Az Európai Parlament a rendes jogalkotási eljárás első olvasatában elfogadta álláspontját az EU Bizottsága által tavaly előterjesztett kiberbiztonságról szóló NIS Irányelv modernizálására irányuló jogszabály tervezetről („NIS2 Tervezet”).
A NIS2 Tervezet fontosságát az Európai Parlamenti képviselők részére kiadott felkészítő anyaga is megerősíti. Eszerint
a kibertámadások – amellett, hogy világszerte a leggyorsabban növekvő bűnözési formák közé tartoznak – egyre nagyobb méreteket öltenek, egyre költségesebbek és egyre kifinomultabbak.
A Cybersecurity Ventures (vezető kiberbiztonsági szaklap) 2017-es előrejelzése szerint például
a zsarolóvírusok által okozott károk globális költsége 2021-re eléri a 20 milliárd dollárt, ami 57-szerese a 2015-ös költségnek.
A szervezet szerint a vállalatok 2021-re 11 másodpercenként szenvednek majd el zsarolóvírus-támadást – 2016-ban ez csak 40 másodpercenként történt. Az Európai Unió Kiberbiztonsági Ügynökségének (ENISA) legfrissebb, Threat landscape 2021 című jelentése pedig kiemeli, hogy a kiberbiztonsági támadások 2020-ban és 2021-ben tovább növekednek, nemcsak számuk, hanem a hatásuk tekintetében is. Ehhez képest az uniós szervezetek 41%-kal kevesebbet költenek a kiberbiztonságra, mint amerikai társaik.
A fenti előrejelzések is azt mutatják, hogy a kiberbiztonsági jogalkotás kiemelt fontosságú kell legyen az EU agendáján.
Az alábbiakban bemutatjuk a jogalkotási folyamat legújabb lépését: az Európai Parlament első olvasatbeli véleményét a NIS2 tervezettel kapcsolatban.
- A kiberbiztonsági információ megosztásnak nem lehet akadálya a GDPR
A kiberbiztonsági fenyegetettségre való figyelemfelhívás mellett az Európai Parlament kiemeli: a NIS2-nek egyértelművé kell tennie, hogy a kiberbiztonságra vonatkozó követelmények teljesítéséhez elengedhetetlen az információmegosztás. Jelenleg az országok közötti és az országokon belüli, személyes adatok kezelésével járó információmegosztás a GDPR-megfelelés biztosításával kapcsolatos felelősséggel összefüggő bizonytalanságok miatt komoly akadályokba ütközik. Ez mind az állami, mind a magánszektorban tetten érhető. A NIS2 Tervezet ezért kiberbiztonsági információmegosztási megállapodások alkalmazását írja elő a tagállamok részére, melynek célja, hogy a szervezetek jogszerűen megoszthassák egymással a vonatkozó kiberbiztonsági információkat, ideértve a kiberfenyegetésekre, a biztonsági résekre, a kompromisszummutatókra, a taktikákra, a technikákra és az eljárásokra, a kiberbiztonsági figyelmeztetésekre és a konfigurációs eszközökre vonatkozó információkat.
A NIS2 Tervezet e részéből kifejezetten kikerültek a GDPR figyelembevételére irányuló korábbi kikötések (törölték a tervezet e részéből azt a bevezető fordulatot, hogy „a GDPR sérelme nélkül”), ami világossá teszi az Európai Parlament azon szándékát, hogy a kiberbiztonságra vonatkozó információ megosztásnak ne legyen akadálya a GDPR.
- A NIS2 bővülő személyi hatálya
A NIS2 Tervezet olyan ágazatokra is kiterjed, amelyeket a hatályos NIS irányelv nem tekintett alapvető fontosságúnak vagy fontosnak (lásd erről korábbi cikkünket). A NIS2 Tervezet a társadalom részére nyújtott szolgáltatások alapján a következő két jogi kategóriába sorolja az érintett szerveket: “alapvető” és “fontos” szervezetek.
Az Európai Parlament osztja a Bizottság javaslatának törekvéseit, és úgy véli, hogy a kutatási és tudományos intézményeket is új ágazatként kellene bevonni. Ezek az intézmények nagymértékben kibertámadások célpontjai, és szellemi tulajdonuk megérdemli a NIS2 szerinti védelmet.
- A mikro- és kisvállalkozásokra nehezedő adminisztratív terhek csökkentése és a KKV-k támogatása
Az Európai Parlament támogatja a mikro- és kisvállalkozások NIS2 irányelv személyi hatálya alól való kizárását. Úgy véli továbbá, hogy a NIS2-nek nem csupán a megfelelési és büntetőintézkedésekre kellene összpontosítania, hanem pozitív ösztönzőkre is, mint például útmutatás és segítség nyújtása a KKV-knak, vagy ingyenesen felajánlott szolgáltatások, például az e-mail-szerver és a weboldal konfigurációjának ellenőrzése.
- Az incidensek jelentése kritikus fontosságú a kiberbiztonság szempontjából
Az Európai Parlament számára a Bizottság által javasolt 24 órás időkeret ésszerűtlennek tűnik, többek között azért is, mert az incidenseket követően a szakértők erőfeszítéseit a probléma enyhítésére fordítják; a bejelentése ebben a szakaszban másodlagos érdek. A kiberbiztonsági incidenst és annak következményeit ritkán sikerül teljesen feltárni 24 órán belül, és a 24 órán belüli értesítések téves jelentésekhez vagy túljelentésekhez vezethetnek. Ezért az Európai Parlament azt javasolja, hogy az irányelvet igazítsák más uniós jogszabályokhoz, például a GDPR-hoz, és így a határidő legyen 72 óra.
