A kibertér – az összekapcsolt információs rendszerek és a rajtuk áramló digitális adattartalom – államilag még nem szabályozott, így az Európai Unió szükségét érezte, hogy az általános adatvédelmi és adatbiztonsági szabályokon túl a hálózati és információs rendszerek fokozott védelme is erősödjön a tagállamokban. Milyen kötelezettségeket ír elő a szolgáltatóknak az egy éve hatályba lépett uniós kiberbiztonsági irányelv, az úgynevezett NIS direktíva?
Kibertámadásnak ma már bárki áldozatául eshet, mivel a társadalmi kapcsolatok jelentős hányada a 21. században a kibertérben zajlik: hazánkban közel 3 millió Facebook, Instagram és Twitter felhasználó van, akik a társadalmi életükön felül gazdasági tevékenységet is bonyolítanak le nap, mint nap okos-eszközeiken. Mivel a kibertér – tehát az összekapcsolt információs rendszerek és a rajtuk áramló digitális adattartalom – államilag nem szabályozott, az Európai Unió szükségét érezte, hogy az általános adatvédelmi és adatbiztonsági szabályokon túlmenően a hálózati és információs rendszerek fokozott védelmének szabályozása is előtérbe kerüljön a tagállamokban.
Bizonyos felhasználó-csoportok fokozottan ki vannak téve a kibertámadás veszélyeinek. Az Amnesty International világszerte több mint 7 millió aktivista jogvédő globális mozgalma, mely az emberi jogok védelmét hivatott előtérbe helyezni. Számos kampánytevékenység fűződik a szervezet nevéhez, melyben a – politikai, gazdasági, vallásos érdekektől való függetlenség jegyében – korlátok nélküli jogérvényesülés a cél. Tevékenységük gyakran célkeresztbe kerül, a világ számos országa támadja aktivista, jogvédő törekvéseiket. Danna Ingleton, az Amensty Tech igazgatóhelyetesse az elmúlt napokban „Whatsapp sztori” címmel kívánt hangot adni annak, hogy a kibertérben miért nincs senki biztonságban: tavaly júniusban egy amnesty aktivista whatsapp üzenetben ismeretlen számról kapott üzenetet, melyekben egy szélsőséges politikai tüntetésről voltak információk. Utólagos vizsgálat során kiderült, hogy a linkre kattintva egy kémprogram – azaz spyware – aktiválódása a telefon teljes tartalmának hozzáférhetőségét biztosította volna – blokkolva ezzel a jogvédő szervezet biztonságát és tevékenységét.
Ezek a kibertámadás előidézésére alkalmas kémprogramok nemzetközi szoftvergyártók tulajdonában állnak és a világkereskedelem tárgyát képezik. Az egyre nagyobb volumenben szélesedő kibertér fokozott veszélyeknek van kitéve, mely által kormányzati rendszerek adattartalma is hozzáférhetővé válik – milliárdos károkat okozva ezzel globális szinten. Egyre nagyobb teret nyernek a magán-titkosszolgálati tevékenységek is, melyek számára a szoftverfejlesztők előszeretettel értékesítik e kémprogramokat. Az átláthatatlan és korlátlan terjedésű kémprogramok okozta károk megelőzése érdekében tagállami szinten szabályozandó a hálózati és információs rendszerek biztonsága.
A hálózati és információs rendszerek biztonságának az egész Unióban egységesen magas szintjét biztosító intézkedésekről szóló 2016/1148 irányelv (a továbbiakban: Irányelv) szerint az alapvető szolgáltatásokat nyújtó szereplők kötelesek a megfelelő védelmi szint kiépítésére az esetleges kibertámadások által bekövetkezendő kockázatok kezeléséhez. Az ezen szolgáltatók (energia, közlekedés, banki szolgáltatások, pénzügyi piaci struktúrák, egészségügy, ivóvízellátás és –elosztás, digitális infrastruktúra) azonosítására vonatkozó kritériumokat az Irányelv az alábbiak szerint határozza meg:
- a szervezet a kritikus társadalmi és/vagy gazdasági tevékenységek fenntartásához alapvető szolgáltatást nyújt;
- az adott szolgáltatás nyújtása hálózati és információs rendszerektől függ; és
- az említett szolgáltatást érintő biztonsági esemény jelentős zavart okozna a szolgáltatás nyújtásában.
A hálózati és információs rendszerek tekintetében az említett intézkedéseknek, a felmerülő kockázatnak megfelelő biztonsági szintet kell biztosítaniuk – szem előtt tartva a rendszerek és a létesítmények biztonságát, a biztonsági események kezelését, az üzletmenetfolytonosság-menedzsment szempontjait, a monitoring, ellenőrzés és vizsgálati tevékenységet, valamint a nemzetközi szabványoknak való megfelelést. A tagállamoknak kötelessége a kibertér biztonságának erősítése és tudatosítása szempontjából megtenni a szükséges infrastukturális fejlesztéseket, melynek elmaradása számos kockázatot rejt magában. Az Irányelv olyan szankciórendszer kiépítését várja el nemzeti szinten, amelynek hatékonynak, arányosnak és visszatartó erejűnek kell lennie. Az esetleges kibertámadás – akárcsak az adatvédelmi incidens esetén – tényét a szolgáltató köteles jelenteni az illetékes hatóságokhoz. Az észlelés hiánya és bejelentés elmaradása okán kiszabott bírságok milliós nagyságrendűek lehetnek.