Navigation path

Left navigation

Additional tools

Európai Bizottság - Kérdések és válaszok

Kérdések és válaszok – uniós kiberbiztonság

Brüsszel, 2019. június 26.

Mit tett eddig az EU a kiberbiztonság megerősítése érdekében?

Az elektronikus kommunikációs hálózatok védelme terén az EU-nak számos különböző eszköz áll rendelkezésére. Ilyen például a hálózati és információs rendszerek biztonságáról szóló irányelv (a kiberbiztonsági irányelv), az uniós kiberbiztonsági jogszabály, valamint az új távközlési szabályok.

Az irányelv új, uniós szintű együttműködési mechanizmusokat, a tagállami kapacitások növelését célzó intézkedéseket, az alapvető szolgáltatásokat nyújtó szereplők és a digitális szolgáltatók esetében pedig arra vonatkozó kötelezettséget vezetett be, hogy kockázatkezelési gyakorlatokat fogadjanak el és a jelentősebb eseményeket jelentsék be a nemzeti hatóságoknak.

A kiberbiztonsági jogszabály első alkalommal vezet be uniós szintű szabályokat a termékek, folyamatok és szolgáltatások kiberbiztonsági tanúsítására vonatkozóan. Ezenkívül a jogszabály állandó megbízatás formájában megújítja az Európai Uniós Kiberbiztonsági Ügynökség (ENISA) mandátumát, valamint több erőforrást biztosít az ügynökség számára céljai megvalósításához.

Az új távközlési szabályok (Elektronikus Hírközlési Kódex) értelmében a tagállamok kötelesek fenntartani a nyilvános hírközlő hálózatok integritását és biztonságát, valamint gondoskodni arról, hogy az üzemeltetők műszaki és szervezési intézkedéseket tegyenek a hálózatok és szolgáltatások biztonságát fenyegető kockázatok megfelelő kezelése érdekében. A szabályok a nemzeti szabályozó hatóságok hatásköréről is rendelkeznek, beleértve a kötelező erejű utasítások kiadására és azok betartatására vonatkozó hatáskört is. Ezenkívül a tagállamok – a kommunikáció titkosságának biztosítása érdekében – a nyilvános hálózatok jogosulatlan hozzáféréssel szembeni védelmével kapcsolatos feltételekhez köthetik az általános engedélyek kiadását.

A Tanács végül 2019 májusában szankciórendszert hozott létre, amely lehetővé teszi az EU számára, hogy célzott korlátozó intézkedéseket vezessen be az olyan kibertámadásoktól való elrettentés és az azokra való reagálás érdekében, amelyek külső fenyegetést képeznek az EU és annak tagállamai számára. Az új szankciórendszer az EU kiberdiplomáciai eszköztárának, a rossz szándékú kibertevékenységekkel szembeni közös uniós diplomáciai intézkedések keretének részeként lehetővé teszi, hogy a rossz szándékú kibetevékenységekkel szembeni fellépés céljából az EU maradéktalanul kihasználja a közös kül- és biztonságpolitika területéhez tartozó intézkedéseket, többek között főképviselői nyilatkozatok, diplomáciai demarsok, valamint szükség esetén korlátozó intézkedések formájában.

Mi is az uniós kiberbiztonsági tanúsítási keret és milyen előnyei vannak?

Az európai kiberbiztonsági tanúsítási rendszer meghatározott termékek, szolgáltatások és folyamatok kiberbiztonsági tulajdonságainak értékelésére alkalmazandó szabályok, műszaki követelmények, szabványok és eljárások uniós szinten elfogadott átfogó rendszere.

A kiberbiztonsági tanúsítás fontos szerepet tölt be a digitális egységes piac zavartalan működése szempontjából kulcsfontosságú termékek, szolgáltatások és folyamatok biztonságának fokozásában és az azokba vetett bizalom növelésében. Tekintettel az IKT-termékek, -szolgáltatások és -folyamatok sokféleségére és számos felhasználására, az európai kiberbiztonsági tanúsítási keret lehetővé teszi igényekhez igazított, kockázatalapú uniós tanúsítási rendszerek létrehozását.

Az egyes uniós rendszereknek különösen is meg kell határozniuk: a) az érintett termékek és szolgáltatások kategóriáit, b) a kiberbiztonsági követelményeket, például a vonatkozó szabványokra vagy műszaki előírásokra való hivatkozással, c) az értékelés típusát (önértékelés vagy harmadik fél általi értékelés), valamint d) a biztonság elérendő szintjét (alapvető, jelentős és/vagy magas).

A tanúsítvány a kiberkockázat meghatározásához három megbízhatósági szintre (alapvető, jelentős, magas) hivatkozhat, amely a biztonsági események valószínűsége és hatása szempontjából arányban áll az adott termék, szolgáltatás vagy folyamat rendeltetés szerinti használatához fűződő kockázat szintjével. Például a magas biztonsági szint azt jelenti, hogy a tanúsított termék megfelelt a legszigorúbb biztonsági vizsgálatokon.

