iStock photo Getty images plus
Az EU kritikus infrastruktúráját érintő közelmúltbeli fenyegetések megkísérelték aláásni kollektív biztonságunkat. A Bizottság már 2020-ban javaslatot tett a kritikus fontosságú szervezetek rezilienciájára, valamint a hálózati és információs rendszerek biztonságára vonatkozó uniós szabályok jelentős korszerűsítésére.
A hatályba lépő két irányelv a következő:
- Irányelv az Unió egész területén egységesen magas szintű kiberbiztonságot biztosító intézkedésekről (NIS 2 irányelv)
- Irányelv a kritikus fontosságú szervezetek rezilienciájáról (CER-irányelv)
A második kiberbiztonsági irányelv biztonságosabb és erősebb Európát fog biztosítani azáltal, hogy jelentősen bővíti a hatálya alá tartozó kritikus fontosságú szervezetek ágazatait és típusait. Ezek közé tartoznak a nyilvános elektronikus hírközlő hálózatok és elektronikus hírközlési szolgáltatások nyújtói, az adatközponti szolgáltatások, a szennyvíz- és hulladékgazdálkodás, a kritikus termékek gyártása, a postai és futárszolgálatok, a közigazgatási szervek, valamint tágabb értelemben az egészségügyi ágazat. Emellett megerősíti azokat a kiberbiztonsági kockázatkezelési követelményeket, amelyeknek a vállalkozásoknak meg kell felelniük, valamint észszerűsíti az események bejelentésére vonatkozó kötelezettségeket a jelentéstételre, a tartalomra és a határidőkre vonatkozó pontosabb rendelkezésekkel. A NIS2 irányelv felváltja a hálózati és információs rendszerek biztonságára vonatkozó szabályokat, az első uniós szintű kiberbiztonsági jogszabályt.
Az egyre összetettebb kockázati környezetben az új CER-irányelv a létfontosságú infrastruktúrákról szóló 2008. évi irányelv helyébe lép. Az új szabályok megerősítik a kritikus infrastruktúrák ellenálló képességét számos fenyegetéssel szemben, beleértve a természeti veszélyeket, a terrortámadásokat, a belső fenyegetéseket vagy a szabotázsot. 11 ágazatra terjed ki: energia, közlekedés, banki szolgáltatások, pénzügyi piaci infrastruktúrák, egészségügy, ivóvíz, szennyvíz, digitális infrastruktúra, közigazgatás, űrkutatás és élelmiszeripar. A tagállamoknak nemzeti stratégiát kell elfogadniuk és rendszeres kockázatértékeléseket kell végezniük a társadalom és a gazdaság számára kritikusnak vagy létfontosságúnak tekintett szervezetek azonosítása érdekében.
A tagállamoknak 21 hónap áll rendelkezésükre, hogy mindkét irányelvet átültessék nemzeti jogukba. Ez alatt az idő alatt a tagállamok elfogadják és kihirdetik az ezeknek való megfeleléshez szükséges intézkedéseket.
A Tanács 2022 decemberében ajánlástfogadott el a kritikus infrastruktúrák rezilienciájának megerősítését célzó uniós szintű koordinációs megközelítésről, amelyben felkéri a tagállamokat, hogy gyorsítsák fel a NIS 2 és a kritikus fontosságú szervezetek rezilienciájáról szóló irányelv (CER) átültetésére és alkalmazására irányuló előkészítő munkát.