Access to European Union law
<a href="https://eur-lex.europa.eu/content/help/eurlex-content/experimental-features.html" target="_blank">More about the experimental features corner</a>
Choose the experimental features you want to try
EUR-Lex
Access to European Union law

This document is an excerpt from the EUR-Lex website

You are here
Use quotation marks to search for an "exact phrase". Append an asterisk (*) to a search term to find variations of it (transp*, 32019R*). Use a question mark (?) instead of a single character in your search term to find variations of it (ca?e finds case, cane, care).
Search tips
Need more search options? Use the Advanced search

Document 32019R0881

    Az uniós kiberbiztonsági jogszabály

    Az utolsó felülvizsgálat dátuma:
    18/06/2024
    Létrehozás időpontja:
    23/04/2020
    Összefoglalt dokumentum(ok):
    Kibocsátó vagy szerző:
    Az Európai Unió Kiadóhivatala
    Felelős szervezeti egység(ek):
    A Tartalmak, Technológiák és Kommunikációs Hálózatok Főigazgatósága

    Az uniós kiberbiztonsági jogszabály

     

    ÖSSZEFOGLALÓ AZ ALÁBBI DOKUMENTUMRÓL:

    Az Európai Uniós Kiberbiztonsági Ügynökségről és az információs és kommunikációs technológiák kiberbiztonsági tanúsításáról szóló (EU) 2019/881 rendelet (kiberbiztonsági jogszabály)

    MI A RENDELET CÉLJA?

    A rendelet célja a kiberbiztonság, a kiberellenálló képesség és az Európai Unióba (EU) vetett bizalom magas szintjének elérése az alábbiak révén:

    • egy új, állandó megbízatással rendelkező, megerősített és átkeresztelt Európai Uniós Kiberbiztonsági Ügynökség (ENISA) célkitűzéseinek, feladatainak és szervezeti vonatkozásainak meghatározása;
    • az önkéntes európai kiberbiztonsági tanúsítási rendszerek keretrendszerének megállapítása az információs és kommunikációs technológiai (IKT) termékek, szolgáltatások és folyamatok területén.

    FŐBB PONTOK

    Az ENISA megbízatása a következőket foglalja magában:

    • egységesen magas szintű kiberbiztonság elérése az egész Unióban;
    • a nemzeti hatóságok és uniós intézmények, szervek, hivatalok és ügynökségek támogatása a kiberbiztonság javítása terén;
    • a kiberbiztonsággal kapcsolatos tudományos és műszaki tanácsadás és szakértelem referenciapontjaként szolgálni az uniós intézmények, szervek, hivatalok és ügynökségek, valamint egyéb uniós érdekelt felek számára;
    • hozzájárulni a belső piac széttagoltságának csökkentéséhez;
    • függetlenül eljárni, elkerülni a tagállamok tevékenységeivel való párhuzamosságokat és figyelembe venni a nemzeti szakértelmet;
    • kiépíteni a saját technikai, humán és szakértelemmel kapcsolatos erőforrásait.

    Az ENISA feladatai a következők:

    • az uniós szakpolitikák és jog kidolgozása és végrehajtása;
    • a kapacitásépítés támogatása, például a kiberfenyegetések* jobb megelőzése, felderítése, elemzése és az azokra való reagálás, valamint a nemzeti számítógép-biztonsági eseményekre reagáló csoportok (CSIRT-ek) kialakítása vagy uniós szintű kiberbiztonsági gyakorlatok szervezése révén;
    • az összes érintett érdekelt fél, köztük az uniós intézmények, szervek és hivatalok hálózatbiztonsági vészhelyzeteket elhárító csoportja (CERT-EU) közötti uniós operatív együttműködés támogatása, különösen a know-how és a bevált gyakorlatok megosztása, releváns iránymutatások kiadása, valamint az uniós és a nemzeti CSIRT-ek hálózatának kiszolgálása révén;
    • az IKT-termékek, -szolgáltatások és -folyamatok uniós kiberbiztonsági tanúsítása kidolgozásának és végrehajtásának támogatása és előmozdítása az új európai kiberbiztonsági tanúsítási keretrendszer keretében létrejövő rendszerek előkészítése terén betöltött szerepének részeként;
    • a kiberbiztonsággal – főként a kialakulóban lévő új technológiákkal, a kiberbiztonsági fenyegetésekkel és eseményekkel – kapcsolatos ismeretek és információk összegyűjtése és elemzése a nemzeti hatóságok és a releváns érdekelt felek, valamint egy erre a célra kialakított portálon keresztül a nyilvánosság (polgárok, szervezetek és vállalkozások) tájékoztatása és számukra történő tanácsadás céljából;
    • a közvélemény kiberbiztonsági kockázatokkal kapcsolatos tudatosságának növelése, és iránymutatás nyújtása a bevált gyakorlatokról az egyéni felhasználók számára, továbbá a kiberbiztonsággal kapcsolatos tudatosság és oktatás általános előmozdítása;
    • a kutatási szükségletekre és prioritásokra vonatkozó tanácsadás, továbbá hozzájárulás a kiberbiztonság területén az uniós szintű stratégiai kutatáshoz és innovációhoz;
    • a kiberbiztonsággal kapcsolatos kérdésekre vonatkozó együttműködés elősegítése a nemzetközi partnerekkel és szervezetekkel.

