bábfilm elevenedik meg a képernyőkön – egy bábfilm, egy leegyszerűsített kalandjáték, és mindenek felett egy mese a boldogság kereséséről.

Samsung Galaxy A35 5G - fordulópont

ma Idén az olcsóbb A-szériás modell sikerült jobban a Samsungnak, keveset kell feláldoznia annak, aki az A55 helyett az A35-öt választja.

Sony Inzone M3: 27 hüvelykes gamer monitor a tesztpadon

ph Megnéztük mire képes a Sony alapvetően játékosoknak szánt, 27 hüvelykes monitora, az Inzone M3.

Children of the Sun teszt

gp Miért áll egy alig két órás logikai lövölde 94%-on Steamen, ami nem tartalmaz logikai elemeket?

Aktív témák