Az új termékfelelősségi irányelv elfogadásával több évtized után megújulnak a termékfelelősségi szabályok, amelyek a jövőben jobban alkalmazkodnak majd a digitális kor kihívásaihoz (az új irányelv hatálya - többek között - kiterjed a szoftverekre, ezen belül pedig az MI-rendszerekre is).
Az új termékfelelősségi irányelv már kihirdetésre került, a tagállamoknak 2026. december 9-ig kell átültetniük a belső jogukba. Az irányelv szerinti termékfelelősségi szabályok a 2026. december 9. után forgalomba hozott vagy használatba vett termékekre lesznek alkalmazandók. (A korábbi irányelv 2026. december 9-én hatályát veszti, de továbbra is alkalmazandó marad az ezen időpont előtt forgalomba hozott vagy használatba vett termékekre.)
A termék fogalmának - és ezáltal az irányelv hatályának - kiterjesztése mellett számos egyéb újdonsággal is szolgál az új termékfelelősségi irányelv, köztük olyanokkal is, amelyek a termékekkel integrált vagy azokkal összekapcsolt digitális szolgáltatásokkal, illetve pl. a digitális gyártási fájlokkal kapcsolatosak.
Míg a digitális fájlok önmagukban nem ezen irányelv hatálya alá tartozó termékek, a digitális gyártási fájlokat, amelyek gépek vagy szerszámok – például fúrók, esztergagépek, malmok és 3D nyomtatók – automatizált vezérlésének lehetővé tétele révén egy materiális eszköz előállításához szükséges funkcionális információkat tartalmaznak, terméknek kell tekinteni annak érdekében, hogy biztosítható legyen a természetes személyek védelme olyan esetekben, amikor ezek a fájlok hibásak. Például a 3D nyomtatott termékek előállításához használt hibás számítógépes tervezési fájl, amely kárt okoz, ezen irányelv értelmében felelősséget keletkeztet, amennyiben az ilyen fájlt kereskedelmi tevékenység keretében fejlesztik vagy szolgáltatják. A kétségek eloszlatása érdekében azt is egyértelművé kell tenni, hogy a nyersanyagok, például a gáz és a víz, valamint a villamos energia termékeknek minősülnek. (Preambulum (16), kiemelés tőlem)
Egyre gyakoribbá válik, hogy a digitális szolgáltatásokat oly módon integrálják a termékbe, illetve oly módon kapcsolják össze a termékkel, hogy a szolgáltatás hiánya megakadályozná, hogy a termék ellássa egyik funkcióját. Bár ez az irányelv szolgáltatásokra nem alkalmazandó, az objektív felelősséget ki kell terjeszteni az ilyen integrált vagy összekapcsolt digitális szolgáltatásokra, mivel azok ugyanolyan mértékben meghatározzák a termék biztonságosságát, mint a fizikai vagy digitális alkotóelemek. Az ilyen kapcsolódó szolgáltatásokat azon termék alkotóelemének kell tekinteni, amelybe beépültek, vagy amellyel össze vannak kapcsolva, amennyiben az adott termék gyártójának ellenőrzése alatt állnak. A kapcsolódó szolgáltatások közé tartozik például a forgalmi adatok folyamatos szolgáltatása egy navigációs rendszerben, az olyan egészségmonitorozási szolgáltatás, amely egy fizikai termék érzékelőire támaszkodva követi a felhasználó fizikai aktivitását vagy egészségügyi mutatóit, az intelligens hűtőszekrény hőmérsékletét figyelő és szabályozó hőmérséklet-szabályozó szolgáltatás, vagy az olyan hangalapú szolgáltatás, amely lehetővé teszi egy vagy több termék hangutasításokkal történő vezérlését. Az internet-hozzáférési szolgáltatások nem tekinthetők kapcsolódó szolgáltatásoknak, mivel nem tekinthetők a gyártó ellenőrzése alatt álló termék részének, és észszerűtlen lenne a gyártókat felelősségre vonni az internet-hozzáférési szolgáltatások hiányosságai által okozott károkért. Mindazonáltal ezen irányelv értelmében hibásnak minősülhet egy olyan termék, amely internet-hozzáférési szolgáltatásokra támaszkodik, és nem tartja fenn a biztonságot a kapcsolat megszakadása esetén. (Preambulum (17), kiemelés tőlem)