    Az ENISA igazgatási és irányítási struktúrája a következőkből áll:

    • az uniós tagállamonként egy képviselőből és az Európai Bizottság által kijelölt két tagból álló igazgatótanács meghatározza az ügynökség tevékenységeinek általános irányát, és biztosítja, hogy az ügynökség olyan feltételek mellett végezze tevékenységét, amelyek lehetővé teszik az alapító rendelettel összhangban történő szolgálatot;
    • a felügyelőtestület, amely öt tagból áll, előkészíti az igazgatótanács által elfogadandó határozatokat;
    • az ügynökség vezetése a független ügyvezető igazgató feladata, aki a tevékenységéért az igazgatótanácsnak tartozik felelősséggel, és feladatai teljesítéséről beszámol az Európai Parlamentnek és az Európai Unió Tanácsának, ha erre felkérik;
    • az ENISA tanácsadó csoportja a releváns érdekelt feleket – például az IKT-ágazatot, az elektronikus hírközlő hálózatok és szolgáltatások nyújtóit, a kis- és középvállalkozásokat, a fogyasztókat, az alapvető szolgáltatásokat nyújtó szereplőket és a kiberbiztonság területén tevékenykedő tudományos szakembereket – képviselő elismert szakértőkből, valamint az Európai Elektronikus Hírközlési Kódex alapján bejelentett illetékes hatóságok, a szabványügyi szervek, a bűnüldöző hatóságok és az adatvédelmi felügyeleti hatóságok képviselőiből áll, és az érdekeltek számára fontos kérdésekre összpontosít, valamint felhívja ezekre az ENISA figyelmét;
    • a nemzeti kapcsolattartó tisztviselők hálózata, amely valamennyi tagállam képviselőiből áll; megkönnyíti az ENISA és a tagállamok közötti információcserét, és támogatja az ENISA-t abban, hogy széles körben terjessze a tevékenységeivel, a megállapításaival és az ajánlásaival kapcsolatos információkat.

    A rendelet létrehozza a következőket:

    • az elismert szakértőkből álló érdekelt felek kiberbiztonsági tanúsítási csoportja, amelynek többek között az a célja, hogy tanácsot adjon a Bizottságnak az EU kiberbiztonsági tanúsítási keretrendszerével kapcsolatos stratégiai kérdésekben, és kérésre az ENISA-nak az ügynökség releváns feladataival kapcsolatos általános és stratégiai kérdésekben;
    • az európai kiberbiztonsági tanúsítási csoport (ECCG), amely nemzeti képviselőkből áll, célja pedig, hogy tanácsot adjon és segítséget nyújtson a Bizottságnak a jogszabály következetes végrehajtására és alkalmazására irányuló munkájával kapcsolatban, valamint az ENISA-nak a javasolt kiberbiztonsági tanúsítási rendszerek kidolgozásával kapcsolatban.

    Az ENISA:

    • 2019. június 27-től határozatlan időtartamra jön létre;
    • egységes programozási dokumentum alapján működik, amely tartalmazza az éves és többéves programozást;
    • betartja az Európai Bizottságnak a nem minősített érzékeny adatok és az EU-minősített adatok védelmére vonatkozó biztonsági szabályait;
    • nem adhatja tovább harmadik felek részére az általa kezelt vagy hozzá beérkezett bizalmas információkat;
    • teljes mértékben részt vesz a csalás, korrupció és más jogellenes tevékenységek elleni küzdelmet szolgáló uniós intézkedésekben;
    • a személyes adatokat a vonatkozó uniós szabályokkal összhangban kezeli.

    A rendelet létrehozza az európai kiberbiztonsági tanúsítási keretrendszert annak érdekében, hogy:

    • javítsa a belső piac működését a kiberbiztonság szintjének EU-n belüli javítása és az európai kiberbiztonsági tanúsítási rendszerekre vonatkozó, uniós szinten összehangolt megközelítés lehetővé tétele útján, az IKT-termékek, -szolgáltatások és -folyamatok digitális egységes piacának létrehozása céljából;
    • meghatározzon egy mechanizmust olyan tanúsítási rendszerek létrehozására, amelyek igazolják, hogy az e rendszerekkel összhangban értékelt IKT-termékek, -szolgáltatások és -folyamatok megfelelnek adott biztonsági követelményeknek, az e termékek, szolgáltatások és folyamatok által tárolt vagy továbbított vagy kezelt adatok, vagy az általuk ellátott funkciók vagy kínált szolgáltatások rendelkezésre állásának, hitelességének, sértetlenségének vagy titkosságának azok teljes életciklusa alatti védelme céljából.

