EUR-Lex Access to European Union law
This document is an excerpt from the EUR-Lex website
Document 52019DC0546
REPORT FROM THE COMMISSION TO THE EUROPEAN PARLIAMENT AND THE COUNCIL assessing the consistency of the approaches taken by Member States in the identification of operators of essential services in accordance with Article 23(1) of Directive 2016/1148/EU on security of network and information systems
A BIZOTTSÁG JELENTÉSE AZ EURÓPAI PARLAMENTNEK ÉS A TANÁCSNAK a tagállamok által az alapvető szolgáltatásokat nyújtó szereplők azonosítása során alkalmazott megközelítések következetességének a hálózati és információs rendszerek biztonságáról szóló (EU) 2016/1148 irányelv 23. cikkének (1) bekezdésével összhangban történő értékeléséről
A BIZOTTSÁG JELENTÉSE AZ EURÓPAI PARLAMENTNEK ÉS A TANÁCSNAK a tagállamok által az alapvető szolgáltatásokat nyújtó szereplők azonosítása során alkalmazott megközelítések következetességének a hálózati és információs rendszerek biztonságáról szóló (EU) 2016/1148 irányelv 23. cikkének (1) bekezdésével összhangban történő értékeléséről
COM/2019/546 final
EURÓPAI BIZOTTSÁG
Brüsszel, 2019.10.28.
COM(2019) 546 final
A BIZOTTSÁG JELENTÉSE AZ EURÓPAI PARLAMENTNEK ÉS A TANÁCSNAK
a tagállamok által az alapvető szolgáltatásokat nyújtó szereplők azonosítása során alkalmazott megközelítések következetességének a hálózati és információs rendszerek biztonságáról szóló (EU) 2016/1148 irányelv 23. cikkének (1) bekezdésével összhangban történő értékeléséről
1.Bevezetés
A hálózati és információs rendszerek biztonságának az egész Unióban egységesen magas szintjét biztosító intézkedésekről szóló (EU) 2016/1148 irányelv 1 (a továbbiakban: kiberbiztonsági irányelv) az első olyan belső piaci eszköz, amelynek célja az Unió kiberbiztonsági kockázatokkal szembeni ellenálló képességének javítása. Az Európai Unió működéséről szóló szerződés 114. cikke alapján az irányelv célja a szolgáltatások folytonosságának biztosítása, lehetővé téve ezáltal az uniós gazdaság és társadalom megfelelő működését. Ennek érdekében az irányelv a kiberbiztonsági képességek uniós szintű kiépítését és a kulcsfontosságú ágazatokban az alapvető szolgáltatások nyújtásához használt hálózati és információs rendszereket érintő növekvő fenyegetések mérséklését szolgáló konkrét intézkedéseket vezet be.
Az irányelv 2016. augusztusi hatálybalépését követően a tagállamoknak 2018. május 9-ig 2 kellett elfogadniuk a kiberbiztonsági irányelv rendelkezéseinek való megfeleléshez szükséges nemzeti intézkedéseket. Az irányelv az 5. cikk szerint „alapvető szolgáltatásokat nyújtó szereplőként” meghatározott, alapvető szolgáltatásokat nyújtó vállalatok és egyéb szervezetek körében előmozdítja a kockázatkezelés kultúráját. Az irányelv hatálya alá tartozó szereplők kötelesek megfelelő és arányos műszaki és szervezeti intézkedéseket hozni a hálózati és információs rendszereik biztonságát érintő kockázatok kezelésére, valamint az illetékes hatóságoknak bejelentést tenni a súlyos eseményekről.
A társjogalkotók a kiberbiztonsági irányelv végrehajtásával a tagállamokat bízták meg, így az ő feladatuk, hogy a saját területükön meghatározzák az alapvető szolgáltatásokat és azonosítsák az alapvető szolgáltatásokat nyújtó szereplőket. Ennélfogva az irányelv 5. cikkének (7) bekezdése értelmében a tagállamok kötelesek jelentést tenni a Bizottságnak az említett azonosítás eredményeiről. Az összehangolt jelentéstétel lehetővé tétele érdekében a Bizottság 3 és az irányelv által létrehozott együttműködési csoport 4 egyaránt iránymutatással szolgál a tagállamok számára az azonosítási eljárás tekintetében.
Ez a jelentés a 23. cikk (1) bekezdésével összhangban értékeli a tagállamok által az alapvető szolgáltatásokat nyújtó szereplők azonosítása során alkalmazott megközelítések következetességét. Mivel az alapvető szolgáltatásokat nyújtó szereplők következetes azonosítása és a belső piac e területen való széttöredezésének kockázata szorosan összekapcsolódik, e jelentést a kiberbiztonsági irányelvnek a 23. cikk (2) bekezdésében említett átfogóbb értékelése során is figyelembe fogják venni, amely bekezdés értelmében a Bizottságnak rendszeresen felül kell vizsgálnia ezen irányelv működését, továbbá értékelnie kell az alapvető szolgáltatásokat nyújtó szereplők azonosítása által érintett ágazatok és alágazatok, valamint az irányelv hatálya alá tartozó digitális szolgáltatástípusok jegyzékét. Az első ilyen jelentéseket 2021. május 9-ig kell benyújtani.
1.1A jelentés célja
Tekintve, hogy az alapvető szolgáltatásokat nyújtó szereplők a gazdaság és a társadalom egésze szempontjából fontos szerepet játszanak, e szereplőknek a kiberbiztonsági eseményekkel szemben különösen nagy fokú ellenálló képességről kell tanúskodniuk. Ebből a szempontból több okból kifolyólag is fontos, hogy a tagállamok az alapvető szolgáltatásokat nyújtó szereplők azonosítása során egységes megközelítést alkalmazzanak:
1.A határokon átnyúló függőségekhez kapcsolódó kockázatok csökkentése:
Amennyiben nem azonosítják egységesen a határokon átnyúló szolgáltatásokat nyújtó fontos szereplőket, ez a különböző tagállamokban eltérő mértékű kiberrezilienciához vezethet, ami növeli annak a kockázatát, hogy a határokon átnyúló biztonsági események kárt okoznak a kritikus infrastruktúrákban vagy polgárok halálát okozzák 5 . Például az energetikai átvitelirendszer-irányítók vagy a legfelső szintű doménnév-nyilvántartók, amelyek mindegyike szerepel a II. mellékletben található, a szervezetek típusait tartalmazó jegyzékben, olyan szervezetek, amelyek teljes körűen kihasználják a belső piacot azáltal, hogy határokon átnyúló szolgáltatásokat nyújtanak a fogyasztóknak és a vállalkozásoknak. Ennélfogva az ilyen szolgáltatók Unió-szerte következetes azonosítása a belső piac egészében segíthet megelőzni a kiberfenyegetések terjedését 6 .
2.Egyenlő versenyfeltételek garantálása a belső piacon működő szereplők számára:
A kiberbiztonsági irányelv értelmében a tagállamoknak az alapvető szolgáltatásokat nyújtó szereplőkre vonatkozó biztonsági követelményeket és a biztonsági események bejelentésére szolgáló eljárásokat kell meghatározniuk. Mivel az irányelv az alapvető szolgáltatásokat nyújtó szereplők vonatkozásában minimális harmonizációs megközelítést követ, a tagállamok az irányelvben előírtnál szigorúbb követelményeket támaszthatnak a szereplőkkel szemben. A tagállamok ellenálló képességének növelése mellett az ilyen intézkedések további szabályozási költségeket róhatnak az érintett szereplőkre. Éppen ezért fontos, hogy az ugyanolyan jelentőségű, hasonló szolgáltatásokat nyújtó szereplőkre hasonló szabályozás vonatkozzon.
3.Az irányelv eltérő értelmezésével kapcsolatos kockázatok csökkentése:
Az irányelvet úgy dolgozták ki, hogy a nemzeti sajátosságok figyelembevétele érdekében mozgásteret biztosítson a tagállamok számára az érintett szervezetek kiválasztásakor. Ugyanakkor ez a megközelítés fokozza annak kockázatát, hogy eltérően hajtják végre az irányelv rendelkezéseit, és a tagállamok által elfogadott intézkedések terén következetlenségekhez vezethet. Ez különösen fontos azon vállalatok esetében, amelyek több országban tevékenykednek, és amelyeknek ennélfogva egynél több tagállam szabályozási követelményeinek kell eleget tenniük.
4.A kiberreziliencia szintje egész EU-ra kiterjedő átfogó áttekintésének kialakítása:
Az alapvető szolgáltatásokat nyújtó szereplők esetében felügyeleti tevékenységeket kell végezni azzal a céllal, hogy ellenőrizzék a biztonsági politikák hatékony végrehajtását és a jelentős biztonsági események bejelentését. A felügyelet elősegíti a köz- és magánszféra közötti szorosabb együttműködést, és ennek eredményeként közös tudás jön létre a tagállamon belüli kiberbiztonsági felkészültségről. Az együttműködési csoportnak köszönhetően a megosztott nemzeti tapasztalatok, köztük a bejelentett eseményekkel kapcsolatos információk 7 uniós szinten összesíthetők, ami lehetővé teszi a fő fenyegetések és igények pontosabb értékelését. A hatékonyság biztosítása érdekében azonban az ilyen információmegosztási gyakorlatoknak közös felfogáson kell alapulniuk azt illetően, hogy mely szerveztek minősülnek alapvető szolgáltatásokat nyújtó szereplőnek.
