Mától hatályosak az EU új kiberbiztonsági szabályai

A komplex keretrendszer több elemből áll, a fő célja a kiberbiztonság erősítése. Mint a hivatalos közlemény megemlíti, fajsúlyos részei pl. a hálózati és információs rendszerek biztonságáról szóló irányelv (a kiberbiztonsági irányelv), az uniós kiberbiztonsági jogszabály, valamint az új távközlési szabályok.

Az új kiberbiztonsági jogszabály első alkalommal vezet be uniós szintű szabályokat a termékek, folyamatok és szolgáltatások kiberbiztonsági tanúsítására vonatkozóan. Ezenkívül a jogszabály állandó megbízatás formájában megújítja az Európai Uniós Kiberbiztonsági Ügynökség (ENISA) mandátumát, valamint több erőforrást biztosít az ügynökség számára céljai megvalósításához.

Az új távközlési szabályok (Elektronikus Hírközlési Kódex) értelmében a tagállamok kötelesek fenntartani a nyilvános hírközlő hálózatok integritását és biztonságát, valamint gondoskodni arról, hogy az üzemeltetők műszaki és szervezési intézkedéseket tegyenek a hálózatok és szolgáltatások biztonságát fenyegető kockázatok megfelelő kezelése érdekében. A szabályok a nemzeti szabályozó hatóságok hatásköréről is rendelkeznek, beleértve a kötelező erejű utasítások kiadására és azok betartatására vonatkozó hatáskört is. Ezenkívül a tagállamok – a kommunikáció titkosságának biztosítása érdekében – a nyilvános hálózatok jogosulatlan hozzáféréssel szembeni védelmével kapcsolatos feltételekhez köthetik az általános engedélyek kiadását.

Kiberbiztonsági tanúsítási keret

Az európai kiberbiztonsági tanúsítási rendszer meghatározott termékek, szolgáltatások és folyamatok kiberbiztonsági tulajdonságainak értékelésére alkalmazandó szabályok, műszaki követelmények, szabványok és eljárások uniós szinten elfogadott átfogó rendszere. Tekintettel az IKT-termékek, -szolgáltatások és -folyamatok sokféleségére és számos felhasználására, az európai kiberbiztonsági tanúsítási keret lehetővé teszi igényekhez igazított, kockázatalapú uniós tanúsítási rendszerek létrehozását.

Az egyes uniós rendszereknek különösen is meg kell határozniuk: a) az érintett termékek és szolgáltatások kategóriáit, b) a kiberbiztonsági követelményeket, például a vonatkozó szabványokra vagy műszaki előírásokra való hivatkozással, c) az értékelés típusát (önértékelés vagy harmadik fél általi értékelés), valamint d) a biztonság elérendő szintjét (alapvető, jelentős és/vagy magas).

A tanúsítvány a kiberkockázat meghatározásához három megbízhatósági szintre (alapvető, jelentős, magas) hivatkozhat, amely a biztonsági események valószínűsége és hatása szempontjából arányban áll az adott termék, szolgáltatás vagy folyamat rendeltetés szerinti használatához fűződő kockázat szintjével. Például a magas biztonsági szint azt jelenti, hogy a tanúsított termék megfelelt a legszigorúbb biztonsági vizsgálatokon.

A kiállított tanúsítványt valamennyi tagállamban elismerik majd, megkönnyítve ezzel a vállalkozások számára a határokon átnyúló kereskedelmet, a felhasználók számára pedig az adott termék vagy szolgáltatás biztonsági tulajdonságainak megértését. Ez lehetővé teszi az uniós piac egészében a szolgáltatók közötti előnyös versenyt, és ezáltal a fogyasztók számára jobb termékeket és jobb ár-érték arányt kínál.

A tanúsított termékek, szolgáltatások és folyamatok – azokat is beleértve, amelyek vonatkozásában uniós megfelelési nyilatkozatot állítottak ki – gyártóinak, illetve szolgáltatóinak meghatározott kiegészítő kiberbiztonsági információt (többek között a végfelhasználóknak a termékek vagy szolgáltatások biztonságos konfigurálásában, beszerelésében, telepítésében, üzemeltetésében és karbantartásában segítséget nyújtó iránymutatásokat és ajánlásokat) kell nyújtaniuk, amely további hozzáadott értéket fog biztosítani a kiberbiztonsági tanúsítás tekintetében.