A kiállított tanúsítványt valamennyi tagállamban elismerik majd, megkönnyítve ezzel a vállalkozások számára a határokon átnyúló kereskedelmet, a felhasználók számára pedig az adott termék vagy szolgáltatás biztonsági tulajdonságainak megértését. Ez lehetővé teszi az uniós piac egészében a szolgáltatók közötti előnyös versenyt, és ezáltal a fogyasztók számára jobb termékeket és jobb ár-érték arányt kínál.

Beépített biztonság: A keret a termékek, szolgáltatások és folyamatok tervezésébe és kifejlesztésébe bevont szervezeteket, gyártókat és szolgáltatókat már a tervezés és a kifejlesztés legkorábbi szakaszában ösztönzi biztonsági intézkedések végrehajtására. Ily módon garantálható leginkább e termékek, szolgáltatások és folyamatok biztonsága oly módon, hogy számolni lehessen a támadások előfordulásának lehetőségével és azokat minimálisra lehessen csökkenteni („beépített biztonság”).

Az európai tanúsítási keret a lehető legnagyobb mértékben a nemzetközi előírásokra támaszkodik, hiszen csak így kerülhetők el a kereskedelmi akadályok és a műszaki átjárhatósági problémák.

Ki és hogyan részesül majd a tanúsítási keret előnyeiből?

A digitális rendszerek iránti bizalmunk központi elemét képezi annak ismerete, hogy az adott termék, rendszer vagy szolgáltatás megfelel-e bizonyos követelményeknek. A keret tehát az alábbi érintettek számára jár előnyökkel:

  • A polgárok és a végfelhasználók (pl. az alapvető szolgáltatók) megalapozottabb vásárlási döntéseket tudnak hozni a napi szinten használatos termékekkel és szolgáltatásokkal kapcsolatban. Az a polgár, például, aki okostelevíziót szeretne vásárolni és tudatában van azoknak a kiberbiztonsági kockázatoknak, amelyekkel az intelligens eszközök internetre való csatlakozása jár, tájékozódhat az Európai Uniós Kiberbiztonsági Ügynökség európai kiberbiztonsági tanúsítással foglalkozó honlapján. Így megfelelő kiberbiztonsági követelményeknek megfelelő, tanúsított modellt tud választani, iránymutatást kaphat az eladótól a TV biztonságos beállításáról, konfigurálásáról és működtetéséről, valamint arról, hogy az eladó mennyi ideig kötelezi el magát új sebezhetőségek feltárása esetén kiberbiztonsági javítóprogramok biztosítására.
  • A termékek és szolgáltatások eladói és nyújtói (a kis- és középvállalkozásokat, valamint az új vállalkozásokat is beleértve) költséget és időt fognak megtakarítani annak köszönhetően, hogy az összes tagállamban érvényes – és ezáltal a hatékony versenyt lehetővé tevő – európai tanúsítvány megszerzése egyetlen eljárással fog történni. Emellett az IT-termékek és -szolgáltatások eladói, várhatóan egy, a tanúsítványhoz kapcsolódó egyedi címke használatával megfelelő tájékoztatást tudnak majd adni a vásárlóknak.
  • A kormányok az egyéni és kereskedelmi vásárlókhoz hasonlóan felkészültebbek lesznek arra, hogy megalapozott vásárlási döntéseket hozzanak.

A tanúsított termékek, szolgáltatások és folyamatok – azokat is beleértve, amelyek vonatkozásában uniós megfelelési nyilatkozatot állítottak ki – gyártóinak, illetve szolgáltatóinak meghatározott kiegészítő kiberbiztonsági információt (többek között a végfelhasználóknak a termékek vagy szolgáltatások biztonságos konfigurálásában, beszerelésében, telepítésében, üzemeltetésében és karbantartásában segítséget nyújtó iránymutatásokat és ajánlásokat) kell nyújtaniuk, amely további hozzáadott értéket fog biztosítani a kiberbiztonsági tanúsítás tekintetében.

Milyen hozzáadott értéket jelent a tanúsítási keret különösen a kkv-k és az induló vállalkozások számára?

