Irányelvjavaslat az egész Unióban egységesen magas szintű kiberbiztonságot biztosító intézkedésekről

Figyelemre méltó eredményei ellenére a hálózati és információs rendszerek biztonságáról szóló irányelv (NIS-irányelv), amely számos tagállamban jelentős változást tett lehetővé a kiberbiztonság gondolkodásmódjában, intézményi és szabályozási megközelítésében, szintén bizonyította korlátait. A társadalom digitális átalakulása (amelyet a Covid19-válság súlyosbított) kibővítette a fenyegetettségi környezetet, és új kihívásokat teremt, amelyek alkalmazkodó és innovatív válaszokat igényelnek.
Most minden olyan zavar, amely kezdetben egyetlen szervezetre vagy ágazatra korlátozódik, átfogóbb lépcsőzetes hatásokkal járhat, ami potenciálisan messzemenő és tartós negatív hatásokat eredményezhet a szolgáltatások nyújtásában az egész belső piacon.

E kihívások kezelése érdekében a Bizottság – amint azt „Európa digitális jövőjének alakítása” című közleményben bejelentette – 2020 végéig felgyorsította az irányelv felülvizsgálatát, hatásvizsgálatot végzett, és új jogalkotási javaslatot terjesztett elő.

A bizottsági javaslat fő elemei

Az új bizottsági javaslat célja, hogy orvosolja a korábbi kiberbiztonsági irányelv hiányosságait, hozzáigazítsa azt a jelenlegi igényekhez, és időtállóvá tegye azt.

E célból a Bizottság javaslata kiterjeszti a jelenlegi hálózat- és információbiztonsági irányelv hatályát azáltal, hogy új ágazatokkal egészül ki a gazdaság és a társadalom szempontjából való kritikusságuk alapján, és egyértelmű méretplafont vezet be, ami azt jelenti, hogy a kiválasztott ágazatokban működő valamennyi közép- és nagyvállalat bele fog tartozni a hatályba. Ugyanakkor némi rugalmasságot biztosít a tagállamok számára, hogy azonosítsák a magas biztonsági kockázati profillal rendelkező kisebb szervezeteket.

A javaslat megszünteti az alapvető szolgáltatások nyújtói és a digitális szolgáltatók közötti különbségtételt is. A szervezeteket fontosságuk alapján osztályoznák, és alapvető, illetve fontos kategóriákba sorolnák, ami azzal a következménnyel járna, hogy különböző felügyeleti rendszerek hatálya alá tartoznának.

A javaslat megerősíti a vállalatokra vonatkozó biztonsági követelményeket azáltal, hogy kockázatkezelési megközelítést ír elő, amely tartalmazza az alkalmazandó alapvető biztonsági elemek minimális listáját. A javaslat pontosabb rendelkezéseket vezet be az események bejelentésének folyamatára, a jelentések tartalmára és a határidőkre vonatkozóan.

A Bizottság javasolja továbbá az ellátási láncok és a beszállítói kapcsolatok biztonságának kezelését azáltal, hogy előírja az egyes vállalatok számára, hogy kezeljék az ellátási láncok és a beszállítói kapcsolatok kiberbiztonsági kockázatait. Európai szinten a javaslat megerősíti az ellátási lánc kiberbiztonságát a kulcsfontosságú információs és kommunikációs technológiák tekintetében. A tagállamok a Bizottsággal és az ENISA-val együttműködve koordinált kockázatértékelést végeznek a kritikus ellátási láncokról, az 5G hálózatok kiberbiztonságáról szóló bizottsági ajánlással összefüggésben alkalmazott sikeres megközelítésre építve.

A javaslat szigorúbb felügyeleti intézkedéseket vezet be a nemzeti hatóságok számára, szigorúbb végrehajtási követelményeket vezet be, és célja a szankciórendszerek harmonizálása a tagállamok között.

A javaslat emellett megerősíti az együttműködési csoport szerepét a kialakulóban lévő technológiákra és az új tendenciákra vonatkozó stratégiai szakpolitikai döntések kialakításában, valamint fokozza a tagállami hatóságok közötti információmegosztást és együttműködést. Emellett fokozza az operatív együttműködést, többek között a kiberválság-kezelés terén.

A bizottsági javaslat alapvető keretet hoz létre a felelős kulcsszereplők bevonásával az újonnan felfedezett sebezhetőségekre vonatkozó koordinált sebezhetőségi közzétételre vonatkozóan az egész EU-ban, és létrehozza az Európai Uniós Kiberbiztonsági Ügynökség (ENISA) által működtetett uniós nyilvántartást.
 

Következő lépések

A következő lépésekre vonatkozó intézkedések a következők:

• A javaslat a társjogalkotók, nevezetesen az Európai Unió Tanácsa és az Európai Parlament közötti tárgyalások tárgyát képezi majd.
• A javaslat elfogadását követően a tagállamoknak 18 hónapon belül át kell ültetniük a NIS2-irányelvet.
• A Bizottságnak rendszeresen felül kell vizsgálnia a NIS2-irányelvet, és a hatálybalépést követő 54 hónappal első alkalommal jelentést kell tennie a felülvizsgálatról.
• Az Európai Bizottság várakozással tekint az új kiberbiztonsági stratégia következő hónapokban történő végrehajtása elé.