Kötelezővé válik-e a kiberbiztonsági tanúsítás?

A tanúsítási keret alapján létrehozott rendszerek önkéntesek, azaz az eladók maguk dönthetik el, hogy kívánják-e a keret alapján tanúsítani termékeiket. Ugyanakkor a kiberbiztonsági jogszabály értelmében az Európai Bizottság rendszeresen értékeli az elfogadott európai kiberbiztonsági tanúsítási rendszerek hatékonyságát és alkalmazását. A Bizottság ennek keretében különösen azt vizsgálja, hogy az IKT-termékek, -szolgáltatások és -folyamatok megfelelő kiberbiztonsági szintjének biztosítása, valamint a belső piac működésének javítása érdekében célszerű-e valamely európai kiberbiztonsági tanúsítási rendszer alkalmazását egy vonatkozó uniós jogszabály révén kötelezővé tenni. Emellett egyéb tagállami vagy uniós szintű jogszabályok esetében lehetőség van arra, hogy egyszerűen a meglévő rendszerek leírása révén mutassák be, hogy a termékeknek vagy rendszereknek milyen jövőbeli kötelezettségeknek kell megfelelniük.

Melyek az ENISA fő feladatai az új megbízatás keretében?

  • A kiberbiztonsági vonatkozású – különösen a kiberbiztonsági irányelvhez kapcsolódó – uniós szakpolitikák végrehajtásának támogatása, valamint az egyéb ágazatok (energia, közlekedés, pénzügy stb.) kiberbiztonsági elemeket tartalmazó más szakpolitikai kezdeményezéseinek a támogatása. Az Európai Uniós Hálózat- és Információbiztonsági Ügynökség támogatni fogja a tagállamokat az adatvédelemhez és a magánélet tiszteletben tartásához kapcsolódó uniós szakpolitikák és jogszabályok egyes kiberbiztonsági vonatkozásainak végrehajtásában is
  • Kiberbiztonsági kapacitásépítés – például képzések révén – az uniós és nemzeti közigazgatási szervek képességei és szakértelme javításának támogatása érdekében, többek között a biztonsági eseményekre való reagálás és a kiberbiztonsággal kapcsolatos szabályozói intézkedések felülvizsgálata terén
  • Piaci feladatok (szabványosítás, kiberbiztonsági tanúsítás), például a kiberbiztonsági piac megfelelő tendenciáinak elemzése a kereslet és a kínálat megfelelőbb összehangolása, valamint az IKT szabványosításának és kiberbiztonsági tanúsításának területeit érintő uniós politika kialakításának támogatása érdekében
  • Operatív együttműködés és válságkezelés a meglévő megelőző operatív képességek megerősítése és a CSIRT-hálózat titkárságaként az operatív együttműködés támogatása érdekében. Az Európai Uniós Hálózat- és Információbiztonsági Ügynökség ezenkívül segítséget fog nyújtani az arra igényt tartó tagállamoknak az események kezeléséhez, valamint szerepet fog játszani a nagy léptékű, határokon átnyúló kiberbiztonsági eseményekre és válsághelyzetekre való uniós szinten összehangolt reagálásban
  • A sebezhetőségek koordinált feltárása: Az Európai Uniós Hálózat- és Információbiztonsági Ügynökség segíteni fogja a tagállamokat és az uniós intézményeket, ügynökségeket és szerveket abban, hogy önkéntes alapon sebezhetőségfeltárási politikákat dolgozzanak ki és hajtsanak végre. Támogatni fogja továbbá a sebezhető termékekkel foglalkozó szervezetek, gyártók és szolgáltatók, valamint a kiberbiztonsági kutatói közösség sebezhetőségeket észlelő tagjai közötti együttműködést is

Hirdetés

Előzmények