A kkv-k és az új vállalkozások általában több nehézséggel szembesülnek az új piacokon való terjeszkedés során, ha az egyes piacokon eltérőek a követelmények. A keret segíteni fog abban, hogy a kkv-k és az új vállalkozások számára csökkenjenek a piacra lépés említett akadályai, mivel termékeiknek csak egyetlen tanúsítási eljárásnak kell megfelelniük, és a vonatkozó tanúsítvány az EU egészében érvényes lesz. Ezenkívül mivel a biztonságosabb megoldások iránt várhatóan világszerte megnő a kereslet, e szükséglet kielégítésével azok a vállalkozások, köztük a kkv-k, amelyek termékei tanúsítással rendelkeznek, versenyelőnyhöz jutnak majd. A keret annál is vonzóbb a kkv-k és az új vállalkozások számára, mert a vállalkozások saját maguk is tanúsíthatják az alacsony kockázatot jelentő termékeik, folyamataik és szolgáltatásaik biztonsági követelményeknek való megfelelőségét.

Vegyünk például egy kkv-t, amely IKT-alkalmazásokat fejleszt és értékesít olyan nagyobb vállalkozásoknak, amelyek bizonyos mértékű biztosítékot szeretnének kapni arról, hogy az alkalmazások biztonsága megfelelő és a biztonsági kódok tekintetében a bevált gyakorlatok szerint lettek kifejlesztve. Az európai kiberbiztonsági tanúsítvány használatával a kkv ilyen esetben igazolni tudja a termékek és azok fejlesztési gyakorlatának a biztonságát, ráadásul az esetek többségében jellemző jelenlegi gyakorlattal ellentétben nem csupán egy tagállam esetében, hanem az EU egészében meg tudnak felelni az ügyfeleik által támasztott követelményeknek.

Kötelezővé válik-e a kiberbiztonsági tanúsítás?

A tanúsítási keret alapján létrehozott rendszerek önkéntesek, azaz az eladók maguk dönthetik el, hogy kívánják-e a keret alapján tanúsítani termékeiket. Ugyanakkor a kiberbiztonsági jogszabály értelmében a Bizottság rendszeresen értékeli az elfogadott európai kiberbiztonsági tanúsítási rendszerek hatékonyságát és alkalmazását. A Bizottság ennek keretében különösen azt vizsgálja, hogy az IKT-termékek, -szolgáltatások és -folyamatok megfelelő kiberbiztonsági szintjének biztosítása, valamint a belső piac működésének javítása érdekében célszerű-e valamely európai kiberbiztonsági tanúsítási rendszer alkalmazását egy vonatkozó uniós jogszabály révén kötelezővé tenni. Emellett egyéb tagállami vagy uniós szintű jogszabályok esetében lehetőség van arra, hogy egyszerűen a meglévő rendszerek leírása révén mutassák be, hogy a termékeknek vagy rendszereknek milyen jövőbeli kötelezettségeknek kell megfelelniük.

Hogyan történik az Európai Uniós Kiberbiztonsági Ügynökség megerősítése?

Az Európai Uniós Kiberbiztonsági Ügynökség ez idáig ideiglenes megbízatással rendelkezett, amely legutóbb 2013-ban került meghosszabbításra és 2020-ban járt volna le. A kiberbiztonsági jogszabály állandó megbízatással ruházta fel az ügynökséget, és ezáltal azt a jövőre nézve szilárd alapokra helyezte.

A jogszabály megerősítette és módosította az Európai Uniós Kiberbiztonsági Ügynökség jelenlegi feladatait, köztük a szakpolitika kialakításának és végrehajtásának elősegítését, valamint a kiberkapacitás-építést. Az ügynökség új feladatokat is kapott különösen a kiberbiztonsági tanúsítás területén.

Az új megbízatás további olyan fontos feladatokat is tartalmaz, amelyekkel a 2016-ban elfogadott kiberbiztonsági irányelv már megbízta az ENISA-t, többek között azt, hogy biztosítsa a számítógép-biztonsági eseményekre reagáló csoportok (CSIRT-ek) hálózatának titkárságát, amely hálózat összefogja az egyes uniós tagállamokban működő csoportokat. A megnövekedett kötelezettségek teljesítéséhez az ügynökség személyzete 50%-kal nőhet, erőforrásai pedig megduplázódnak és öt év alatt 11 millióról 23 millió EUR-ra fognak növekedni.

Melyek az ENISA fő feladatai az új megbízatás keretében?

