A DHS és a DG CONNECT kezdeményezi a kiberbiztonsági események bejelentésének összehasonlítását a transzatlanti megközelítések jobb összehangolása érdekében

Az Európai Bizottság Kommunikációs, Hálózati, Tartalmi és Technológiai Főigazgatósága (DG CONNECT) és az Egyesült Államok Belbiztonsági Minisztériuma (DHS) a mai napon bejelentette a kiberbiztonsági események bejelentési elemeinek összehasonlítására irányuló kezdeményezést, amely tájékoztatást nyújt az Egyesült Államok és az Európai Unió (EU) által a NIS 2 irányelv értelmében a kiberbiztonsági események bejelentésére vonatkozóan előírt követelményekről. Az EU és az Egyesült Államok közötti transzatlanti együttműködés az emberek, a kritikus infrastruktúrák és a vállalkozások káros kibertevékenységekkel szembeni védelmére irányuló erőfeszítéseikre épül. 

A DG CONNECT és a DHS által saját kiberbiztonsági ügynökségeik, az Európai Kiberbiztonsági Ügynökség (ENISA) és a Kiberbiztonsági és Infrastrukturális Biztonsági Ügynökség (CISA) támogatásával készített közös jelentés összehasonlító értékelést és tényszerű áttekintést nyújt az Egyesült Államok kiberbiztonsági eseményjelentési tanácsának ajánlásairól, valamint a főbb hasonlóságok és eltérések azonosításával a kiberbiztonsági események bejelentésének összehangolásáról szóló, 2023. évi DHS-jelentésről a szövetségi kormánynak, valamint az Unió egész területén magas szintű kiberbiztonságot biztosító intézkedésekről szóló (EU) 2022/2555 irányelvnek (NIS2 irányelv). E jelentés megállapításai segíteni fogják a DG CONNECT és a DHS azon megközelítését, hogy a jövőben értékelje a kiberbiztonsági események bejelentési folyamatait. A jelentés hat fő területet határoz meg a DHS jelentése és az uniós irányelv közötti összehasonlító elemzéshez, többek között: i) fogalommeghatározások és jelentéstételi küszöbértékek, ii. a kiberbiztonsági események bejelentésének ütemezése, kiváltó okai és típusai, iii. a kiberbiztonsági eseményekről szóló jelentések tartalma, iv. jelentéstételi mechanizmusok, v. a biztonsági eseményekre vonatkozó adatok összesítése és vi. a kiberbiztonsági eseményekre vonatkozó információk nyilvánosságra hozatala. 

A kiberbiztonsági események nem ismerik el a határokat, és a multinacionális vállalatoknak gyakran számos joghatóságban kell jelenteniük az incidenseket. Elkötelezettek vagyunk az incidensek bejelentésére vonatkozó szabályok hazai és hasonló gondolkodású partnerekkel, például az Európai Unióval való harmonizálása mellett, amikor csak lehetséges. Megközelítésünk lehetővé teszi a kormányzati hatóságok számára, hogy megkapják azokat az információkat, amelyekre szükségük van a kibervédelem biztosításához, miközben egyszerűsítik a folyamatot az áldozatszervezetek számára,

mondta Robert Silvers, a DHS politikai államtitkára és a Cyber Incident Reporting Council elnöke. 

Az Atlanti-óceán térségében igyekszünk együttműködni a vonatkozó adatszolgáltatási követelmények összehasonlítása érdekében, beleértve a kért információk formáját vagy formátumát is, keresve az adatszolgáltató szervezetek adminisztratív terheinek minimalizálását célzó módszereket,

Roberto Viola, az Európai Bizottság kommunikációs hálózatokért, tartalomért és technológiáért felelős főigazgatója 

Ez a kezdeményezés – amely összhangban áll Alejandro N. Mayorkas belbiztonsági miniszter és Thierry Breton belső piacért felelős európai biztos 2024-es együttes nyilatkozatával – jelzi a transzatlanti kiberbiztonsági események bejelentésének lehetőség szerinti összehangolására irányuló folyamat kezdetét. A DHS és a DG CONNECT felkéri az USA-ból és az EU-ból származó iparágat, hogy osszák meg észrevételeiket és válaszaikat a kiberbiztonsági események bejelentési folyamatainak értékelésére irányuló közös együttműködésünkhöz és megközelítésünkhöz. 