1. Hogyan jelenik meg a kiberbiztonság, mint értékelési szempont az irányelvben?
Ha növekszik azon termékeknek a köre, amelyek digitális komponenst tartalmaznak vagy amelyeknek a digitális szolgáltatások is integrált részét képezik, akkor a termékbiztonság kapcsán előkerülnek a kiberbiztonsági kérdések, hiszen ezen termékek jóval nagyobb veszélynek vannak kitéve a kibertér felől, mint esetleg a "hagyományos" (azaz nem összekapcsolt, illetve "okos") termékek, amelyek tekintetében a fizikai biztonságnak jut döntő szerep.
Az idők szavát észlelve az új termékfelelősségi irányelvben megjelenik a kiberbiztonság, mint a termékbiztonság lényeges összetevője azon termékek esetében, amelyek kitettek lehetnek a kiberbiztonsági fenyegetettségeknek is. Ennek megfelelően
Egy termék a kiberbiztonsági sebezhetősége miatt is hibásnak minősülhet, például ha a termék nem felel meg a biztonság szempontjából releváns kiberbiztonsági követelményeknek. (Preambulum (32), kiemelés tőlem)
[...] a hiba értékelése során figyelembe kell venni a vonatkozó termékbiztonsági követelményeket – többek között a biztonság szempontjából releváns kiberbiztonsági követelményeket – és az illetékes hatóságok beavatkozásait, például a termékvisszahívásokat, illetve a gazdasági szereplők beavatkozásait is. Ezek a beavatkozások azonban önmagukban nem alapozhatják meg a hiba vélelmét. (Preambulum (34), kiemelés tőlem)
Ahogy a fent idézett prembulum-bekezdések is mutatják a kiberbiztonság, mint szempont alapvetően annak értékelésében jelenik meg, hogy a termék hibásnak tekinthető-e vagy sem. Az irányelv 7. cikke szerint, "egy termék hibásnak tekintendő, amennyiben nem nyújtja a bárki által jogosan elvárható, vagy az uniós vagy a nemzeti jogban előírt biztonságot" (lásd 7. cikk (1) bekezdés). "A termék hibájának vizsgálatakor pedig figyelembe kell venni minden körülményt, többek között: [...] a vonatkozó termékbiztonsági követelmények, ideértve a biztonság szempontjából releváns kiberbiztonsági követelményeket is [...]" (lásd 7. cikk (2) bekezdés). A körülmények figyelembe vétele során pedig akár az is szerepet kap, hogy az érintett gazdasági szereplő (pl. gyártó) valamilyen felfedezett biztonsági sérülés kapcsán biztonsági frissítést tesz-e elérhetővé, hiszen ez jelezheti, hogy a termék kapcsán fennállt a kiberbiztonsági sérülékenység, amelyet orvosolni kellett.
2. Na jó, de tulajdonképpen mi az a kiberbiztonság?
A kiberbiztonság uniós fogalmát az ún. kiberbiztonsági jogszabály (2019/881 sz. rendelet az ENISA-ról (az Európai Uniós Kiberbiztonsági Ügynökségről) és az információs és kommunikációs technológiák kiberbiztonsági tanúsításáról, valamint az 526/2013/EU rendelet hatályon kívül helyezéséről) határozza meg (lásd 2. cikk 1. pont). E szerint kiberbiztonság
azok a tevékenységek, amelyek a kiberfenyegetésekkel érintett hálózati és információs rendszereknek, az ilyen rendszerek felhasználóinak és más személyeknek a védelméhez szükségesek.
A kiberbiztonság tehát a kiberfenyegetésekkel szembeni védelmet jelenti. Kiberfenyegetés alatt pedig a következőket érti a jogszabály: "bármely olyan potenciális körülmény, esemény vagy cselekmény, amely károsíthatja vagy megzavarhatja a hálózati és információs rendszereket, az ilyen rendszerek felhasználóit és más személyeket, vagy azokra egyéb kedvezőtlen hatást gyakorolhat." (2. cikk 8. pont) [A hálózati és információs rendszerek fogalmát a hálózati és információs rendszerek biztonságának az egész Unióban egységesen magas szintjét biztosító intézkedésekről szóló 2016/1148 sz. irányelv határozza meg.]