1.2A kiberbiztonsági irányelv szerinti azonosítási eljárás
A kiberbiztonsági irányelv a II. mellékletében felsorolja az azonosítási eljárás szempontjából releváns hét ágazatot és azok vonatkozó alágazatait, valamint a szervezettípusokat ( Table 1 ). Az 5. cikk (3) bekezdése értelmében a tagállamok az említett ágazatok, alágazatok és szervezettípusok alapján kötelesek összeállítani az alapvető szolgáltatások jegyzékét. Az irányelvben foglalt minimális harmonizációs megközelítés lehetővé teszi a tagállamok számára, hogy a II. melléklet alkalmazási körén túllépve további ágazatokban és alágazatokban is végezzenek azonosítást.
|
Ágazat |
Alágazat |
|
1. Energia |
a) Villamos energia |
|
b) Kőolaj |
|
|
c) Földgáz |
|
|
2. Közlekedés |
a) Légi közlekedés |
|
b) Vasúti közlekedés |
|
|
c) Vízi közlekedés |
|
|
d) Közúti közlekedés |
|
|
3. Banki szolgáltatások |
|
|
4. Pénzügyi piaci infrastruktúrák |
|
|
5. Egészségügy |
|
|
6. Ivóvízellátás és -elosztás |
|
|
7. Digitális infrastruktúra |
|
1. táblázat: A kiberbiztonsági irányelv II. mellékletében felsorolt ágazatok és alágazatok
Az 5. cikk (2) bekezdése három kritériumot határoz meg, amelyet a tagállamoknak az alapvető szolgáltatásokat nyújtó szereplők azonosítása során kell alkalmazniuk:
1.A szóban forgó szervezetnek a kritikus társadalmi és/vagy gazdasági tevékenységek fenntartásához alapvető szolgáltatást kell nyújtania. Az illetékes nemzeti hatóságoknak e célból figyelembe kell venniük az általuk korábban összeállított, alapvető szolgáltatásokat tartalmazó jegyzékeket.
2.A nyújtott szolgáltatásnak a hálózati és információs rendszerektől kell függnie.
3.A biztonsági eseménynek jelentős zavart kell okoznia az érintett szolgáltatás nyújtásában. A 6. cikk előírja, hogy a biztonsági esemény jelentőségét ágazatközi, valamint adott esetben ágazatspecifikus tényezők 8 figyelembevételével kell értékelni.
Ezenkívül az irányelv 5. cikkének (4) bekezdése értelmében a tagállamoknak egyeztetniük kell egymással, ha arra a megállapításra jutnak, hogy az esetleges alapvető szolgáltatásokat nyújtó szereplő egynél több tagállamban nyújt szolgáltatásokat. E kötelező eljárás arra szolgál, hogy segítse a tagállamokat a határokon átnyúlóan működő szervezeteket érintő kiberbiztonsági események lehetséges hatásainak értékelésében, valamint biztosítékként szolgál azon vállalatok számára, amelyeket az eljárás különböző tagállamokban is érint.
1.3A jelentésben alkalmazott módszerek
A jelentés eredményei a 2018 novembere és 2019 szeptembere között végzett értékelésen alapulnak. Sok tagállam nem bocsátotta időben a Bizottság rendelkezésére a jelenlegi jelentés kidolgozásához szükséges információkat. A jelentés elfogadását ezért el kellett halasztani a kiberbiztonsági irányelv 23. cikkének (1) bekezdésében előirányzott 2019. május 9-i időpont utánra. Az adatokat több csatornán keresztül gyűjtötték: a tagállamok által benyújtott információk, melyek az ENISA által készített szabványos űrlapokon alapulnak, a kiválasztott nemzeti hatóságokkal készített szabványos interjúk és az együttműködési csoport ülései, többek között az ezzel kapcsolatban 2019. március 19-én tartott műhelytalálkozó.
A jelentés az összegyűjtött információk alapján a következő módon értékeli, hogy mennyire állnak összhangban egymással a tagállami azonosítási megközelítések:
1.összehasonlítja a nemzeti hatóságok által választott különböző azonosítási módszereket,
2.megvizsgálja az alapvető szolgáltatások jegyzékét és a tagállamok által választott küszöbértékeket,
3.elemzést végez az egyes tagállamokon belül az alapvető szolgáltatásokat nyújtó szereplők számát illetően.
A jelentés azt is értékeli, hogyan hajtották végre az irányelvnek a határokon átnyúló egyeztetési eljárással (5. cikk (4) bekezdés) és a lex specialis elvvel (1. cikk (7) bekezdés) kapcsolatos rendelkezéseit. A jelentés tényszerűen elemzi a tagállamok által folytatott azonosítási eljárást, amit további mérlegelés céljából előzetes következtetésekkel és megválaszolandó kérdésekkel egészít ki.
1.4Az adatok elérhetősége
A kiberbiztonsági irányelv rendelkezései értelmében a tagállamoknak csak korlátozott mennyiségű adatot kell a Bizottság rendelkezésére bocsátaniuk. Például a nemzeti hatóságok nem kötelesek megadni az azonosított szereplők nevét, ami megnehezíti a Bizottság szolgálatai számára, hogy összehasonlítsák az azonosítási eljárás eredményeit a jegyzék teljessége, valamint az ugyanolyan méretű és ugyanazon ágazathoz tartozó vállalatokra gyakorolt hatások szempontjából.
Az 5. cikk (7) bekezdése értelmében minden tagállamnak legkésőbb 2018. november 9-ig kellett rendelkezésre bocsátaniuk az e jelentéshez szükséges információkat. Az említett időpontig azonban csak 15 ország nyújtotta be hiteles adatokat (lásd a 4.1. szakaszban csatolt táblázatot). Az adathiány a Bizottság többszöri felhívását követően is jelentős maradt. A Bizottság ezért 2019. július 26-án felszólító levelet küldött 6 tagállamnak 9 , amelyben arra kérte őket, hogy két hónapon belül nyújtsák be a hiányzó adatokat.
E jelentés közzétételének időpontjában 23 tagállam nyújtotta be az 5. cikk (7) bekezdésében előírt összes adatot: Bulgária, Ciprus, Csehország, Németország, Dánia, Észtország, Görögország, Spanyolország, Finnország, Franciaország, Horvátország, Írország, Olaszország, Litvánia, Luxemburg, Lettország, Málta, Hollandia, Lengyelország, Portugália, Svédország, Szlovákia és az Egyesült Királyság. A többi 5 tagállam (Ausztria, Belgium, Magyarország, Románia és Szlovénia) csak részleges adatokat szolgáltatott az alapvető szolgáltatásokat nyújtó szereplők nemzeti azonosításáról, mivel a jelentés közzétételéig nem tudták lezárni az azonosítási eljárást.
2.Az alapvető szolgáltatásokat nyújtó szereplők azonosítása a tagállamokban
A kiberbiztonsági irányelv meghatározza az alapvető szolgáltatásokat nyújtó szereplők azonosításának keretét, amely mérlegelési jogkört biztosít a tagállamok számára nemzeti sajátosságaik figyelembevételéhez. Ennek eredményeképpen a tagállamok sokféle azonosítási gyakorlatot alakítottak ki.
2.1A tagállamok által alkalmazott módszerek
A tagállamok – teljes körűen kihasználva a kiberbiztonsági irányelv biztosította rugalmasságot – eltérő módszereket dolgoztak ki a szereplők azonosításához. A nemzeti módszereket meghatározó elemek egyike az olyan keretek előzetes megléte volt, mint a kritikus infrastruktúrákról szóló 2008/114/EK tanácsi irányelv 10 vagy az „alapvető szereplőkre” vonatkozó egyéb nemzeti rendelkezések. Ilyen esetekben a tagállamok korábbi tapasztalataikat használták referenciapontként, és a meglévő módszerekbe építették be a kiberbiztonsági irányelvvel kapcsolatos sajátos elemeket.
A nemzeti módszerek terén mutatkozó különbségek a következő kategóriákba sorolhatók: alapvető szolgáltatások, küszöbértékek használata, a központosítási mértéke, a hálózati és információs rendszerek függőségének azonosításáért és értékeléséért felelős hatóságok. Tekintve, hogy e módszerek fontos szerepet játszanak az alapvető szolgáltatásokat nyújtó szereplők egységes azonosításának értékelésében, külön szakasz foglalkozik az alapvető szolgáltatások és a küszöbértékek elemzésével. A többi kritériummal e szakaszon belül foglalkozunk.
A központosítás mértéke
A legtöbb tagállam úgy döntött, hogy az azonosítási eljárás különféle elemeivel kapcsolatos bizonyos döntések meghozatalát ágazati hatóságokra (minisztériumokra, ügynökségekre stb.) bízza. A decentralizáció mértéke esetenként eltérő, de a legtöbb tagállam egyetlen hatóságot jelölt ki arra a feladatra, hogy iránymutatást nyújtson az ágazati hatóságok számára és összegyűjtse az információkat. Néhány tagállam azonban úgy döntött, hogy az azonosítási eljárást egyetlen hatóság kezében hagyja. Olyan esetek is előfordulnak, ahol rendkívül magas a decentralizáció mértéke és az ágazati hatóságok felelnek saját módszereik kidolgozásáért.
Számos tagállam gondosan mérlegelte az alapvető szolgáltatásokat nyújtó szereplők azonosítását szolgáló intézményi kerettel kapcsolatos különböző szempontokat. A hatóságok az összeférhetetlenség elkerülését emelték ki a központosított azonosítás egyik érdemeként: úgy tűnik, hogy a szereplők jobban vonakodnak közölni a vonatkozó információkat az ágazati szabályozó szervekkel, mivel attól tartanak, hogy ezeket az információkat esetleg más szabályozási célokra is felhasználják.
A decentralizált megközelítések viszont láthatólag előmozdítják az illetékes kiberbiztonsági hatóságok közötti párbeszédet (ideértve a kiberbiztonsági és az ágazati hatóságokat egyaránt), ami segítségül szolgál számukra a több ágazatot is érintő függőségek hatásainak jobb azonosításához. Az ágazati hatóságok ráadásul rendszerint jobban ismerik az ágazatot, min az irányító hatóságok.