Ez a terület kritikus, mivel az érintett kormányzati hatóságoknak hozzá kell férniük a polgárokat érintő vagy más módon biztonsági és védelmi aggályokat felvető kiberbiztonsági eseményekre vonatkozó információkhoz. Elismerjük továbbá, hogy az elkövetkező hónapokban mind az Egyesült Államok, mind az Európai Unió folytatni fogja a kötelező jelentéstételi rendszerek életbe léptetésére irányuló munkát, többek között az események bejelentésének folyamatára, a jelentések tartalmára és az ütemtervre vonatkozó pontosabb rendelkezések végrehajtásával. Fontos, hogy kapcsolatban maradjunk ezekkel a kérdésekkel, és ahol csak lehetséges, igazodjunk egymáshoz.

Lorena Boix Alonso, az Európai Bizottság digitális társadalomért, bizalomért és kiberbiztonságért felelős igazgatója

A következő évben csapataink azt tervezik, hogy technikai szinten folytatják együttműködésünket, többek között olyan elemek feltérképezésével, mint a kiberbiztonsági események taxonómiája, jelentési sablonok, valamint a jelentések és formátumok tartalma. A DHS által kifejlesztett bejelentési mintanyomtatványt a NIS 2 előírt jelentéstartalmával szemben végezzük el, hogy megállapítsuk, hol vannak átfedések és eltérések a kért adattípusok között. Miközben folytatjuk ezeket az erőfeszítéseket, továbbra is agilisnak kell maradnunk, és alkalmazkodnunk kell a gyorsan változó kiberfenyegetési környezethez, mivel digitális világunkban semmi sem marad sokáig statikus.

Iránga Kahangama, a DHS kiber-, infrastruktúra-, kockázat- és rezilienciaügyi miniszterhelyettese.

A Cyber Incident Reporting for Critical Infrastructure Act (Circia), amelyet Biden elnök írt alá 2022-ben, létrehozta a Cyber Incident Reporting Council (CIRC), amelyet a DHS vezet, hogy „koordinálja, dekonfliktálja és harmonizálja a szövetségi incidens-jelentési követelményeket, beleértve a rendeletek által kiadottakat is.” A CIRC, amely a DHS elnökletével és több mint 30 ügynökség képviseletével rendelkezik, egy sor megvalósítható ajánlást vázolt fel arra vonatkozóan, hogy az Egyesült Államok kormánya hogyan tudja egyszerűsíteni és harmonizálni a kiberbiztonsági események bejelentését a nemzet kritikus infrastruktúrájának jobb védelme érdekében. 2023-ban a DHS jelentést nyújtott be a Kongresszusnak, amely tartalmazza a Tanács „A kiberbiztonsági események bejelentésének harmonizálása a szövetségi kormánynak” című ajánlásait.

2023 januárjában hatályba lépett a NIS2 irányelv, amely 21 hónapot biztosít az uniós tagállamoknak arra, hogy átültessék nemzeti jogukba. A kiberbiztonsági irányelv a 2016 óta hatályos elődjének, a hálózati és információs rendszerek biztonságának az egész Unióban egységesen magas szintjét biztosító intézkedésekről szóló (EU) 2016/1148 irányelv (a kiberbiztonsági irányelv) követelményeire épül, de szélesebb hatály, világosabb szabályok és erősebb felügyeleti eszközök révén növeli a kiberbiztonságra vonatkozó közös uniós ambíciószintet. A NIS2 irányelv harmonizálja, megerősíti és egyszerűsíti a biztonsági és biztonsági események bejelentésére vonatkozó követelményeket több olyan szervezet esetében, amelyek kritikus fontosságúak az európai gazdaság és társadalom számára.