3. Meddig terjed a kiberbiztonságért való felelősség?
Az irányelv preambuluma ad némi támpontot a kiberbiztosnági követelmények értékelése kapcsán, így kitér azokra a helyzetekre (lásd preambulum (55) bekezdés), amikor harmadik fél (a potenciálisan felelős gazdasági szereplőtől eltérő személy) tevékenysége járul hozzá a kár bekövetkezéséhez. Erre példa lehet egy hackertámadás, amikor az adott termék sérülékenységét kihasználva okoz kárt egy harmadik fél. E körben fontos szempontot rögzít az irányelv preambuluma, miszerint a termék hibás voltát (azaz, hogy olyan sebezhetőség miatt következik be a károsodás, amely "a termék a széles vásárlóközönség által jogosan elvárható biztonsági szinthez képest kevésbé biztonságos") nem írja felül, ha harmadik fél (pl. hacker) használja ki ezt a hibát, és így "a gazdasági szereplő felelőssége nem csökkenhet vagy nem szűnhet meg az ilyen, harmadik fél általi cselekmények vagy mulasztások következtében" (kiemelés tőlem). Azt azonban vizsgálni kell, hogy a károsult miként járt el a káresemény kapcsán (pl. nem telepíti a gyártó által elérhetővé tette fontos biztonsági frissítst), hiszen ha a károsultak gondatlansága járul hozzá a kár okához, akkor ez a gyártó (vagy egyéb a hibáért felelő gazdasági szereplő, pl. forgalmazó vagy importőr) felelősségét csökkentheti vagy akár ki is zárhatja.
Másik oldalról azt is egyértelművé teszi az irányelv preambuluma (lásd (51) bekezdés), hogy "ha a termék hibája a kiberbiztonsági sebezhetőségek kezeléséhez és a termék biztonságosságának fenntartásához szükséges szoftverfrissítések vagy -fejlesztések hiányát jelenti, korlátozni kell a gazdasági szereplők azon lehetőségét, hogy mentesüljenek a felelősség alól annak bizonyítása révén, hogy a hiba a termék forgalomba hozatalát vagy használatbavételét követően merült fel." A gyártók tehát "nem menthetők fel a hibás termékeik okozta károkért viselt felelősség alól, ha a hiba abból fakad, hogy nem bocsátják rendelkezésre azokat a szoftverbiztonsági frissítéseket vagy fejlesztéseket, amelyek az említett termékek sebezhetőségének a változó kiberbiztonsági kockázatokkal szembeni kezeléséhez szükségesek." (kiemelés tőlem)
A gyártói felelősség szempontjából kulcskérdés tehát, hogy figyelemmel kell kísérni az állandóan és igen gyorsan változó kiberbiztonsági környezetet és a termék tekintetében akár később is biztosítania kell a gyártónak a biztonságos működéshez szükséges frissítéseket. Ez jelentős eltérés lehet a "hagyományos" termékekhez képest, ahol talán a változó technológiai környezet nem jelenik meg ennyire hangsúlyosan a gyártók esetében, mint a termék hibájáért való felelősség körében értékelendő és kezelendő szempont. A termék tervezésekor és életciklusának nyomon követése kapcsán erre mindenképpen figyelmet kell fordítani. (Természetesen ez a felelősség addig terjed, amíg a termék a gyártó ellenőrzése alatt áll, azaz "ez a felelősség nem alkalmazandó, ha az ilyen szoftver rendelkezésre bocsátása vagy telepítése a gyártó ellenőrzésén kívül esik, például ha a termék tulajdonosa nem telepíti a termék biztonsági szintjének biztosítása vagy fenntartása céljából rendelkezésre bocsátott frissítést vagy fejlesztést").
Szintén lényeges szempont lehet a kiberbiztonsági követelmények tekintetében (bár nem csak ezekre vonatkozóan), hogy "a méltányos kockázatmegosztás érdekében abban az esetben kell mentesíteni a gazdasági szereplőket a felelősség alól, ha bizonyítják, hogy az alatt az idő alatt, amíg a termék a gyártó ellenőrzése alá tartozott, a rendelkezésre álló objektív ismeretek legmagasabb szintjére – nem pedig az adott gazdasági szereplő tényleges ismereteire – hivatkozással meghatározott tudományos és műszaki ismeretek állása szerint a hiba létezése nem volt felismerhető" (preambulum (52) bekezdés). A kiberbiztonság területén ez jelentheti, hogy olyan új technológia jelenik meg, amelyre a gyártó objektíve nem lehetett felkészülve, ez okoz kiberbiztonsági szempontból hibát, ebben az esetben pedig sor kerülhet mentesülésre. A mérce azonban igen magasan van a gyártókkal szemben.