Azonosítási eljárás (fentről lefelé, illetve lentről felfelé)
A tagállamok között megfigyelhető másik lényeges különbség a következő: vannak olyan tagállamok, ahol az azonosítási eljárást a hatóságok végzik (fentről lefelé haladó azonosítás), illetve vannak olyan tagállamok, ahol a piaci szereplőket kérik fel arra, hogy saját maguk igazolják, hogy eleget tesznek-e az alapvető szolgáltatásokat nyújtó szereplőkre vonatkozó követelményeknek (úgynevezett alulról felfelé haladó azonosítás vagy önazonosítás). Az utóbbi megközelítés hatékony működése érdekében a kiberbiztonsági irányelv 21. cikkében előírtakkal összhangban a tagállamoknak olyan bírságokat kell kivetniük, amelyek elég magasak ahhoz, hogy elrettentsék a szereplőket attól, hogy ne jelentkezzenek. A legtöbb esetben az azonosítási eljárás fentről lefelé haladó. A gyakorlatban azonban a hatóságok gyakran részben bizonyos önértékelési elemekre támaszkodnak: például a lehetséges alapvető szolgáltatásokat nyújtó szereplőknek kérdőíveket kell kitölteniük.
Ha az alapvető szolgáltatásokat nyújtó szereplők azonosítására vonatkozó szabályok és küszöbértékek egyértelműek és átláthatóak, a fentről lefelé haladó és a lentről felfelé haladó azonosításnak is hasonló eredménnyel kellene járnia. Az egységességre nézve tehát elvileg semmilyen hatással nem kellene lennie annak, hogy egyik vagy másik megközelítést választják.
A hálózati függőség értékelése
Az 1.2. szakaszban kifejtetteknek megfelelően az 5. cikk (2) bekezdésének b) pontja előírja, hogy a tagállamoknak az alapvető szolgáltatásokat nyújtó szereplők azonosítására szolgáló eljárás keretében értékelniük kell a szereplők hálózati és információs rendszerektől való függőségét. Napjaink digitális gazdaságában e kritériumok alkalmazásakor sok tagállam magától értetődőnek tartja a hálózati és információs rendszerektől való függőséget. Néhány hatóság azonban összetettebb gyakorlatot választott, például részletes értékelést végez vagy felkéri a szereplőket, hogy saját maguk értékeljék függőségük mértékét.
2.2A szolgáltatások azonosítása
A kiberbiztonsági irányelv (23) preambulumbekezdése kifejezetten megemlíti az alapvető szolgáltatások jegyzékeit, amelyeket támpontként kell használni „az egyes tagállamok szabályozási gyakorlatának értékelése során”, általánosságban biztosítandó az egységességet. Mivel az alapvető szolgáltatások tagállamok által kidolgozott jegyzékei szolgálnak a szereplők azonosításának alapjául, az azonosított szolgáltatások terén meglévő különbségek ahhoz vezethetnek, hogy a tagállamok körében nem egységesen azonosítják a szereplőket, különösen akkor, ha az összes országban nyújtott adott szolgáltatásokat csak néhány tagállamban azonosítják.
A tagállamok által azonosított és a Bizottságnak bejelentett, a kiberbiztonsági irányelv II. mellékletének hatálya alá tartozó szolgáltatások száma tagállamonként jelentős eltérést mutat (e számadatokat az összes tagállam vonatkozásában a melléklet 4.2. szakasza tartalmazza). Tagállamonként átlagosan 35 szolgáltatással az azonosított szolgáltatások száma 12 és 87 között mozog, ahogy azt az Figure 1 . ábra is mutatja. Jóllehet a nagyobb tagállamok a kisebb tagállamokhoz képest általában némileg több szolgáltatást azonosítanak, láthatólag nincs szoros összefüggés a tagállamok mérete és az azonosított szolgáltatások száma között. Erre számítani lehetett, hiszen a gyakorlatban a fogyasztók és a vállalatok az ország méretétől függetlenül rendszerint ugyanazon típusú szolgáltatásokhoz férnek hozzá valamennyi tagállamban.
1. ábra: A tagállamok által azonosított alapvető szolgáltatások száma összesen
Az azonosított szolgáltatások száma nemcsak akkor mutat eltérést, ha a tagállamok egészét nézzük, hanem ha közelebbről megvizsgáljuk az ágazatokat és az alágazatokat is. A bankszektorban például az azonosított szolgáltatások száma 1 és 21 között mozog. Ahogy azt a Figure 2 . ábra szemlélteti, az azonosított szolgáltatások köre jelentős eltérést mutat a tagállamok között a legtöbb ágazaton és alágazaton belül.
2. ábra: A tagállamok által az egyes ágazatokban és alágazatokban azonosított szolgáltatások száma. Minden adatpont a valamely tagállam által az adott (al)ágazatban azonosított szolgáltatás számát tükrözi 11 .
A Figure 2 . ábrán megjelenő adatok bizonyos mértékben a tagállamok által használt eltérő módszertani megközelítéseket tükrözik. Néhány tagállam például a szolgáltatások azonosítása terén a többi tagállamhoz képest részletesebb megközelítés mellett döntött, ami ezekben a tagállamokban magasabb értékeket eredményezett. A Bizottság által a tagállamoktól kapott adatok azonban egyértelműen azt mutatják, hogy a számokban mutatkozó különbségek arra is visszavezethetők, hogy a tagállamok által választott megközelítések nem egységesek, ahogy azt a villamosenergia- és a vasúti közlekedési alágazat példája is szemlélteti:
|
Észtország
|
Portugália |
Dánia |
Bulgária
|
||
|
Villamosenergia-ellátás |
Elosztórendszer-üzemeltetők |
Villamosenergia-elosztás |
Villamosenergia-elosztás |
||
|
A villamosenergia-elosztórendszer működésének és karbantartásának biztosítása |
|||||
|
Átvitelirendszer-irányító |
Villamosenergia-átvitel |
Villamosenergia-szállítás |
|||
|
A villamosenergia-átviteli rendszer működtetése, karbantartása és fejlesztése |
|||||
|
Villamosenergia-termelés |
Villamosenergia-termelés |
|||
|
|
Villamosenergia-piac |
2. táblázat: Szemléltető példák a tagállamok által a villamosenergia-alágazatban nyújtott alapvető szolgáltatások azonosítása terén alkalmazott megközelítésekre
A Table 2 . táblázat összehasonlít néhány módszert azok közül, amelyeket a tagállamok a villamosenergia-alágazatban nyújtott alapvető szolgáltatások azonosításához használtak. Egyes országok (például Észtország) úgy döntött, hogy nagyon általános címsorokat használ, ami tulajdonképpen a villamosenergia-alágazaton belül általuk nélkülözhetetlennek tekintett minden szereplő azonosítását lehetővé teszi. Más országok (például Portugália, Dánia és Bulgária) sokkal részletesebb megközelítést mellett döntött. Bulgária például egy rendkívül részletes szolgáltatásjegyzéket készített, amely még olyan szolgáltatásokat is tartalmaz, amelyek nem tartoznak a II. melléklet hatálya alá (villamosenergia-piacok). Portugália és Dánia ugyan részletes megközelítést követett, azonban úgy döntött, hogy bizonyos – más országok által jegyzékbe vett – szolgáltatásokat nem vesznek fel a jegyzékbe. Ez a belső piacon egyenlőtlen versenyfeltételeket eredményezhetne az alapvető szolgáltatásokat nyújtó szereplők között.
A Table 2 . táblázatban megállapított következetességbeli hiányosságok abból fakadnak, hogy nemzeti szinten eltérően hajtották végre a kiberbiztonsági irányelvet, illetve annak következményei, hogy a II. melléklet hatálya alá nem tartozó ágazatok (például a villamosenergia-piacok) esetében minimális harmonizációs megközelítést alkalmaztak. Ennélfogva a következetességbeli hiányosságok nem feltétlenül jelentik azt, hogy azok a tagállamok, amelyek nem azonosítottak bizonyos szolgáltatásokat, nem alkalmazták helyesen az irányelv rendelkezéseit.
A Table 3 . táblázat négy országnak a vasúti közlekedési alágazat vonatkozásában alkalmazott megközelítését mutatja be. Míg Franciaország nagyon részletes és átfogó jegyzéket készített a vasúti közlekedés működéséhez alapvető fontosságú szolgáltatásokról, a másik három ország e szolgáltatásoknak csak egy kis csoportját választotta ki. Lengyelország esetében nem teljesen világos, hogy mely szolgáltatások tartoznak a „vasúti teherszállítás” és a „vasúti személyszállítás” kategóriába. Megnevezésük olyannyira általános, hogy akár a Franciaország által azonosított szolgáltatások némelyikét – például „a vasúti közlekedés ellenőrzése és irányítása” kategóriát – is magukban foglalhatják. Érdemes megjegyezni, hogy semmilyen eszköz nem áll a Bizottság rendelkezésére az ilyen esetek további vizsgálatához: a kiberbiztonsági irányelv nem írja elő a nemzeti hatóságok számára részletesebb információk közzétételét.
|
Finnország |
Franciaország |
Írország |
Lengyelország |
|||
|
Az állami infrastruktúra kezelése |
Az infrastruktúra karbantartása |
Pályahálózat-működtetők |
|
|||
|
Vasúti járművek karbantartása |
|
|
|||
|
Forgalomirányítási szolgáltatások |
A vasúti közlekedés ellenőrzése és irányítása |
|
Vasúti menetrendek készítése |
|||
|
Teheráruk és veszélyes anyagok |
Vasúti társaságok |
Vasúti teherszállítás |
|||
|
Személyszállítás |
Vasúti személyszállítás |
||||
|
Metrók, villamosok és más helyiérdekű vasúti rendszerek (ideértve a földalatti rendszereket is) |
|
||||
|
Vasúti szolgáltatások |
|
|
3. táblázat: Szemléltető példák a tagállamok által a vasúti közlekedési alágazatban nyújtott alapvető szolgáltatások azonosítása terén alkalmazott megközelítésekre
A Table 2 . és a Table 3 . táblázatban szereplő tagállamok kiválasztása csupán szemléltetési célokat szolgál, kiválasztásuk oka pedig az, hogy módszertani megközelítésüket könnyű volt összehasonlítani. A többi tagállam javarészt hasonló szolgáltatásokat választott ki, ezért hasonló „következetességbeli hiányosságokat” mutatnak. Alapjában véve a villamosenergia- és vasúti közlekedési alágazatban is megfigyelhetőhöz hasonló „következetességbeli hiányosságok” a tagállamok és az irányelv II. mellékletében felsorolt ágazatok mindegyikében megtalálhatók. E következetlenségek többsége azokból a szolgáltatásokból fakad, amelyeket csak néhány tagállamban azonosítottak, nem pedig az összesben. A villamosenergia- és vasúti közlekedési alágazaton belüli szolgáltatások teljes – minden tagállamra kiterjedő – jegyzékeit e jelentés melléklete tartalmazza.