- Az Európai Parlament nem tartja kívánatosnak, hogy a potenciális incidensek bejelentését is kötelezővé tegyék.
A potenciális incidensek önkéntes megosztását ösztönözni kell, de a közepes és nagy szervezetek egyetlen nap alatt akár több tíz, vagy akár több száz jelentős kiberfenyegetéssel is találkozhatnak. Ezeknek a potenciális incidenseknek a bejelentése megterhelő lenne, és gátolná a válaszlépések hatékonyságát. Ez a bejelentésekkel foglalkozó hatóság hatékonyságát is ronthatná, aláásva a bejelentési rendszerbe vetett bizalmat és a tényleges incidensek esetén történő fellépés képességét.
- A kiberbiztonsági intézkedéseknek meg kell felelniük a szervezet méretéből fakadó, a szervezetre jellemző kiberbiztonsági kockázatoknak. A felügyeletnek és a végrehajtásnak ezért arányosnak kell lennie.
A pénzbírságok és büntetőintézkedések elengedhetetlenek ahhoz, hogy a NIS2 hatékony legyen, de az Európai Parlament úgy véli, hogy a jogalkotóknak hangsúlyozniuk kellene, a fokozatosság elvét és csak az ismételt figyelmeztetések figyelmen kívül hagyása után kell a felsővezetésnek felkészülnie arra, hogy közvetlen szankciókkal szembesüljön. Az adott esetben akár több szabályozás hatálya alá is eső szervezetek esetében fontos a kettős felügyelet megakadályozása ágazatspecifikus jogszabályok révén. Ilyen ágazatspecifikus jogszabály például a pénzügyi ágazat digitális működési rezilienciájáról szóló rendelet (angol rövidítése: DORA, azaz Digital Operational Resilience Act).
- Az Európai Parlament minden tagállamot arra ösztönöz, hogy dolgozzon ki egy aktív kibervédelemre vonatkozó nemzeti kiberbiztonsági stratégiát is.
Az ismeretek puszta passzív megosztása nem elegendő, a polgárok és a szervezetek aktív hozzáállást várnak el kormányaiktól a kiberbiztonság védelmében. A tagállamoknak képesnek kell lenniük a kiberbiztonsági támadások meghiúsítására és megelőzésére.
- Az Európai Parlament rendkívül fontosnak tartja az elektronikus kommunikációs hálózatok és szolgáltatások általános biztonságának megerősítését és az internet integritásának javítását.
A magánélet védelmére és a biztonságra fokozottan összpontosító európai DNS-feloldók, valamint az internetes gerinchálózatok és a tenger alatti kommunikációs kábelek fizikai védelme nagymértékben támogatandó az Európai Parlament szerint.
- A számítógép-biztonsági eseményekre reagáló csoportokra (CSIRT) vonatkozó kötelezettségek
A CSIRTeknek (azaz a kiberbiztonsági események kezeléséért felelős szerveknek) a hatáskörük bővítésével fel kell készülniük arra, hogy skálázható és automatizált megoldásokat kínáljanak a sebezhetőségek összehangolt közzétételének, az incidensek jelentésének és a fenyegetésekkel kapcsolatos információk gyors és biztonságos terjesztésére. A NIS2 minden rendelkezésének előfeltétele, hogy a CSIRT-ek és a vállalatok számára (például a bejelentési kötelezettséggel vagy a kiberbiztonsági információmegosztási megállapodásokkal) jogalapot biztosítsanak az adatok megosztására ügyfeleikkel, társaikkal és hatóságaikkal az EU-ban és azon kívül egyaránt.
- Európai sebezhetőségi adatbázis
Az Európai Parlament úgy véli, hogy egy európai sebezhetőségi adatbázist kellene előnyben részesíteni a Bizottság által javasolt nyilvántartással szemben. (Az eredeti javaslat szerint az ENISA kidolgozza és fenntartja az európai biztonságirés-nyilvántartást.) Az európai adatbázisnak az Európai Parlament ugyanakkor az amerikai CVE-nyilvántartást kellene felhasználnia; ez egy világszerte használt, a nyilvánosság számára ismert, nemzetközi szintű, a kiberbiztonságot érintő sebezhetőségek nyilvántartását tartalmazó lista.
Összességében az Európai Parlament egyetért a Bizottsággal abban, hogy a NIS2 Irányelv megalkotása szükséges a belső piac és a kiberbiztonság további harmonizációja érdekében.
A NIS2 Tervezet a rendes jogalkotási eljárás keretében folytatódik, azaz az Európai Parlament első olvasatban elfogadott álláspontját továbbítja a Tanácsnak. Ha a Tanács az Európai Parlament álláspontjával egyetért, a javasolt jogi aktust az Európai Parlament álláspontjának megfelelő szövegezéssel elfogadottnak kell tekinteni; ha nem ért egyet a javaslattal, a Tanács elfogadja saját álláspontját és azt közli az Európai Parlamenttel.
A jogalkotási eljárás fejleményeiről a továbbiakban is beszámolunk!