    A keretrendszer értelmében:

    • a Bizottság:
      • közzéteszi az európai kiberbiztonsági tanúsítási rendszerekre vonatkozó uniós gördülő munkaprogramot, amelyben meghatározza a stratégiai prioritásokat, valamint azokat az IKT-termékeket, -szolgáltatásokat és -folyamatokat vagy ezek kategóriáit, amelyek valamelyik ilyen rendszer hatálya alá vonhatók,
      • kérheti, hogy az ENISA dolgozzon ki javasolt kiberbiztonsági tanúsítási rendszert, vagy vizsgáljon felül egy létezőt;
    • az ENISA:
      • megfelelő tervezeteket készít a Bizottság vagy az európai kiberbiztonsági tanúsítási csoport felkérésére,
      • ötévente értékel minden egyes elfogadott tanúsítási rendszert, a kapott visszajelzések figyelembevételével,
      • külön honlapot tart fenn, amely információkat nyújt a rendszerekről, tanúsítványokról és megfelelőségi nyilatkozatokról.

    Az önkéntes európai kiberbiztonsági tanúsítási rendszerek:

    • célja különböző biztonsági célkitűzések elérése, például a tárolt, továbbított vagy kezelt adatok védelme;
    • megjelölik az IKT-termékek, -szolgáltatások és -folyamatok biztonsági szintjét alap, jelentős vagy magas minősítéssel;
    • lehetővé teszik az alacsony kockázatot jelentő (azaz „alap” megbízhatósági szintű) IKT-termékek, -szolgáltatások és -folyamatok gyártói és szolgáltatói számára, hogy ezeket saját maguk értékeljék („megfelelőségi önértékelés”);
    • kötelezően tartalmaznak bizonyos elemeket, például a cél, a tárgy és a hatály, valamint az alkalmazott értékelési kritériumok és módszerek egyértelmű leírását;
    • felváltják a hasonló nemzeti rendszereket, bár tanúsítványaik lejáratukig érvényesek maradnak.

    A tanúsított IKT-termékek, -szolgáltatások, vagy -folyamatok gyártóinak és nyújtóinak nyilvánosan elérhetővé kell tenniük a következőket:

    • a végfelhasználóknak a termékek vagy szolgáltatások telepítésében, üzemeltetésében és karbantartásában segítséget nyújtó iránymutatások és ajánlások;
    • információk arról, hogy milyen időtartamra nyújtanak biztonsági támogatást;
    • elérhetőségi adataik;
    • a termékeiket vagy szolgáltatásaikat érintő, ismert kiberbiztonsági problémákkal kapcsolatos információkat tartalmazó online adatbankokra mutató hivatkozások.

    A tagállamok egy vagy több nemzeti kiberbiztonsági tanúsító hatóságot jelölnek ki, amelyek elegendő erőforrással és hatáskörrel rendelkeznek az európai kiberbiztonsági tanúsítási rendszerek szabályainak nyomon követésére, felügyeletére és végrehajtására.

    A Bizottság:

    • rendszeresen értékeli az elfogadott tanúsítási rendszerek hatékonyságát és alkalmazását, és mérlegeli, hogy valamely rendszert kötelezővé kell-e tenni;
    • az első részletes értékelést 2023. december 31-ig végezte el, az ezt követő értékeléseket legalább kétévenként kell majd elvégeznie;
    • 2024. június 28-ig értékelte, majd azt követően ötévente értékeli az ENISA hatását, eredményességét és hatékonyságát.

    A természetes és a jogi személyeknek joguk van panaszt benyújtani az európai kiberbiztonsági tanúsítvány kibocsátójánál és hatékony bírósági jogorvoslatot igénybe venni.

