Az elmúlt hetekben a mesterséges intelligencia rendelet (AI Act) körüli, éjszakába nyúló egyeztetések és végül a nagy nehezen összehozott politikai egyezség töltötték ki a híreket. Nem ez volt azonban az egyetlen jogalkotási téma, ami uniós szinten révbe érni látszik. Politikai egyezség született ugyanis a Parlament és a Tanács között az ún. kiberreziliencia jogszabály (Cyber Resilience Act) tekintetében is.
1. Mire vonatkozik majd a kiberreziliencia jogszabály?
A kiberreziliencia jogszabály a digitális termékekre vonatkozó horizontális szabályozás, amely ezen termékek kiberbiztonság szintjének javítását célozza, mégpedig kötelező és arányos kiberbiztonsági követelmények előírása révén. A digitális termékek köre igen széles lehet - ahogy a Bizottság közleménye is írja - a babamonitoroktól kezdve az okosórákon és a számítógépes játékokon át a tűzfalakig, útválasztókig terjed.
A ransomware támadások jelentős kihívást jelentenek világszerte, így az EU-ban is. 11 másodpercenként történik ransomwere támadás, amely hatalmas károkat okoz (egyes, 2021-re vonatkozó becslések szerint akár évi 20 milliárd eurónak megfelelő kár bekövetkezésért tehetők felelőssé ezek a támadások). Miközben a forgalomban lévő digitális termékek száma rohamosan növekszik, a kiberbiztonság erősítése megkerülhetetlen az incidensek és sérülékenységek megelőzése, illetve hatékony kezelése érdekében.
A kiberreziliencia rendelet kockázatalapú megközelítést alkalmaz és a különböző kockázati szintű termékekre eltérő követelmények kerülnek meghatározásra.
A rendelet fontos elvárásokat fogalmaz meg a digitális termékek tekintetében:
- a kiberbiztonsági szempontokat a termék teljes életciklusa során figyelembe kell venni, így már a tervezési, fejlesztési, majd a gyártási és karbantartási fázisokban is,
- a kiberbiztonsági kockázatokat dokumentálni kell,
- az ismert sérülékenységekről a gyártóknak tájékoztatást kell adniuk,
- a sérülékenységek hatékony kezelése a termékek forgalomba hozatala után is (legalább a támogatási időszakban),
- biztonsági frissítések elérhetővé tétele,
- kiberbiztonságot érintő átláthatóság javítása,
- piacfelügyeleti keretek biztosítása (az EU kiberbiztonsági ügynökségének, az ENISA szerepének a megerősítése).
(További információk a rendelet megállapodás szerint várható tartalmáról angolul itt és magyarul itt érhetők el.)
2. Mikortól kell majd alkalmazni az új jogszabályt?
A jogalkotási folyamat még nem ért véget a politikai megállapodással. A végleges szöveg kapcsán még technikai szinten zajlanak az egyeztetések. A végleges jogszabályszöveg megszületését követően mind a Parlamentnek, mind a Tanácsnak jóvá kell hagynia a rendeletet, amely ezt követően kerülhet kihirdetésre az EU hivatalos lapjában.
A hatályba lépést követően (amelyre a kihirdetést követő 20. napon kerül sor) pedig türelmi időt is kapnak a gyártók, hogy felkészüljenek a rendelet alkalmazására: a jogszabály hatálybalépése után a hardver- és szoftvertermékek gyártóinak, importőreinek és forgalmazóinak 36 hónap (azaz 3 év) áll rendelkezésükre, hogy alkalmazkodjanak az új követelményekhez. Ez alól kivételt jelent a gyártók incidensekkel és sebezhetőségekkel kapcsolatos jelentéstételi kötelezettsége, amire 21 hónapos türelmi idő vonatkozik.
A kiberreziliencia rendelet elfogadásával sem feltétlenül ér majd véget az uniós kiberbiztonsági jogalkotás, már a csőben van az ún. kiberbiztonsági szolidaritási rendelet is (Cyber Solidarity Act), amely a kiberbiztonsági fenyegetettséggel és incidensekkel szembeni egységesebb, határokon átnyúló uniós fellépést hivatott előmozdítani, többek között megteremtve az Európai Kiberbiztonsági Pajzsot (European Cyber Shield), a kibervészhelyzeti mechanizmust (Cyber Emergency Mechanism) és a kiberbiztonsági események felülvizsgálati mechanizmusát (Cybersecurity Incident Review Mechanism). Egyelőre a tárgyalások még nem kezdődtek meg a javaslatról az Európai Parlament és a Tanács között, de a parlamenti bizottsági munka során már több ponton javaslatok születtek az eredeti tervezet módosítására, pontosítására. Az egyik fontos témakör a javaslatcsomag kapcsán, hogy a meglévő kiberbiztonsági keretrendszerbe (lásd különösen a kiberbiztonsági rendeletet és a NIS2 irányelvet) miként illeszthető be és hogyan kerülhetők el a duplikációk.
A kiberbiztonsági téma az EU soros elnökségét 2024. január 1-től átvevő belga elnökség programjában is kiemelt figyelmet kap és a célok között szerepel a kiberbiztonsági szolidaritási rendelet véglegesítése is (lásd program, 37. o.).