Az uniós kiberbiztonsági jogszabály

FŐBB PONTOK

Az ENISA megbízatása a következőket foglalja magában:

• egységesen magas szintű kiberbiztonság elérése az egész Unióban;
• a nemzeti hatóságok és uniós intézmények, szervek, hivatalok és ügynökségek támogatása a kiberbiztonság javítása terén;
• a kiberbiztonsággal kapcsolatos tudományos és műszaki tanácsadás és szakértelem referenciapontjaként szolgálni az uniós intézmények, szervek, hivatalok és ügynökségek, valamint egyéb uniós érdekelt felek számára;
• hozzájárulni a belső piac széttagoltságának csökkentéséhez;
• függetlenül eljárni, elkerülni a tagállamok tevékenységeivel való párhuzamosságokat és figyelembe venni a nemzeti szakértelmet;
• kiépíteni a saját technikai, humán és szakértelemmel kapcsolatos erőforrásait.

Az ENISA feladatai a következők:

• az uniós szakpolitikák és jog kidolgozása és végrehajtása;
• támogatja a kapacitásépítést, például a kiberfenyegetések¹ jobb megelőzése, észlelése, elemzése és az azokra való jobb reagálás, valamint a nemzeti számítógép-biztonsági eseményekre reagáló csoportok (CSIRT-ek) fejlesztésének segítése vagy uniós szintű kiberbiztonsági gyakorlatok szervezése révén;
• az összes érintett érdekelt fél, köztük az uniós intézmények, szervek és hivatalok hálózatbiztonsági vészhelyzeteket elhárító csoportja (CERT-EU) közötti uniós operatív együttműködés támogatása, különösen a know-how és a bevált gyakorlatok megosztása, releváns iránymutatások kiadása, valamint az uniós és a nemzeti CSIRT-ek hálózatának kiszolgálása révén;
• az IKT-termékek, IKT-szolgáltatások, IKT-folyamatok és -irányítású biztonsági szolgáltatások uniós kiberbiztonsági tanúsítása kidolgozásának és végrehajtásának támogatása és előmozdítása az új európai kiberbiztonsági tanúsítási keretrendszer keretében a rendszerek előkészítése terén betöltött szerepének részeként;
• a kiberbiztonsággal – főként a kialakulóban lévő új technológiákkal, a kiberbiztonsági fenyegetésekkel és eseményekkel – kapcsolatos ismeretek és információk összegyűjtése és elemzése a nemzeti hatóságok és a releváns érdekelt felek, valamint egy erre a célra kialakított portálon keresztül a nyilvánosság (polgárok, szervezetek és vállalkozások) tájékoztatása és a számukra történő tanácsadás céljából;
• a közvélemény kiberbiztonsági kockázatokkal kapcsolatos tudatosságának növelése, és iránymutatás nyújtása a bevált gyakorlatokról az egyéni felhasználók számára, továbbá a kiberbiztonsággal kapcsolatos tudatosság és oktatás általános előmozdítása;
• a kutatási szükségletekre és prioritásokra vonatkozó tanácsadás, továbbá hozzájárulás a kiberbiztonság területén az uniós szintű stratégiai kutatáshoz és innovációhoz;
• a kiberbiztonsággal kapcsolatos kérdésekre vonatkozó együttműködés elősegítése a nemzetközi partnerekkel és szervezetekkel.

Az ENISA igazgatási és irányítási struktúrája a következőkből áll:

• Az igazgatótanács – tagállamonként egy képviselőből és az Európai Bizottság által kijelölt két tagból áll, amely meghatározza az ügynökség működésének általános irányát, és biztosítja, hogy az ügynökség olyan feltételek mellett végezze tevékenységét, amelyek lehetővé teszik az alapító rendelettel összhangban történő szolgálatot.
• Az Igazgatóság, amely öt tagból áll, előkészíti az igazgatótanács által elfogadandó határozatokat.
• A független ügyvezető igazgató, aki a tevékenységéért az igazgatótanácsnak tartozik felelősséggel, és feladatai teljesítéséről beszámol az Európai Parlamentnek és az Európai Unió Tanácsának, ha erre felkérik, és aki az Ügynökség működtetéséért felel.
• Az érintett érdekelt felek, például az IKT-ipar, az elektronikus hírközlő hálózatok szolgáltatói vagy szolgáltatások nyújtói, a kis- és középvállalkozások, a fogyasztók, a tudományos élet képviselői és az alapvető szolgáltatások működtetői, valamint az illetékes hatóságoknak az Európai Elektronikus Hírközlési Kódex keretében bejelentett képviselőiből álló ENISA tanácsadó csoport, a szabványügyi szervezetek, a bűnüldözési szervek és az adatvédelmi felügyeleti hatóságok, amelyek az érdekelt felek szempontjából releváns kérdésekre összpontosítanak, és felhívják az ENISA figyelmét a kérdésre.
• A nemzeti kapcsolattartó tisztviselők hálózata, amely valamennyi tagállam képviselőiből áll, megkönnyíti az ENISA és a tagállamok közötti információcserét, és támogatja az ENISA-t abban, hogy széles körben terjessze a tevékenységeivel, a megállapításaival és az ajánlásaival kapcsolatos információkat.