2.3Küszöbértékek
Még ha a legtöbb tagállam alkalmaz is küszöbértékeket az alapvető szolgáltatásokat nyújtó szereplők azonosításához, az ilyen küszöbértékek országonként eltérő szerepet játszanak. Az ágazatközi küszöbértékek tekintetében olyan küszöbértékek is meghatározhatók, amelyek a következőkre támaszkodnak:
·egyetlen mennyiségi tényező (pl. az adott szolgáltatásra támaszkodó felhasználók száma), amely annak meghatározására szolgál, hogy egy adott szervezet bizonyos szolgáltatás esetében alapvető szolgáltatásokat nyújtó szereplőnek minősül-e vagy sem,
·több mennyiségi tényező (pl. az adott szolgáltatásra támaszkodó felhasználók száma és a piaci részesedés),
·mennyiségi és minőségi tényezők kombinációja.
Ezenkívül az irányelv lehetővé teszi a tagállamok számára, hogy az ágazatközi tényezőkön felül ágazatspecifikus küszöbértékeket is használjanak. Ez az azonosítási eljárás során nagyobb szabadságot biztosít a nemzeti hatóságok számára annak érdekében, hogy figyelembe tudják venni a nemzeti és ágazati sajátosságokat. Ugyanakkor ennek következtében a küszöbértékek rendkívül összetett elegye jön létre, ami általánosságban kedvezőtlenül hathat az alapvető szolgáltatásokat nyújtó szereplők azonosításának egységességére.
A megközelítések e sokféleségével kapcsolatban a Table 4 . táblázat szolgál példával. Ez jól szemlélteti, hogy a tagállamok által a digitális infrastruktúra ágazata tekintetében választott küszöbértékek nemcsak mennyiségi szempontból mutatnak eltérést (például Németországban a DNS-szolgáltatókat akkor azonosítják alapvető szolgáltatásokat nyújtó szereplőként, ha legalább 250 000 domént kezelnek, ellenben Lengyelországban a küszöbérték csak 100 000 domén), hanem minőségi szempontból is (például a „hálózatba kapcsolt autonóm rendszerek száma” szemben a „piaci részesedéssel”).
A következetesen kiválasztott mennyiségi küszöbértékek nem garantálják teljes mértékben a nemzeti megközelítések egységességét. Tekintve, hogy néhány tagállamban a küszöbértékek csupán az alapvető szolgáltatásokat nyújtó szereplők azonosításához használt kritériumok egyikét jelentik, az azonosítási eljárások továbbra is igen eltérő eredményekkel zárulhatnak, még akkor is, ha hasonló küszöbértékeket használnak. Néhány tagállam például bonyolult pontozási rendszert használ egy több tényezőn alapuló, egyetlen képlet segítségével 12 . E tényezők közé tartozhat például az adott szervezet hálózati és információs rendszerektől való függősége, illetve a kiberbiztonsági irányelv 6. cikkének (1) bekezdésében említett tényezők némelyike is. Ráadásul egyes tagállamok egyáltalán nem alkalmaznak küszöbértékeket az értékelés kezdeti szakaszában. E megfontolások nemcsak a digitális infrastruktúra ágazata esetében érvényesek, hanem a II. mellékletben foglalt valamennyi ágazatban is.
A megfelelő küszöbérték meghatározása kihívást jelenthet, különösen olyan ágazatok esetében, amelyeket számos kisebb szereplő jelenléte jellemez. Jó példaként szolgálnak e sokféleségre a kisebb egészségügyi ellátó létesítmények (pl. kórházak, illetve mentőszolgálatok), amelyek csak viszonylag kevés felhasználónak nyújtanak alapvető szolgáltatást, de amelyek kiberbiztonsági esemény miatti elérhetetlensége betegek életébe kerülhet. További probléma merül fel akkor, ha az ellátási lánc működése olyan szereplők által nyújtott szolgáltatásoktól függ, akik kicsi, mégis alapvető elemei az ellátási láncnak (például a logisztikához hasonló ágazatokban 13 ). Az egyik tagállam e probléma lehetséges megoldásaként azt vizsgálja, hogy használhatók-e a nyújtott szolgáltatás jelentőségéhez, illetve kritikus fontosságához kapcsolódó kritériumok.
|
Ország |
internetkapcsolódási pontok (IXP) |
DNS-szolgáltatók |
Legfelső szintű doménnév-nyilvántartók |
|
Főként ágazatspecifikus küszöbértékek használata |
|||
|
AT |
hálózatba kapcsolt autonóm rendszerek
|
DNS-névfeloldók: 88 000 felhasználó;
|
50 000 domén |
|
DE |
hálózatba kapcsolt autonóm rendszerek
|
DNS-névfeloldók: 100 000 felhasználó; Engedélyezett DNS: 250 000 domén |
(nincs azonosított szolgáltatás) |
|
DK |
átlagos napi adatmennyiség > 200 gbit/s |
DNS-névfeloldók: 100 000 felhasználó; Engedélyezett DNS: 100 000 domén |
500 000 domén |
|
EE |
(nincs azonosított szolgáltatás) |
(nincs azonosított szolgáltatás) |
Az ország legfelső szintű doménnév-nyilvántartója |
|
FI |
(nincs azonosított szolgáltatás) |
(nincs azonosított szolgáltatás) |
Az ország és a régió legfelső szintű doménnév-nyilvántartója |
|
FR |
(nincs hivatalos küszöbérték) |
(nincs hivatalos küszöbérték) |
(nincs hivatalos küszöbérték) |
|
HR |
hálózatba kapcsolt tagok > 15 |
Az országos felső szintű doménhez kapcsolódó DNS-szolgáltatás |
Az ország legfelső szintű doménnév-nyilvántartója |
|
IE |
(a küszöbérték nem ismert) |
DNS-névfeloldók: 100 m lekérdezés/24 h; Engedélyezett DNS: 50 000 domén |
Az ország legfelső szintű doménnév-nyilvántartója |
|
MT |
25 %-os piaci részesedés |
DNS-névfeloldók: 78 000 kérés/nap; Engedélyezett DNS: 7 800 domén |
750 000 kérés/nap |
|
PL |
hálózatba kapcsolt autonóm rendszerek
|
Engedélyezett DNS: 100 000 domén |
Legfelső szintű doménnév-nyilvántartók legalább 100 000 előfizető esetében |
|
SE |
(nincs azonosított szolgáltatás) |
DNS-névfeloldók: 100 000 felhasználó; Engedélyezett DNS: 25 000 domén |
250 000 domén |
|
SK |
Legalább két másik autonóm rendszerhez 2 Gb/s sebességgel csatlakozó autonóm rendszerek |
DNS-névfeloldók: 3 m lekérdezés/24 h; Engedélyezett DNS: > 1 000 domén |
Legfelső szintű doménnév-nyilvántartó |
|
UK |
piaci részesedés > 50 %, vagy
|
DNS-névfeloldók: 2 000 000 ügyfél/nap;
|
Legfelső szintű doménnév-nyilvántartók ≥ 2 milliárd lekérdezés/nap |
|
Ágazatközi küszöbértékek használata |
|||
|
CY |
50 000 felhasználó, vagy
|
50 000 felhasználó, vagy
|
50 000 felhasználó, vagy
|
|
LT |
lakosok száma > 145 000 |
lakosok száma > 145 000 |
lakosok száma > 145 000 |
|
LU |
100 %-os piaci részesedés |
13 500 szerződés |
100 %-os piaci részesedés |
4. táblázat: 16 tagállam által a digitális infrastruktúra ágazatában használt küszöbértékek
2.4Az azonosított szereplők száma
Az alapvető szolgáltatásokat nyújtó szereplők egységes meghatározása szempontjából az alapvető szolgáltatások jegyzékei és a küszöbértékek a legfontosabb befolyásoló tényezők. A korábbi szakaszokból kiderült, hogy a tagállamok mindkét esetben eltérő módon alkalmazták a kiberbiztonsági irányelv rendelkezéseit, ami arra enged következtetni, hogy ez következetességi problémát okozhat az alapvető szolgáltatásokat nyújtó szereplők későbbi azonosításakor. E szakasz a tagállamokban azonosított, a II. melléklet szerinti ágazatokban és alágazatokban működő szereplők számát hasonlítja össze.
3. ábra: A tagállamok által azonosított, alapvető szolgáltatásokat nyújtó szereplők a II. melléklet szerinti valamennyi ágazatban (100 000 lakosra vetítve, az egyértelműség érdekében kihagyva a kiugró értékeket és a hiányzó adatokat)
A tagállamok által a Bizottságnak jelentett, alapvető szolgáltatásokat nyújtó szereplők száma összesen 20 és 10 897 között mozog, tagállamonként 633-as átlaggal (az egyes tagállamokra vonatkozó számadatok e jelentés mellékletének 4.2. szakaszában találhatók). Összességében egyértelműen pozitív kapcsolat van az ország mérete és az azonosított szereplők száma között. Mindazonáltal ez nem magyarázza kellőképpen a tagállamok által bejelentett számadatok terén mutatkozó jelentős különbséget. Az ország mérete és a lakosság közötti kapcsolat figyelembevétele érdekében a Figure 3 . ábra a tagállamokban azonosított, alapvető szolgáltatásokat nyújtó szereplők számát 100 000 lakosra vetítve hasonlítja össze. Ebből arra lehet következtetni, hogy a tagállamok által a szereplők azonosítása tekintetében alkalmazott megközelítések igen eltérő eredményt hoztak.
