GDPR

Adatvédelem mindenkinek / Data protection for everyone

Rövidesen érkezhet a kiberreziliencia jogszabály

2023. december 11. 13:00 - poklaszlo

Az elmúlt hetekben a mesterséges intelligencia rendelet (AI Act) körüli, éjszakába nyúló egyeztetések és végül a nagy nehezen összehozott politikai egyezség töltötték ki a híreket. Nem ez volt azonban az egyetlen jogalkotási téma, ami uniós szinten révbe érni látszik. Politikai egyezség született ugyanis a Parlament és a Tanács között az ún. kiberreziliencia jogszabály (Cyber Resilience Act) tekintetében is. 

1. Mire vonatkozik majd a kiberreziliencia jogszabály?  

A kiberreziliencia jogszabály a digitális termékekre vonatkozó horizontális szabályozás, amely ezen termékek kiberbiztonság szintjének javítását célozza, mégpedig kötelező és arányos kiberbiztonsági követelmények előírása révén. A digitális termékek köre igen széles lehet - ahogy a Bizottság közleménye is írja - a babamonitoroktól kezdve az okosórákon és a számítógépes játékokon át a tűzfalakig, útválasztókig terjed. 

A ransomware támadások jelentős kihívást jelentenek világszerte, így az EU-ban is. 11 másodpercenként történik ransomwere támadás, amely hatalmas károkat okoz (egyes, 2021-re vonatkozó becslések szerint akár évi 20 milliárd eurónak megfelelő kár bekövetkezésért tehetők felelőssé ezek a támadások). Miközben a forgalomban lévő digitális termékek száma rohamosan növekszik, a kiberbiztonság erősítése megkerülhetetlen az incidensek és sérülékenységek megelőzése, illetve hatékony kezelése érdekében. 

A kiberreziliencia rendelet kockázatalapú megközelítést alkalmaz és a különböző kockázati szintű termékekre eltérő követelmények kerülnek meghatározásra.   

A rendelet fontos elvárásokat fogalmaz meg a digitális termékek tekintetében: 

  • a kiberbiztonsági szempontokat a termék teljes életciklusa során figyelembe kell venni, így már a tervezési, fejlesztési, majd a gyártási és karbantartási fázisokban is, 
  • a kiberbiztonsági kockázatokat dokumentálni kell, 
  • az ismert sérülékenységekről a gyártóknak tájékoztatást kell adniuk, 
  • a sérülékenységek hatékony kezelése a termékek forgalomba hozatala után is (legalább a támogatási időszakban),
  • biztonsági frissítések elérhetővé tétele, 
  • kiberbiztonságot érintő átláthatóság javítása, 
  • piacfelügyeleti keretek biztosítása (az EU kiberbiztonsági ügynökségének, az ENISA szerepének a megerősítése).   

(További információk a rendelet megállapodás szerint várható tartalmáról angolul itt és magyarul itt érhetők el.)

2. Mikortól kell majd alkalmazni az új jogszabályt?

A jogalkotási folyamat még nem ért véget a politikai megállapodással. A végleges szöveg kapcsán még technikai szinten zajlanak az egyeztetések. A végleges jogszabályszöveg megszületését követően mind a Parlamentnek, mind a Tanácsnak jóvá kell hagynia a rendeletet, amely ezt követően kerülhet kihirdetésre az EU hivatalos lapjában.

A hatályba lépést követően (amelyre a kihirdetést követő 20. napon kerül sor) pedig türelmi időt is kapnak a gyártók, hogy felkészüljenek a rendelet alkalmazására: a jogszabály hatálybalépése után a hardver- és szoftvertermékek gyártóinak, importőreinek és forgalmazóinak 36 hónap (azaz 3 év) áll rendelkezésükre, hogy alkalmazkodjanak az új követelményekhez. Ez alól kivételt jelent a gyártók incidensekkel és sebezhetőségekkel kapcsolatos jelentéstételi kötelezettsége, amire 21 hónapos türelmi idő vonatkozik.

A kiberreziliencia rendelet elfogadásával sem feltétlenül ér majd véget az uniós kiberbiztonsági jogalkotás, már a csőben van az ún. kiberbiztonsági szolidaritási rendelet is (Cyber Solidarity Act), amely a kiberbiztonsági fenyegetettséggel és incidensekkel szembeni egységesebb, határokon átnyúló uniós fellépést hivatott előmozdítani, többek között megteremtve az Európai Kiberbiztonsági Pajzsot (European Cyber Shield), a kibervészhelyzeti mechanizmust (Cyber Emergency Mechanism) és a kiberbiztonsági események felülvizsgálati mechanizmusát (Cybersecurity Incident Review Mechanism). Egyelőre a tárgyalások még nem kezdődtek meg a javaslatról az Európai Parlament és a Tanács között, de a parlamenti bizottsági munka során már több ponton javaslatok születtek az eredeti tervezet módosítására, pontosítására. Az egyik fontos témakör a javaslatcsomag kapcsán, hogy a meglévő kiberbiztonsági keretrendszerbe (lásd különösen a kiberbiztonsági rendeletet és a NIS2 irányelvet) miként illeszthető be és hogyan kerülhetők el a duplikációk.  

A kiberbiztonsági téma az EU soros elnökségét 2024. január 1-től átvevő belga elnökség programjában is kiemelt figyelmet kap és a célok között szerepel a kiberbiztonsági szolidaritási rendelet véglegesítése is (lásd program, 37. o.). 

Szólj hozzá!

A bejegyzés trackback címe:

https://gdpr.blog.hu/api/trackback/id/tr418278427

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

Nincsenek hozzászólások.
süti beállítások módosítása