A rendelet létrehozza a következőket:

• az elismert szakértőkből álló érdekelt felek kiberbiztonsági tanúsítási csoportja, amelynek többek között az a célja, hogy tanácsot adjon a Bizottságnak az EU kiberbiztonsági tanúsítási keretrendszerével kapcsolatos stratégiai kérdésekben, és kérésre az ENISA-nak az ügynökség releváns feladataival kapcsolatos általános és stratégiai kérdésekben;
• A nemzeti képviselőkből álló európai kiberbiztonsági tanúsítási csoport (ECCG), amelynek célja, hogy tanácsokat adjon és segítséget nyújtson a Bizottságnak a jogi aktus következetes végrehajtására és alkalmazására irányuló munkájával, valamint az ENISA-nak a javasolt kiberbiztonsági tanúsítási rendszerek kidolgozásával kapcsolatban.

Az ENISA:

• 2019. június 27-től határozatlan időtartamra jön létre;
• egységes programozási dokumentum alapján működik, amely tartalmazza az éves és többéves programozást;
• betartja az Európai Bizottságnak a nem minősített érzékeny adatok és az EU-minősített adatok védelmére vonatkozó biztonsági szabályait;
• nem adhatja tovább harmadik felek részére az általa kezelt vagy hozzá beérkezett bizalmas információkat;
• teljes mértékben részt vesz a csalás, korrupció és más jogellenes tevékenységek elleni küzdelmet szolgáló uniós intézkedésekben;
• a személyes adatokat a vonatkozó uniós szabályokkal összhangban kezeli.

A rendelet létrehozza az európai kiberbiztonsági tanúsítási keretrendszert annak érdekében, hogy:

• javítsa a belső piac működését a kiberbiztonság szintjének EU-n belüli javítása és az európai kiberbiztonsági tanúsítási rendszerekre vonatkozó, uniós szinten összehangolt megközelítés lehetővé tétele útján, az IKT-termékek, -szolgáltatások és -folyamatok digitális egységes piacának létrehozása céljából;
• meghatározzon egy mechanizmust olyan tanúsítási rendszerek létrehozására, amelyek igazolják, hogy az e rendszerekkel összhangban értékelt IKT-termékek, -szolgáltatások és -folyamatok megfelelnek adott biztonsági követelményeknek, az e termékek, szolgáltatások és folyamatok által tárolt vagy továbbított vagy kezelt adatok, vagy az általuk ellátott funkciók vagy kínált szolgáltatások rendelkezésre állásának, hitelességének, sértetlenségének vagy titkosságának azok teljes életciklusa alatti védelme céljából.

A keretrendszer értelmében:

• a Bizottság:
  • közzéteszi az európai kiberbiztonsági tanúsítási rendszerekre vonatkozó uniós gördülő munkaprogramot, amelyben meghatározza a stratégiai prioritásokat és azokat az IKT-termékeket, IKT-szolgáltatásokat, IKT-folyamatokat és IKT-szolgáltatásokat vagy -kategóriákat, amelyek a rendszer hatálya alá vonhatók;
  • kérheti, hogy az ENISA dolgozzon ki egy javasolt kiberbiztonsági tanúsítási rendszert, vagy vizsgáljon felül egy létező rendszert;
• Az ENISA:
  • megfelelő tervezeteket készít a Bizottság vagy az európai kiberbiztonsági tanúsítási csoport felkérésére,
  • ötévente értékel minden egyes elfogadott tanúsítási rendszert, a kapott visszajelzések figyelembevételével,
  • külön honlapot tart fenn, amely információkat nyújt a rendszerekről, tanúsítványokról és megfelelőségi nyilatkozatokról.

Az önkéntes európai kiberbiztonsági tanúsítási rendszerek:

• célja különböző biztonsági célkitűzések elérése, például a tárolt, továbbított vagy kezelt adatok védelme;
• megjelölik az IKT-termékek, -szolgáltatások és -folyamatok biztonsági szintjét alap, jelentős vagy magas minősítéssel;
• lehetővé teszik az alacsony kockázatot (azaz alap) jelentő IKT-termékek gyártói és szolgáltatói számára, hogy ezeket saját maguk értékeljék (megfelelőségi önértékelés);
• kötelezően tartalmaznak bizonyos elemeket, például a cél, a tárgy és a hatály, valamint az alkalmazott értékelési kritériumok és módszerek egyértelmű leírását;
• felváltják a hasonló nemzeti rendszereket, bár azok tanúsítványai lejáratukig érvényesek maradnak.

A tanúsított IKT-termékek, IKT-szolgáltatások, IKT-folyamatok és irányított biztonsági szolgáltatások gyártóinak vagy nyújtóinak nyilvánosan elérhetővé kell tenniük a következőket:

• a végfelhasználóknak a termékek vagy szolgáltatások telepítésében, üzemeltetésében és karbantartásában segítséget nyújtó iránymutatások és ajánlások;
• információk arról, hogy milyen időtartamra nyújtanak biztonsági támogatást;
• elérhetőségi adataik;
• a termékeiket vagy szolgáltatásaikat érintő, ismert kiberbiztonsági problémákkal kapcsolatos információkat tartalmazó online adatbankokra mutató hivatkozások.