Az ágazatok és alágazatok mélyrehatóbb vizsgálata jelentős különbségeket tár fel a tagállamok között a II. melléklet hatálya alá tartozó valamennyi ágazatban azonosított szereplők száma terén ( Figure 4 . ábra). Az energiaágazatban például a számadatok 1 000 000 lakosra vetítve a 0,3 szereplő és a 29 szereplő közötti tartományban mozognak. A bankszektorban mért számadatok 1 000 000 lakosra vetítve 0,07 szereplő és 51 szereplő között mozognak (figyelmen kívül hagyva azokat a tagállamokat, amelyek ebben az ágazatban egyetlen alapvető szolgáltatásokat nyújtó szereplőt sem azonosítottak).
4. ábra: 25 tagállam által azonosított, alapvető szolgáltatásokat nyújtó szereplők száma minden ágazatban és alágazatban (1 000 000 lakosra vetítve, logaritmikus ábrázolásban, az egyértelműség érdekében kihagyva a kiugró értékeket) Minden adatpont a valamely tagállam által az adott (al)ágazatban azonosított, alapvető szolgáltatásokat nyújtó szereplők számát tükrözi 14 .
2.5Az irányelvnek a II. mellékletben szereplőktől eltérő ágazatokra történő alkalmazása
A benyújtott adatok vizsgálata arra világít rá, hogy a 28 tagállamból 11-ben azonosítottak alapvető szolgáltatásokat olyan ágazatokban, amelyek nem tartoznak az irányelv II. mellékletének hatálya alá. E 11 tagállamból 7-en összesen 157 olyan, alapvető szolgáltatásokat nyújtó szereplőt azonosítottak, akik nem tartoznak a II. mellékletben szereplő szervezettípusok egyikébe sem.
|
További ágazatok |
Szervezetekre vonatkozó példák |
A tagállamok száma |
|
Információs infrastruktúrák |
Adatközpontok, szerverfarmok |
5 |
|
Pénzügyi szolgáltatások (a II. mellékletben fel nem sorolt szervezetek) |
Biztosítók és viszontbiztosítók |
4 |
|
Kormányzati szolgáltatások |
Polgárok számára nyújtott elektronikus szolgáltatások |
4 |
|
Hőenergia |
Hőtermelők és hőszolgáltatók |
3 |
|
Szennyvíz |
Szennyvízgyűjtő és -kezelő létesítmények |
3 |
|
Logisztika |
Postai szolgáltatások |
2 |
|
Élelmezés |
Termelők, kereskedések |
2 |
|
Környezetvédelem |
Veszélyes hulladékok ártalmatlanítása |
2 |
|
Nemzetbiztonsági/segélyhívó szolgálatok |
112, válságkezelés |
2 |
|
Vegyipar |
Anyagok szállítói és előállítói |
2 |
|
Szociális szolgáltatások |
Szociális ellátásért felelős szervezetek |
1 |
|
Oktatás |
Nemzeti vizsgákért felelős hatóságok |
1 |
|
Közétkeztetés |
Elosztási igazgatóság |
1 |
|
Víz |
Hidraulikus építmények |
1 |
5. táblázat: A tagállamok által a II. mellékletben felsoroltakon felül kiválasztott ágazatok
A legnépszerűbb kategóriák közé tartoznak az információs infrastruktúrák (öt tagállam azonosította), a II. mellékletben fel nem sorolt szervezetek által nyújtott pénzügyi szolgáltatások (négy tagállam azonosította) és a kormányzati szolgáltatások (négy tagállam azonosította) ( Table 5 . táblázat).
Tekintve, hogy milyen lényeges a kiberreziliencia a gazdaság és a társadalom egészének működése szempontjából, számos tagállam úgy döntött, hogy a lehetőséget kihasználva a II. mellékletben felsoroltakon kívül más ágazatokra is kiterjeszti az eljárást. Az, hogy számos tagállam döntött úgy, hogy a kiberbiztonsági irányelvet további ágazatokra is alkalmazza, felveti a kérdést, hogy a II. melléklet jelenlegi hatálya megfelelő-e azon cél eléréséhez, hogy az Unióban minden olyan szereplő védelmet élvezzen, aki kritikus fontosságú a társadalom és a gazdaság számára.
2.6Határokon átnyúló egyeztetési eljárás
A kiberbiztonsági irányelv 5. cikkének (4) bekezdése értelmében a tagállamoknak egyeztetniük kell egymással az olyan szereplőkkel kapcsolatos végső döntés meghozatala előtt, akik egynél több tagállamban nyújtanak szolgáltatásokat. Az együttműködési csoport 2018. júliusában referenciadokumentumot adott ki azzal a céllal, hogy segítséget nyújtson a tagállamoknak a megfelelő, határokon átnyúló egyeztetések lebonyolításához 15 .
A kapott információkból az derül ki, hogy csak nagyon kevés nemzeti hatóság döntött úgy, hogy felveszi a kapcsolatot a más tagállamokban található hatóságokkal, és széles körben csupán két tagállam vette fel a kapcsolatot más tagállamokkal. Ezenkívül csak néhány tagállam jelezte, hogy kevésbé rendszeresen ugyan, de kapcsolatba lépett más hatóságokkal. Annak dacára, hogy a határon átnyúló szolgáltatások rendkívül jelentős szerepet töltenek be a belső piacon, a más tagállamokkal kapcsolatba lépő legtöbb tagállam csak igen korlátozott számú szereplő esetében járt el így. Annak ellenére, hogy a tagállamok csak korlátozott mértékben vették igénybe az eljárást, számos nemzeti hatóság fejezte ki érdeklődését a határokon átnyúló egyeztetési eljárás iránt, és azt a kiberbiztonsági azonosítási keretrendszer fontos elemének tartja. Valójában több tagállam is aggodalmát fejezte ki azzal kapcsolatban, hogy hatékony határokon átnyúló egyeztetés nélkül a szereplők arra kényszerülhetnek, hogy számos különböző szabályozási követelménnyel foglalkozzanak, illetve hátrányos helyzetbe kerülhetnek a piacon tevékenykedő más, kevésbé szigorúan szabályozott, alapvető szolgáltatásokat nyújtó szereplőkkel szemben.
A Bizottság a tagállamokkal együtt több okot is azonosított, hogy mindezidáig miért nem vették igénybe az egyeztetési eljárásokat az eredeti elképzelések szerint:
·Számos tagállamnak a vártnál tovább tartott azonosítani saját alapvető szolgáltatásokat nyújtó szereplőit. Ezért azok az országok, amelyek az azonosítást korábban végezték, úgy érezték, hogy nem tudnak egyeztetni az említett országokkal.
·Az információtovábbításhoz szükséges biztonságos csatorna hiánya: néhány tagállam vonakodott egyeztetni partnereivel a szereplők nevéről arra hivatkozva, hogy az minősített adat.
·A határokon átnyúló kölcsönös függőségek száma meglehetősen magas, ami szükségessé tette, hogy az érintett tagállamok jelentős hányadával felvegyék a kapcsolatot, különösen a páneurópai szereplők esetében.
·A határokon átnyúló egyeztetési gyakorlat céljaival és hatályával kapcsolatos egyetértés hiánya: míg egyes tagállamok ezt csupán arra szolgáló eszköznek tekintik, hogy tájékoztassák egymást az alapvető szolgáltatásokat nyújtó szereplők határokon átnyúló hatással járó azonosításáról, addig mások szerint ennek az a célja, hogy összehangolják a küszöbértékeket és a szabályozási követelményeket. Az irányelv (24) preambulumbekezdése arra enged következtetni, hogy ez az eljárás mindenekelőtt arra szolgál, hogy az azonosítási eljárás lefolytatás céljából közösen értékeljék valamely szereplő kritikus jellegét.
·Újabb probléma merül fel, amikor egy tagállammal két másik tagállam lép kapcsolatba ugyanazon szereplő miatt. Ilyen esetben a szóban forgó tagállam nem feltétlenül tudja egyszerre mindkét tagállammal összehangolni a szabályait. Ehhez a (24) preambulumbekezdés többoldalú egyeztetéseket irányoz elő. Fontos, hogy a tagállamok az egységesség biztosítása érdekében kihasználják ezt a lehetőséget.
2.7A lex specialis elv figyelembevétele az azonosítási eljárás során
A Bizottság bizonyos fokú következetlenséget állapított meg a tagállamok körében a lex specialis elv alkalmazásával kapcsolatban. Ez az irányelv nem egységes alkalmazásához vezetett, aminek egyrészről az lett az eredménye, hogy olyan, alapvető szolgáltatásokat nyújtó szereplőket azonosítottak, amelyekre ágazatspecifikus szabályok vonatkoznak, másrészről pedig az, hogy a II. melléklet hatálya alá tartozó egyes ágazatokban elégtelen volt az alapvető szolgáltatásokat nyújtó szereplők azonosítása.
Az 1. cikk (3) bekezdése kimondja, hogy a kiberbiztonsági irányelv nem alkalmazandó a távközlési keretirányelvben 16 foglalt követelmények hatálya alá tartozó vállalkozásokra. Úgy tűnik azonban, hogy néhány tagállam olyan alapvető szolgáltatásokat nyújtó szereplőket is azonosított, amelyek voltaképpen a távközlési keretirányelv által szabályozandó szolgáltatásokat – például internet-hozzáférési és telefonszolgáltatásokat – nyújtanak.
Ezenfelül az 1. cikk (7) bekezdése szerint a kiberbiztonsági irányelvben foglalt, a biztonsági követelményekre és a biztonsági események bejelentésére vonatkozó rendelkezések nem alkalmazandók azokra a szereplőkre, akiket már olyan ágazatspecifikus uniós jogi aktusok szabályoznak, amelyek legalább az említett irányelvben előírtakkal megegyező hatású követelményeket állapítanak meg.