  • A kiberbiztonsági vonatkozású – különösen a kiberbiztonsági irányelvhez kapcsolódó – uniós szakpolitikák végrehajtásának támogatása, valamint az egyéb ágazatok (energia, közlekedés, pénzügy stb.) kiberbiztonsági elemeket tartalmazó más szakpolitikai kezdeményezéseinek a támogatása. Az Európai Uniós Hálózat- és Információbiztonsági Ügynökség támogatni fogja a tagállamokat az adatvédelemhez és a magánélet tiszteletben tartásához kapcsolódó uniós szakpolitikák és jogszabályok egyes kiberbiztonsági vonatkozásainak végrehajtásában is.
  • Kiberbiztonsági kapacitásépítés – például képzések révén – az uniós és nemzeti közigazgatási szervek képességei és szakértelme javításának támogatása érdekében, többek között a biztonsági eseményekre való reagálás és a kiberbiztonsággal kapcsolatos szabályozói intézkedések felülvizsgálata terén.
  • Piaci feladatok (szabványosítás, kiberbiztonsági tanúsítás), például a kiberbiztonsági piac megfelelő tendenciáinak elemzése a kereslet és a kínálat megfelelőbb összehangolása, valamint az IKT szabványosításának és kiberbiztonsági tanúsításának területeit érintő uniós politika kialakításának támogatása érdekében.
  • Operatív együttműködés és válságkezelés a meglévő megelőző operatív képességek megerősítése és a CSIRT-hálózat titkárságaként az operatív együttműködés támogatása érdekében. Az Európai Uniós Hálózat- és Információbiztonsági Ügynökség ezenkívül segítséget fog nyújtani az arra igényt tartó tagállamoknak az események kezeléséhez, valamint szerepet fog játszani a nagy léptékű, határokon átnyúló kiberbiztonsági eseményekre és válsághelyzetekre való uniós szinten összehangolt reagálásban.
  • A sebezhetőségek koordinált feltárása: Az Európai Uniós Hálózat- és Információbiztonsági Ügynökség segíteni fogja a tagállamokat és az uniós intézményeket, ügynökségeket és szerveket abban, hogy önkéntes alapon sebezhetőségfeltárási politikákat dolgozzanak ki és hajtsanak végre. Támogatni fogja továbbá a sebezhető termékekkel foglalkozó szervezetek, gyártók és szolgáltatók, valamint a kiberbiztonsági kutatói közösség sebezhetőségeket észlelő tagjai közötti együttműködést is.

Melyek az Európai Bizottság ajánlásai az 5G hálózatok biztonságára vonatkozó közös uniós megközelítés terén?

Az ötödik generációs (5G) hálózatok fogják alkotni társadalmunk és gazdaságunk gerincét többek között olyan kritikus jelentőségű ágazatokban, mint az energia, a közlekedés, a banki ügyletek és az egészségügy, ami jól érzékelteti, hogy mennyire fontos a biztonságot és az abba vetett bizalmat érintő sebezhetőségek kezelése. Az Európai Bizottság 2019 márciusában több operatív lépésre és intézkedésre tett javaslatot, hogy biztosítsa az 5G hálózatok egész Unióra kiterjedő magas szintű kiberbiztonságát. Többek között azt javasolta a tagállamoknak, hogy 2019 októberéig készítsenek az Unió egészére kiterjedő kockázatértékelést, 2019 decemberéig pedig határozzanak meg lehetséges kockázatcsökkentő intézkedéseket. Az ajánlással kapcsolatos további információk (következő lépések stb.) megtalálhatók ebben asajtóközleményben, valamint a kérdések és válaszok című tájékoztatóban.

Melyek a következő lépések?

Az Európai Bizottság – különösen a Digitális Európa programra vonatkozó javaslatában – szorgalmazta az uniós kiberbiztonságba és a korszerű digitális technológiákba való beruházásoknak a következő uniós költségvetési időszakban történő jelentős növelését. Az erőforrások egyesítése, a prioritások tagállamok közötti koordinálása, valamint a releváns kiberbiztonsági projektek végrehajtása érdekében javaslatot tett továbbá egy új európai kiberbiztonsági kompetenciaközpont és hálózat kialakítására. A javaslat célja a nemzeti koordinációs központok hálózatának és egy kiberbiztonsági kompetenciaközösségnek a létrehozása is, hogy javuljon a tagállami meglévő szakértői struktúrák közötti együttműködés és szinergia. Ehhez szorosan kapcsolódik az a fő célkitűzés, hogy növekedjen az uniós kiberbiztonsági ipar versenyképessége és a kiberbiztonság versenyelőnnyé váljon a többi uniós iparág számára.

További információk

Brosúra: Hogyan fokozható az Európai Unió kiberbiztonsága?

Tájékoztató: Ellenálló képesség, elrettentés, védelem: az Unió erőteljes kiberbiztonságának kiépítése

Az európai kiberbiztonsági kompetenciaközpont és hálózat kialakítására irányuló javaslat

Biztonsági unió: huszonkét jogalkotási kezdeményezésből már tizenötben megállapodás született

Sajtóközlemény: Az uniós tárgyaló felek megállapodtak az európai kiberbiztonság fokozásáról

Sajtóközlemény: Az Európai Bizottság közös európai megközelítést javasol az 5G hálózatok biztonságára vonatkozóan

QANDA/19/3369

Kapcsolattartás a sajtóval:

Tájékoztatás a nyilvánosság számára: Europe Direct a 00 800 67 89 10 11 telefonszámon vagy e-mailben


Side Bar