A tagállamok egy vagy több nemzeti kiberbiztonsági tanúsító hatóságot jelölnek ki, amelyek elegendő erőforrással és hatáskörrel rendelkeznek az európai kiberbiztonsági tanúsítási rendszerek szabályainak nyomon követésére, felügyeletére és végrehajtására.

A Bizottság:

• rendszeresen értékeli az elfogadott tanúsítási rendszerek hatékonyságát és alkalmazását, és mérlegeli, hogy valamely rendszert kötelezővé kell-e tenni;
• az első részletes értékelést 2023. december 31-ig kellett elvégezze, az ezt követőeket pedig kétévente;
• 2024. június 28-ig értékelte, majd azt követően ötévente kell értékelnie az ENISA hatását, eredményességét és hatékonyságát.

A természetes és a jogi személyeknek joguk van panaszt benyújtani az európai kiberbiztonsági tanúsítvány kibocsátójánál és hatékony bírósági jogorvoslatot igénybe venni.

Módosítás – irányított biztonsági szolgáltatások

2024 decemberében elfogadták a rendeletet az irányított biztonsági szolgáltatások tekintetében módosító (EU) 2025/37 rendeletet. Ez a célzott módosítás bevezeti az irányított biztonsági szolgáltatások meghatározását, valamint kiterjeszti az európai kiberbiztonsági tanúsítási keretrendszer hatályát többek között az irányított biztonsági szolgáltatások tekintetében. Következésképpen az ENISA megbízatását és feladatait is kiterjeszti az irányított biztonsági szolgáltatásokra.

Az (EU) 2025/37 rendeletet a Hivatalos Lapban 2025. január 15 -én tették közzé, és 2025. február 4-től alkalmazandó.

A megfelelőségértékelő szervezetek értesítései

2024 decemberében a Bizottság elfogadta az (EU) 2024/3143 végrehajtási rendeletet a kiberbiztonsági jogszabály 61(5). cikke szerinti értesítések tekintetében. A végrehajtási jogi aktus meghatározza a megfelelőségértékelő szervezeteknek az európai kiberbiztonsági tanúsítási rendszereken keresztül történő bejelentéseinek feltételeit, módszereit és eljárásait a bejelentett és kijelölt szervezetek (NANDO) információs rendszerével. A rendelet tisztázza továbbá azokat a körülményeket, amelyek esetén módosítani kell a bejelentést, és amelynek alapján a bejelentett megfelelőségértékelő szervezetek megtámadhatók.

A 2024/3143 végrehajtási rendeletet a Hivatalos Lapban 2024. december 19-én tették közzé, és az 2025. január 8. óta hatályos.

A közös kritériumokon alapuló európai kiberbiztonsági tanúsítási rendszer (EUCC)

2024 januárjában a Bizottság elfogadta az (EU) 2024/482 végrehajtási rendeletet (lásd az összefoglalót). Ez a jogi aktus szabályokat állapít meg az (EU) 2019/881 rendelet alkalmazására vonatkozóan a közös kritériumokon alapuló európai kiberbiztonsági tanúsítási rendszer (EUCC) elfogadása tekintetében. Ez az első uniós szintű rendszer és a „jelentős” vagy a „magas” megbízhatósági szintű tanúsítványokra vonatkozik olyan IKT termékek tekintetében, mint a hardverek és szoftverek, beleértve a chipekhez és intelligens kártyákhoz hasonló összetevőket is. A rendelet részletes szabályokat határoz meg többek között a következő szempontokkal kapcsolatban:

• a termékek és védelmi profilok EUCC-tanúsítványainak értékelésére, valamint kiállítására, megújítására és visszavonására vonatkozó egyedi szabványok és követelmények;
• a tanúsítványok kibocsátására vagy értékelési tevékenységek végzésére akkreditált megfelelőségértékelő szervezetek;
• a megfelelőség ellenőrzése és a meg nem felelés;
• sebezhetőségkezelés és közzétételi eljárás;
• a nyilvántartások megőrzése, az információk közzététele és védelme;
• kölcsönös elismerési megállapodások nem uniós országokkal;
• a tanúsító szervek szakértői értékelése;
• a rendszer karbantartása; valamint
• az EUCC hatálya alá tartozó nemzeti kiberbiztonsági tanúsítási rendszerek.

Az EUKK végrehajtási rendelet 2025. február 27. óta hatályos.

Az (EU) 2019/881 rendelet és annak kapcsolódó végrehajtási rendelete nem érintik a tagállamok közbiztonsággal, védelemmel, nemzetbiztonsággal kapcsolatos vagy büntetőjogi felelősségét.

A rendelet 2019. június 27-től hatályon kívül helyezi az 526/2013/EK rendeletet.