Ugyan a legtöbb tagállam azonosított alapvető szolgáltatásokat nyújtó szereplőket a bankszektorban és a pénzügyi piacok ágazatában, néhány tagállam arra hivatkozva nem végezte el ezt az azonosítást, hogy e szereplők a lex specialis hatálya alá tartozó szolgáltatásokat nyújtanak.
A Bizottság még nem fejezte be a lex specialis elv kiberbiztonsági irányelv keretében való alkalmazásával kapcsolatos részletes információk gyűjtését. Jelenleg a nemzeti jogszabályok beható vizsgálatát végzi és látogatásokat tesz az egyes országokban annak érdekében, hogy értékelje az átültetés és a végrehajtás jelenlegi szintjét, többek között a lex specialis rendelkezések tekintetében is. A Bizottság ennek alapján további eszmecserét kíván folytatni az együttműködési csoporton belül a lex specialis elvről azzal a céllal, hogy a tagállamok körében nagyobb összhangot teremtsen.
3.Következtetések
Ez a jelentés a tagállamok által a kiberbiztonsági irányelv keretében az alapvető szolgáltatásokat nyújtó szereplők azonosítása terén alkalmazott megközelítéseket értékeli. A jelentés célja, hogy a jelenlegi keret által a belső piac működésére és a kiberfüggőséghez kapcsolódó kockázatok kezelésére gyakorolt lehetséges hatásokra tekintettel értékelje a tagállami gyakorlatok egységességének mértékét.
Az elvégzett elemzés azt mutatja, hogy a kiberbiztonsági irányelv sok tagállamban katalizátorként szolgált, az intézményi és szabályozási környezetben utat nyitva a kiberbiztonsággal kapcsolatos valódi változás felé. Ráadásul az alapvető szolgáltatásokat nyújtó szereplők azonosítására irányuló kötelezettség csaknem az összes tagállamban elindította azt a folyamatot, hogy átfogóan értékeljék a kritikus tevékenységeket végző szereplőkhöz és a korszerű hálózati és információs rendszerekhez kapcsolódó kockázatokat. Ez – az irányelv célkitűzéseivel összhangban – az Unió egésze tekintetében eredménynek tekinthető.
A Bizottság e jelentés céljából megvizsgálta a nemzeti azonosítási módszereket, a nemzeti hatóságok által alapvetőnek tekintett szolgáltatásokat, az azonosításhoz használt küszöbértékeket és az irányelv hatálya alá tartozó különféle ágazatokban azonosított, alapvető szolgáltatásokat nyújtó szereplők számát:
·Ami az alapvető szolgáltatásokat nyújtó szereplők azonosításával kapcsolatos általános megközelítést illeti, a tagállamok eltérő módszereket dolgoztak ki (2.1. szakasz), de ugyanez elmondható az alapvető szolgáltatások meghatározása és a küszöbértékek megállapítása tekintetében is. Ez hátrányosan érintheti a kiberbiztonsági irányelv rendelkezéseinek Unió-szerte egységes alkalmazását, ami következményekkel járhat a belső piac megfelelő működésére és a kiberfüggőség hatékony kezelésére nézve.
·Úgy tűnik továbbá, hogy a tagállamok eltérően értelmezik azt, hogy mi minősül a kiberbiztonsági irányelv szerinti alapvető szolgáltatásnak, emellett pedig a tagállamok által alkalmazott részletesség mértéke is eltérő (lásd a 2.2. szakaszt). Ez megnehezíti az alapvető szolgáltatások jegyzékének összehasonlítását. Ezenkívül annak a veszélye is fennáll, hogy az irányelv hatálya széttöredezik, és egyes szereplők további szabályozásnak lesznek kitéve (mivel az érintett tagállam azonosította őket), míg más, hasonló szolgáltatásokat nyújtó szereplőkre nem vonatkozik majd a szabályozás (mivel őket nem azonosították). E következetlenségek kezelése érdekében végzett, a tagállamok tapasztalatain alapuló további munka eredményeképpen az alapvető szolgáltatások összehangoltabb jegyzéke jöhet létre.
·A jelentés ezenkívül a küszöbértékek tagállami alkalmazásának módja téren is jelentős következetlenségeket tárt fel (2.3. szakasz). A küszöbértékek uniós szintű további összehangolásával enyhíthető e probléma. E munkát például az együttműködési csoport keretében az ágazati munkafolyamatok útján is elvégezhetik, figyelembe véve az olyan nemzeti sajátosságokat, mint a kisebb tagállamok által bevezetett egyedi követelmények.
·Az a tény, hogy egyes országok a lehetőséget kihasználva a II. melléklet hatálya alá tartozókon felül további ágazatokban és alágazatokban is azonosítottak alapvető szolgáltatásokat, rávilágít arra, hogy a kiberbiztonsági irányelv által érintett ágazatokon kívül más ágazatokat is sebezhetők lehetnek a kiberbiztonsági eseményekkel szemben (2.5. szakasz). Az információs infrastruktúrákhoz, a II. mellékletben felsorolt szervezetek jegyzéke által nem érintett pénzügyi szolgáltatásokhoz és a kormányzathoz hasonló ágazatokban működő, alapvető szolgáltatásokat nyújtó szereplők azonosítása javíthatja az ilyen ágazatokban működő szerveztek kiberrezilienciáját. Ha azonban az ilyen ágazatokon belül csak a tagállamoknak egy kisebb csoportja azonosítja az alapvető szolgáltatásokat nyújtó szereplőket, ez hátrányos következményekkel járhat a belső piacra és a biztosítani kívánt egyenlő versenyfeltételekre nézve.
A tagállami hatóságok által kigondolt számos módszer és bevált gyakorlat különös értékkel bír, és azokat figyelembe kell venni a jövőben, például az együttműködési csoport munkája és az alapvető szolgáltatásokat nyújtó szereplők folyamatos tagállami azonosítása során. A változatosság jelenlegi mértéke azonban kedvezőtlen hatással lehet az irányelv céljainak elérésre.
A Bizottság azt az előzetes következtetést vonja le, miszerint – habár a kiberbiztonsági irányelv egy rendkívül fontos folyamatot indított el, hogy megerősítse és javítsa a kritikus ágazatokban működő szereplők kockázatkezelési gyakorlatait – az alapvető szolgáltatásokat nyújtó szereplők azonosítását illetően jelentős mértékű széttagoltság jellemzi az Uniót. Ez részben az irányelvvel kapcsolatos elgondolásnak, részben pedig a tagállamok által alkalmazott eltérő végrehajtási módszereknek tudható be.
A tagállamoknak arra kell törekedniük, hogy a lehető legegységesebb módon alkalmazzák a kiberbiztonsági irányelv rendelkezéseit, teljes mértékben figyelembe véve a Bizottság és az együttműködési csoport által kidolgozott, iránymutatásokat tartalmazó dokumentumokat. A Bizottság ezért több olyan nemzeti intézkedést is meghatározott, amely segíthet enyhíteni az e jelentésben kiemelt problémákat:
·Az alapvető szolgáltatásokat nyújtó szereplők azonosításának folyamata sok tagállamban nem zárult le az irányelv által meghatározott határidőn belül. Ezenkívül e jelentés közzétételének időpontjában 23 tagállam nyújtotta be az 5. cikk (7) bekezdésében előírt összes adatot. További 5 tagállam részleges tájékoztatással szolgált. A Bizottság sürgeti az azonosításért felelős nemzeti hatóságokat, hogy mihamarabb fejezzék be az eljárást és a lehető legrövidebb időn belül továbbítsák a szükséges információkat a Bizottságnak.
·Az illetékes hatóságoknak rendszeresen felül kell vizsgálniuk az alapvető szolgáltatásokat tartalmazó jegyzéküket, továbbá biztosítaniuk kell, hogy az összes létező alapvető szolgáltatást azonosítják, annak érdekében, hogy a belső piacon csökkenjen az alapvető szolgáltatásokkal kapcsolatos „következetességbeli hiányosságok” száma.
·A tagállamoknak aktívabban közre kell működniük egymással annak érdekében, hogy lehetőség szerint összehangolják a küszöbértékeket, különös tekintettel a fokozottan határokon átnyúló dimenzióval rendelkező ágazatokra, például a közlekedési vagy energiaágazatra. Ez nemcsak a kiberbiztonsági irányelv 5. cikkének (4) bekezdésében előírt, határokon átnyúló egyeztetési eljárás révén valósítható meg, hanem azáltal is, ha jobban kihasználják az együttműködési csoport meglévő struktúráit.
·A nemzeti hatóságoknak egyeztetniük kell egymással annak biztosítása érdekében, hogy a határokon átnyúlóan tevékenykedő szereplőknek a belső piacon hasonló biztonsági és eseménybejelentési követelményeknek kelljen megfelelniük. A tagállamoknak másfelől kapcsolatba kell lépniük az ilyen szereplőkkel, hogy több információt gyűjtsenek a szabályozásbeli eltérésekről. A fokozott kiberreziliencia nem okozhat szabályozási széttagoltságot. A kiberbiztonsági irányelv (24) preambulumbekezdése értelmében a tagállamoknak szükség esetén többoldalú egyeztetéseket is folytatniuk kell.
A nemzeti intézkedéseken felül számos olyan uniós szinten meghozható intézkedés is van, amely nagyobb egységességet eredményezne. A Bizottság megbeszéléseket fog folytatni, hogy javítsa az egyenetlen és jelenleg széttagolt azonosítási környezetet. Néhány a lehetséges intézkedések közül:
·A Kiberbiztonsági Együttműködési Csoport szerepét meg kell erősíteni annak érdekében, hogy kölcsönös egyetértés alakuljon ki azzal kapcsolatban, hogy miként hajtsák végre egységesebben az irányelvet. E célból a Bizottság javasolni fogja, hogy az alapvető szolgáltatásokat nyújtó szereplők azonosítására szolgáló jelenlegi munkafolyamat kapcsán haladéktalanul tekintsék át az iránymutatásait, hogy a meglévő következetlenségeket jobban lehessen kezelni. Az együttműködési csoportnak további ágazati munkafolyamatok 17 létrehozását is meg kell vizsgálnia azzal a céllal, hogy javuljon a tagállamok közötti összhang, valamint a csoporton belüli együttműködés előmozdítása érdekében mérlegelnie kell egy testreszabott kommunikációs eszköz használatát.