    Végrehajtási jogi aktus

    2024 januárjában a Bizottság elfogadta az (EU) 2024/482 végrehajtási rendeletet (lásd az összefoglalót). Ez a jogi aktus szabályokat állapít meg az (EU) 2019/881 rendelet alkalmazására vonatkozóan a közös kritériumokon alapuló európai kiberbiztonsági tanúsítási rendszer (EUCC) elfogadása tekintetében. Ez az első uniós szintű rendszer és a „jelentős” vagy a „magas” megbízhatósági szintű tanúsítványokra vonatkozik olyan IKT termékek tekintetében, mint a hardverek és szoftverek, beleértve az a chipekhez és intelligens kártyákhoz hasonló összetevőket is. A rendelet részletes szabályokat határoz meg többek között a következő szempontokkal kapcsolatban:

    • a termékek és védelmi profilok EUCC-tanúsítványainak értékelésére, valamint kiállítására, megújítására és visszavonására vonatkozó egyedi szabványok és követelmények;
    • a tanúsítványok kibocsátására vagy értékelési tevékenységek végzésére akkreditált megfelelőségértékelő szervezetek;
    • a megfelelőség ellenőrzése és a meg nem felelés;
    • sebezhetőségkezelés és közzétételi eljárás;
    • a nyilvántartások megőrzése, az információk közzététele és védelme;
    • kölcsönös elismerési megállapodások nem uniós országokkal;
    • a tanúsító szervek szakértői értékelése;
    • a rendszer karbantartása; valamint
    • az EUCC hatálya alá tartozó nemzeti kiberbiztonsági tanúsítási rendszerek.

    Az EUCC végrehajtási rendelet 2025. február 27-én lép hatályba.

    Az (EU) 2019/881 rendelet és kapcsolódó végrehajtási rendelete nem érinti a tagállamok közbiztonsággal, honvédelemmel, nemzetbiztonsággal, valamint a büntetőjog területével kapcsolatos felelősségét.

    A rendelet 2019. június 27-től hatályon kívül helyezi az 526/2013/EK rendeletet.

    MIKORTÓL ALKALMAZANDÓ A RENDELET?

    A rendelet 2019. június 27. óta hatályos.

    A nemzeti kiberbiztonsági hatóságok kijelölésére, a megfelelőségértékelő szervezetek akkreditációjára és bejelentésére, az európai kiberbiztonsági tanúsítások kibocsátóinál történő panasz benyújtására, a bírósági jogorvoslat igénybevételéhez való jogra, valamint a szankciókra vonatkozó cikkek 2021. június 28-tól alkalmazandók.

    HÁTTÉR

    Az athéni székhelyű, és Iráklióban fiókteleppel rendelkező ENISA 2004 óta járul hozzá az EU hálózat- és információbiztonságához. További információk:

    KULCSFOGALMAK

    Kiberfenyegetés. Olyan potenciális körülmény, esemény vagy cselekmény, amely károsíthatja vagy megzavarhatja a hálózati és információs rendszereket, az ilyen rendszerek felhasználóit és más személyeket, vagy azokra egyéb kedvezőtlen hatást gyakorolhat.

    FŐ DOKUMENTUM

    Az Európai Parlament és a Tanács (EU) 2019/881 rendelete (2019. április 17.) az ENISA-ról (az Európai Uniós Kiberbiztonsági Ügynökségről) és az információs és kommunikációs technológiák kiberbiztonsági tanúsításáról, valamint az 526/2013/EU rendelet hatályon kívül helyezéséről (kiberbiztonsági jogszabály) (HL L 151., 2019.6.7., 15–69. o.)

    KAPCSOLÓDÓ DOKUMENTUMOK

    A Bizottság (EU) 2024/482 végrehajtási rendelete (2024. január 31.) a közös kritériumokon alapuló európai kiberbiztonsági tanúsítási rendszer (EUCC) elfogadása tekintetében az (EU) 2019/881 európai parlamenti és tanácsi rendelet alkalmazására vonatkozó szabályok megállapításáról (HL L, 2024/482, 2024.2.7.)

    Az Európai Parlament és a Tanács (EU) 2018/1725 rendelete (2018. október 23.) a természetes személyeknek a személyes adatok uniós intézmények, szervek, hivatalok és ügynökségek általi kezelése tekintetében való védelméről és az ilyen adatok szabad áramlásáról, valamint a 45/2001/EK rendelet és az 1247/2002/EK határozat hatályon kívül helyezéséről (HL L 295., 2018.11.21., 39–98. o.)

    Az Európai Parlament és a Tanács (EU) 2016/1148 irányelve (2016. július 6.) a hálózati és információs rendszerek biztonságának az egész Unióban egységesen magas szintjét biztosító intézkedésekről (HL L 194., 2016.7.19., 1–30. o.)

    Az Európai Parlament és a Tanács (EU) 2016/679 rendelete (2016. április 27.) a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK rendelet hatályon kívül helyezéséről (általános adatvédelmi rendelet) (HL L 119., 2016.5.4., 1–88. o.)

    Az eredeti szöveg tartalmazza az (EU) 2016/679 rendelet egymást követő kiigazításait. Ez az egységes szerkezetbe foglalt változat kizárólag tájékoztató jellegű.

    utolsó frissítés 18.06.2024

    Az oldal tetejére