4. Mit jelent a kiberbiztonsági megfelelés a gyakorlatban?
Természetesen az irányelv nem tartalmaz konkrét kiberbiztonsági elvárásokat (ahogy egyéb biztonsági követelményeket sem), hiszen nem ez az irányelv célja és szabályozási tartalma. Az adott termékre vonatkozó követelményeket, beleértve a kiberbiztonsági követelményeket is a termékre vonatkozó jogszabályok, adott esetben szabványok határozzák meg.
Egyes termékkategóriák esetében külön kiberbiztonsági szabályok is meghatározásra kerülhetnek. Ilyen például a közelmúltban elfogadott és kihirdetett ún. kiberreziliencia rendelet (2024/2847. sz. rendelet a digitális elemeket tartalmazó termékekre vonatkozó horizontális kiberbiztonsági követelményekről, valamint a 168/2013/EU és az (EU) 2019/1020 rendelet, és az (EU) 2020/1828 irányelv módosításáról), amely az ún. digitális elemeket tartalmazó termékekre vonatkozik. [A kiberreziliencia rendeletet - főszabály szerint 2027. december 11-től kell alkalmazni.]
Mi az a "digitális elemeket tartalmazó termék"?
A „digitális elemeket tartalmazó termék”: szoftver- vagy hardvertermék és annak távoli adatkezelési* megoldásai, beleértve a külön forgalomba hozott szoftver- vagy hardver-alkotóelemeket is. (Kiberreziliencia Rendelet, 3. cikk (1) pont)
(*„távoli adatkezelés”: olyan távolról történő adatkezelés, amelyhez a szoftvert a gyártó tervezte és fejlesztette ki, vagy amelyet a gyártó felelőssége mellett terveztek vagy fejlesztettek ki, és amelynek hiánya megakadályozná a digitális elemeket tartalmazó termék valamely funkciójának ellátását, lásd Kiberreziliencia Rendelet, 3. cikk (2) pont)
A kiberreziliencia jogszabály meghatározza a digitális elemeket tartalmazó termékekre vonatkozó alapvető követelményeket, amelyeknek való megfelelés ezen termékek forgalomba hozatalához szükségesek. Ezen túlmenően a rendelet foglalkozik a sérülékenységek meghatározásának, bejelentésének és kezelésének kérdésével is. A Kiberreziliencia Rendelet szerinti kihasználható sérülékenység jelenléte, illetve a kihasználható sérülékenység aktív kihasználása fontos szempont lehet a termék hibájának értékelése és így a termékfelelősség fennállásának megállapítása kapcsán. A biztonsági események bekövetkezése szintén az értékelés fontos szempontja lehet.
A Kiberreziliencia Rendelet szerint:
„sérülékenység”: valamely digitális elemeket tartalmazó termék gyengesége, érzékenysége vagy hibája, amely egy kiberfenyegetés révén kihasználható;
„kihasználható sérülékenység”: olyan sérülékenység, amelyet valamely ellenséges fél a gyakorlati működési feltételek mellett potenciálisan ténylegesen kihasználhat;
„aktívan kihasznált sérülékenység”: olyan sérülékenység, amelyre vonatkozóan megbízható bizonyíték van arra, hogy egy rosszakaratú szereplő kihasználta azt egy rendszerben a rendszer tulajdonosának engedélye nélkül.
(lásd Kiberreziliencia Rendelet, 3. cikk (40)-(42) pontok)
Összességében láthatjuk, hogy a gyártók (és adott esetben az egyéb gazdasági szereplők) egyre szerteágazóbb követelményrendszernek kell, hogy megfeleljenek a termékeik biztonságát illetően, különös tekintettel arra, ha olyan terméket gyártanak és hoznak forgalomba, amely esetében a kibertérből is érkezhet fenyegetés.