·Jelenleg csupán igen kevés tagállam veszi igénybe a határokon átnyúló egyeztetési eljárást olyan szereplők azonosítása esetében, akik egynél több tagállamban nyújtanak alapvető szolgáltatásokat. Az információcsere fokozása érdekében az együttműködési csoport felül fogja vizsgálni az egyeztetési eljárás módozataira vonatkozó referenciadokumentumait a határokon átnyúló hatással járó esetekben, és meg fog állapodni e gyakorlat hatályának, célkitűzéseinek és eljárásainak egységes értelmezéséről. A Bizottság emellett olyan megoldásokat fog keresni, amelyek lehetővé teszik az illetékes hatóságok közötti biztonságos információcserét.
·Úgy tűnik, hogy a tagállamok körében bizonyos fokú következetlenség mutatkozik az irányelv lex specialis elvvel kapcsolatos rendelkezésinek alkalmazása terén. A Bizottság ezért az együttműködési csoport struktúráit fogja használni az olyan esetek megvitatására, amikor a lex specialis elv alkalmazása esetleg nem helyesen történik.
Az uniós szinten hozott intézkedések egységes keretet hivatottak garantálni, figyelembe véve az egyedi vagy szigorúbb kiberbiztonsági követelményekkel számoló ágazati tevékenységeket és más európai jogszabályokat egyaránt.
4.Mellékletek
4.1A rendelkezésre álló adatok tagállamonkénti áttekintése
|
Tagállam |
Benyújtási dátum |
Szolgáltatások jegyzéke |
Az alapvető szolgáltatásokat nyújtó szereplők száma |
Küszöbértékek |
|
AT |
Késedelmes benyújtás |
Teljesítve |
HIÁNYZIK |
Teljesítve |
|
BE |
Késedelmes benyújtás |
Teljesítve |
HIÁNYZIK |
HIÁNYZIK |
|
BG |
Késedelmes benyújtás |
Teljesítve |
Teljesítve |
Teljesítve |
|
CY |
Időben |
Teljesítve |
Teljesítve |
Teljesítve |
|
CZ |
Késedelmes benyújtás |
Teljesítve |
Teljesítve |
Teljesítve |
|
DE |
Időben |
Teljesítve |
Teljesítve |
Teljesítve |
|
DK |
Időben |
Teljesítve |
Teljesítve |
Teljesítve |
|
EE |
Időben |
Teljesítve |
Teljesítve |
Teljesítve |
|
EL |
Késedelmes benyújtás |
Teljesítve |
Teljesítve |
Teljesítve |
|
ES |
Időben |
Teljesítve |
Teljesítve |
Teljesítve |
|
FI |
Időben |
Teljesítve |
Teljesítve |
Teljesítve |
|
FR |
Időben |
Teljesítve |
Teljesítve |
Nincs hivatalos küszöbérték |
|
HR |
Időben |
Teljesítve |
Teljesítve |
Teljesítve |
|
HU |
Időben |
Részben teljesítve |
Részben teljesítve |
Részben teljesítve |
|
IE |
Késedelmes benyújtás |
Teljesítve |
Teljesítve |
Teljesítve |
|
IT |
Késedelmes benyújtás |
Teljesítve |
Teljesítve |
Teljesítve |
|
LT |
Időben |
Teljesítve |
Teljesítve |
Teljesítve |
|
LU |
Késedelmes benyújtás |
Teljesítve |
Teljesítve |
Teljesítve |
|
LV |
Késedelmes benyújtás |
Teljesítve |
Teljesítve |
Teljesítve |
|
MT |
Késedelmes benyújtás |
Teljesítve |
Teljesítve |
Teljesítve |
|
NL |
Késedelmes benyújtás |
Teljesítve |
Teljesítve |
Teljesítve |
|
PL |
Időben |
Teljesítve |
Teljesítve |
Teljesítve |
|
PT |
Időben |
Teljesítve |
Teljesítve |
Teljesítve |
|
RO |
Késedelmes benyújtás |
Teljesítve |
Részben teljesítve |
HIÁNYZIK |
|
SE |
Időben |
Teljesítve |
Teljesítve |
Teljesítve |
|
SI |
Késedelmes benyújtás |
Teljesítve |
HIÁNYZIK |
Teljesítve |
|
SK |
Időben |
Teljesítve |
Teljesítve |
Teljesítve |
|
UK |
Időben |
Teljesítve |
Teljesítve |
Teljesítve |
4.2Az egyes tagállamok által azonosított szolgáltatások és alapvető szolgáltatásokat nyújtó szereplők száma
|
Tagállam |
Azonosított, alapvető szolgáltatásokat nyújtó szereplők |
II. melléklet szerinti szolgáltatások |
További szolgáltatások |
|
AT |
0 |
46 |
0 |
|
BE |
0 |
31 |
0 |
|
BG |
185 |
30 |
3 |
|
CY |
20 |
29 |
17 |
|
CZ |
50 |
31 |
12 |
|
DE |
573 |
15 |
12 |
|
DK |
128 |
39 |
0 |
|
EE |
137 |
18 |
6 |
|
EL |
67 |
30 |
0 |
|
ES |
132 |
55 |
18 |
|
FI |
10897 18 |
20 |
0 |
|
FR |
127 |
70 |
20 |
|
HR |
85 |
49 |
2 |
|
HU |
42 |
12 |
0 |
|
IE |
64 |
26 |
0 |
|
IT |
553 |
37 |
0 |
|
LT |
22 |
37 |
0 |
|
LU |
49 |
21 |
0 |
|
LV |
66 |
18 |
0 |
|
MT |
36 |
29 |
2 |
|
NL |
42 |
12 |
0 |
|
PL |
142 |
87 |
0 |
|
PT |
1250 |
26 |
0 |
|
RO |
86 |
77 |
0 |
|
SE |
326 |
27 |
0 |
|
SI |
0 |
34 |
2 |
|
SK |
273 |
28 |
7 |
|
UK |
470 |
34 |
0 |
4.3A tagállamok által a villamosenergia-alágazatban azonosított szolgáltatások
|
Tagállam |
Azonosított szolgáltatások |
|
AT |
̶Villamosenergia-termelő létesítmények ̶Termelőlétesítményeken belüli ellenőrzőrendszerek ̶Elosztóhálózatok ̶Átviteli hálózatok |
|
BE |
̶Termelő-, szállító- és elosztóvállalatok ̶Villamosenergia-elosztás ̶Villamosenergia-szállítás |
|
BG |
̶Villamosenergia-termelés ̶Villamosenergia-szállítás ̶A villamosenergia-átviteli rendszer működtetése, karbantartása és fejlesztése ̶Villamosenergia-elosztás ̶A villamosenergia-elosztórendszer működésének és karbantartásának biztosítása ̶Villamosenergia-piac |
|
CY |
̶Termelés/ellátás ̶Elosztás/átvitel ̶Villamosenergia-piaci szolgáltatások |
|
CZ |
̶Villamosenergia-termelés ̶Villamosenergia-értékesítés ̶Az alaphálózat működése ̶Az elosztórendszer működése |
|
DE |
̶Áramellátás |
|
DK |
̶Villamosenergia-átvitel ̶Villamosenergia-elosztás ̶Villamosenergia-termelés |
|
EE |
̶Villamosenergia-ellátás |
|
EL |
̶Villamosenergia-ellátás ̶Villamosenergia-elosztás ̶Villamosenergia-átvitel |
|
ES |
̶Villamosenergia-termelés ̶Villamosenergia-átvitel ̶Villamosenergia-elosztás ̶Az elektromos rendszerek üzemeltetési és ellenőrzési központjai |
|
FI |
̶Átviteli szolgáltatás ̶Villamosenergia-elosztás az elosztóhálózaton belül ̶Villamosenergia-ellátás nagyfeszültségű elosztóhálózatokon keresztül |
|
FR |
̶Villamos energia értékesítése vagy viszonteladása nagykereskedelmi és végső fogyasztók számára ̶Villamosenergia-elosztás ̶Villamosenergia-szállítás |
|
HR |
̶Villamosenergia-termelés ̶Villamosenergia-szállítás ̶Villamosenergia-elosztás |
|
HU |
̶Villamos energia |
|
IE |
̶Elosztórendszer-üzemeltetők ̶Villamosenergia-ipari vállalkozások ̶Átvitelirendszer-irányítók |
|
IT |
̶Termelés ̶Kereskedés ̶Átvitel ̶Elosztás |
|
LT |
̶Villamosenergia-termelési szolgáltatás ̶Villamosenergia-átviteli szolgáltatás ̶Villamosenergia-elosztási szolgáltatás ̶Villamosenergia-ellátási szolgáltatás |
|
LU |
̶Villamosenergia-ellátás ̶Villamosenergia-elosztás ̶Villamosenergia-átvitel |
|
LV |
̶Villamosenergia-termelés ̶Villamosenergia-elosztás ̶Villamosenergia-átvitel |
|
MT |
̶Villamosenergia-ellátás a fogyasztók számára ̶Villamosenergia-átvitel és/vagy -elosztás a fogyasztók számára ̶Villamosenergia-termelés a fogyasztók számára |
|
NL |
̶Villamosenergia-átvitel és -elosztás |
|
PL |
̶Villamosenergia-termelés ̶Villamosenergia-átvitel ̶Villamosenergia-elosztás ̶Villamosenergia-kereskedelem ̶Villamosenergia-tárolás ̶Minőségbiztosítási szolgáltatások és az energetikai infrastruktúra kezelése |
|
PT |
̶Elosztórendszer-üzemeltetők ̶Átvitelirendszer-irányítók |
|
RO |
̶Villamosenergia-termelés ̶Villamosenergia-ellátás a fogyasztók számára ̶Központosított villamosenergia-piacok működtetése ̶Villamosenergia-szállítás ̶Villamosenergia-rendszerek működtetése ̶Villamosenergia-elosztás |
|
SE |
̶Átvitelirendszer-irányító ̶Elosztórendszer-üzemeltető ̶Termelés ̶Nagykereskedelem |
|
SI |
̶Villamosenergia-termelés vízerőművekben ̶Villamosenergia-termelés hőerőművekben, atomerőművekben ̶Villamosenergia-szállítás ̶Villamosenergia-elosztás ̶Villamosenergia-kereskedelem |
|
SK |
̶Villamosenergia-ipari vállalkozás: ̶Átvitelirendszer-irányító ̶Elosztórendszer-üzemeltető |
|
UK |
̶Villamosenergia-ellátás ̶Villamosenergia-átvitel ̶Villamosenergia-elosztás |
4.4A tagállamok által a vasúti közlekedési alágazatban azonosított szolgáltatások
|
Tagállam |
Azonosított szolgáltatások |
|
AT |
̶Vasúti infrastruktúrák ̶Vasúti teherszállítás ̶Vasúti személyszállítás ̶Vasútállomások |
|
BE |
̶Pályahálózat-működtetők ̶Vasúti társaságok |
|
BG |
̶A szolgáltatói létesítmények biztosítása, fenntartása és kezelése ̶Vasúti fuvarozók által végzett vasúti szállítás ̶Vasúti szállítással kapcsolatos iránymutatás nyújtása |
|
CY |
Nem azonosítottak szolgáltatásokat ebben az alágazatban |
|
CZ |
̶Vasút üzemeltetése ̶Vasúti szállítási vagy szolgáltatói létesítmények üzemeltetése |
|
DE |
̶Vasút |
|
DK |
̶Vasúti infrastruktúra kezelése ̶Vasúti közlekedés |
|
EE |
̶Vasúti infrastruktúra kezelője ̶Vasúti szállítási szolgáltatás |
|
EL |
̶Vasúti infrastruktúra kezelése ̶Vasúti szolgáltatások |
|
ES |
̶Vasúti szolgáltatás irányítása ̶Vasúti szállítás irányítása ̶Vasúthálózati szolgáltatások ̶Vasúti információs és távközlési irányítás |
|
FI |
̶Az állami infrastruktúra kezelése ̶Forgalomirányítási szolgáltatások |
|
FR |
̶Vasúti szolgáltatások ̶A vasúti közlekedés ellenőrzése és irányítása ̶Az infrastruktúra karbantartása ̶Teheráruk és veszélyes anyagok ̶Személyszállítás ̶Vasúti járművek karbantartása ̶Metrók, villamosok és más helyiérdekű vasúti rendszerek (ideértve a földalatti rendszereket is) |
|
HR |
̶A vasúti infrastruktúra működtetése és karbantartása, ideértve a forgalomirányítást és az ellenőrző-irányító és jelző alrendszert is ̶Vasúti áru- és/vagy személyszállítási szolgáltatások ̶A szolgáltatói létesítmények kezelése és a szolgáltatói létesítmények általi szolgáltatásnyújtás ̶A vasúti áru- és/vagy személyszállításhoz szükséges kiegészítő szolgáltatások nyújtása |
|
HU |
Nem azonosítottak szolgáltatásokat ebben az alágazatban |
|
IE |
̶Pályahálózat-működtetők ̶Vasúti társaságok |
|
IT |
Nem azonosítottak szolgáltatásokat ebben az alágazatban |
|
LT |
̶Vasúti személy- és csomagszállítási szolgáltatás ̶Vasúti teherfuvarozási szolgáltatás ̶Vasúti infrastruktúrák fejlesztése, működtetése és karbantartása |
|
LU |
̶Vasúti infrastruktúra kezelése ̶Vasúti teher- és személyszállítás |
|
LV |
Nem alkalmazandó |
|
MT |
Nem alkalmazandó |
|
NL |
Nem azonosítottak szolgáltatásokat ebben az alágazatban |
|
PL |
̶Vasúti menetrendek készítése ̶Vasúti személyszállítás ̶Vasúti teherszállítás |
|
PT |
̶A 2012/34/EU európai parlamenti és tanácsi irányelv 3. cikkének 2. pontjában meghatározott pályahálózat-működtetők ̶A 2012/34/EU irányelv 3. cikkének 1. pontjában meghatározott vasúti társaságok, ideértve a 2012/34/EU irányelv 3. cikkének 12. pontjában meghatározott kiszolgáló létesítmény üzemeltetőjét is. |
|
RO |
̶Forgalomellenőrzés és -irányítás ̶Áruszállítás ̶Veszélyes áruk szállítása ̶Személyszállítás ̶Metrók, villamosok és más helyiérdekű vasúti rendszerek ̶A vasúti infrastruktúra karbantartása ̶A járművek karbantartása |
|
SE |
̶Infrastruktúra-üzemeltetés ̶Személyszállítás ̶Teherszállítás |
|
SI |
̶Helyközi vasúti személyszállítás ̶Vasúti áruszállítás ̶Szárazföldi szállításhoz kapcsolódó szolgáltatási tevékenységek (vasútállomások üzemeltetése stb.) |
|
SK |
̶Pályahálózat-működtetők ̶Vasúti társaságok |
|
UK |
̶Vasúti szolgáltatások ̶Nagysebességű vasúti szolgáltatások ̶Metrók, villamosok és más helyiérdekű vasúti rendszerek (ideértve a földalatti rendszereket is) ̶Nemzetközi vasúti szolgáltatások |
HL L 194., 2016.7.19., 1. o.
2019. szeptemberig mind a 28 tagállam elküldte az értesítést a teljes körű átültetésről.
A Bizottság közleménye az Európai Parlamentnek és a Tanácsnak: A kiberbiztonsági irányelv maximális kihasználása – a hálózati és információs rendszerek biztonságának az egész Unióban egységesen magas szintjét biztosító intézkedésekről szóló 1148/2016/EU irányelv hatékony végrehajtása felé, COM(2017) 476.
A tagállamok, a Bizottság és az ENISA (Európai Uniós Kiberbiztonsági Ügynökség) alkotta Kiberbiztonsági Együttműködési Csoport létrehozott egy külön munkafolyamatot azzal a céllal, hogy a tagállamok körében biztosítsák az alapvető szolgáltatásokat nyújtó szereplők azonosításával kapcsolatos információk és bevált gyakorlatok megosztását.
Például 2017 májusában a WannaCry nevű zsarolóvírusnak egyetlen nap elég volt ahhoz, hogy több mint 150 országban elterjedjen és a becslések szerint 200 000 számítógépet fertőzzön meg.
A kiberbiztonsági együttműködési csoport szerint a szolgáltatások belső piacának nyitottsága „határokon átnyúló kockázatokat hordoz magában és függőséghez vezethet, ami alapvető hatással van az ilyen szolgáltatások hozzáférhetőségére, integritására és bizalmas jellegére”.
A kiberbiztonsági irányelv 10. cikkének (3) bekezdésével összhangban a tagállamoknak évente összefoglaló jelentést kell benyújtaniuk az együttműködési csoportnak a biztonsági eseményekkel kapcsolatban kapott bejelentésekről.
Az ágazatközi tényezők közé tartozik például az adott szolgáltatásra támaszkodó felhasználók száma, illetve az adott szolgáltatás vagy szervezet piaci részesedése. Az ágazatspecifikus tényezők közé tartozik például az internetkapcsolódási pontokhoz (IXP) kapcsolódó autonóm rendszerek száma vagy a valamely pénzügyi intézmény által évente végrehajtott tranzakciók száma.
Ausztria, Belgium, Görögország, Magyarország, Románia és Szlovénia.
A Tanács 2008/114/EK irányelve (2008. december 8.) az európai kritikus infrastruktúrák azonosításáról és kijelöléséről, valamint védelmük javítása szükségességének értékeléséről. Az irányelv célja a kritikus infrastruktúrák védelmének megerősítése az energia- és közlekedési ágazatban.
Az azonos adatpontok kitakarják egymást. Ez az oka annak, hogy a grafikonon nem látszik mind a 28 adatpont. Például 17 tagállam pontosan három alapvető szolgáltatást azonosított a digitális infrastruktúrák esetében.
Például az egyik tagállam hét tényezőt határozott meg (négy úgynevezett „szereplőtől függő tényezőt” és három „hatástól függő tényezőt”), amelyet egyetlen képletbe illesztett be. Ha a számítás útján kapott végleges érték meghalad egy bizonyos küszöbértéket, a szóban forgó szereplőt alapvető szolgáltatásokat nyújtó szereplőként ismerik el.
A kiberbiztonsági irányelv II. melléklete nem terjed ki a logisztikai ágazatra.
Az azonos adatpontok kitakarják egymást. Ez az oka annak, hogy a grafikonon nem látszik mind a 25 adatpont. Például Dánia és Hollandia a légi közlekedési alágazatban 1 000 000 lakosra vetítve egyaránt 0,35 alapvető szolgáltatásokat nyújtó szereplőt azonosított.
Identification of Operators of Essential Services – Reference document on modalities of the consultation process in cases with cross-border impact [Az alapvető szolgáltatásokat nyújtó szereplők azonosítása – Referenciadokumentum a határokon átnyúló hatással járó esetekben folytatandó egyeztetési eljárás módozatairól], az együttműködési csoport 07/2018. sz. kiadványa.
Az Európai Parlament és a Tanács 2002/21/EK irányelve (2002. március 7.) az elektronikus hírközlő hálózatok és elektronikus hírközlési szolgáltatások közös keretszabályozásáról.
Az energetikai és digitális infrastruktúrákkal kapcsolatos munkafolyamatokat 2018 júniusában, illetve 2019 júliusában hozták létre.
A Finnország által alkalmazott azonosítási módszer miatt az egészségügyi ágazatban nagyon sok, alapvető szolgáltatásokat nyújtó szereplőt azonosítottak.
