INT/999
A kiberrezilienciáról szóló jogszabály
VÉLEMÉNY
„Egységes piac, termelés és fogyasztás” szekció
Javaslat európai parlamenti tanácsi rendeletre a digitális elemeket tartalmazó termékekre vonatkozó horizontális kiberbiztonsági követelményekről és az (EU) 2019/1020 rendelet módosításáról
[COM(2022) 454 final – 2022/0272 (COD)]
Előadó: Maurizio MENSI
Társelőadó: Marinel Dănuț MUREŞAN
|
Felkérés:
|
Európai Parlament, ...
Tanács, 2022. 10. 28.
|
|
Jogalap
|
az Európai Unió működéséről szóló szerződés 114. cikke
|
|
|
|
|
Illetékes szekció:
|
„Egységes piac, termelés és fogyasztás” szekció
|
|
Elfogadás a szekcióülésen:
|
2022. 11. 10.
|
|
A szavazás eredménye:
(mellette/ellene/tartózkodott)
|
35/0/0
|
|
Elfogadás a plenáris ülésen:
|
ÉÉÉÉ/HH/NN
|
|
Plenáris ülésszak száma:
|
xx.
|
|
A szavazás eredménye:
(mellette/ellene/tartózkodott)
|
xx/xx/xx
|
1.Következtetések és ajánlások
1.1Az EGSZB üdvözli az Európai Bizottságnak a kiberrezilienciáról szóló jogszabályra (Cyber Resilience Act – kiberrezilienciáról szóló jogszabály) irányuló javaslatát, amelynek célja, hogy magasabb szintű kiberbiztonsági normákat határozzon meg és megbízható rendszert hozzon létre a gazdasági szereplők számára, továbbá biztosítsa a piacon forgalmazott termékek biztonságos használatát az uniós polgárok számára. A kezdeményezés az európai adatstratégia része, amely megerősíti az adatok, köztük a személyes adatok biztonságát és az alapvető jogokat, ami digitális társadalmunk alapvető követelménye.
1.2Az EGSZB alapvető fontosságúnak tartja a kibertámadásokra adott kollektív válasz megerősítését és a nemzeti szintű kiberbiztonság harmonizálási folyamatát az operatív szabályok és eszközök tekintetében annak elkerülése érdekében, hogy az eltérő tagállami megközelítések jogbizonytalanságot és akadályokat teremtsenek.
1.3Az EGSZB üdvözli az Európai Bizottság kezdeményezését, amely nemcsak a kibertámadások által a vállalkozások számára okozott jelentős költségek csökkentéséhez tud majd hozzájárulni, hanem a polgárok/fogyasztók számára is lehetővé fogja tenni alapvető jogaik, például a magánélet védelmének erősítését. Az Európai Bizottság azt állítja, hogy tanúsító hatóságok által nyújtott szolgáltatások esetében figyelembe veszik a kkv-k sajátos igényeit; az EGSZB azonban rámutat arra, hogy tisztázni kell az alkalmazandó kritériumokat.
1.4Az EGSZB fontosnak tartja hangsúlyozni, hogy bár üdvözlendő, hogy a kiberrezilienciáról szóló jogszabály gyakorlatilag minden digitális termékre kiterjed, a gyakorlati alkalmazásával kapcsolatban problémák merülhetnek fel, mivel jelentős és összetett ellenőrzési és felügyeleti munkát igényel. Ezért meg kell erősíteni a nyomon követésre és ellenőrzésre szolgáló eszközöket.
1.5Az EGSZB megjegyzi, hogy pontosan tisztázni kell a kiberrezilienciáról szóló jogszabály tárgyi hatályát, különös tekintettel a digitális elemeket és szoftvereket tartalmazó termékekre.
1.6Az EGSZB megjegyzi, hogy a gyártóknak jelenteniük kell egyrészt a termékek biztonsági réseit, másrészt pedig az esetleges biztonsági eseményeket, és ezekről tájékoztatniuk kell az Európai Uniós Kiberbiztonsági Ügynökséget (ENISA). E tekintetben fontos, hogy az ügynökség rendelkezzen a rábízott releváns és érzékeny feladatok pontos és hatékony ellátásához szükséges erőforrásokkal.
1.7Az értelmezési bizonytalanságok elkerülése érdekében az EGSZB azt javasolja, hogy az Európai Bizottság dolgozzon ki iránymutatásokat a gyártók és a fogyasztók számára az alkalmazandó konkrét szabályokról és eljárásokról, mivel úgy tűnik, hogy a javaslat hatálya alá tartozó számos termékre más kiberbiztonsági jogszabályok is vonatkoznak.
1.8Az EGSZB megjegyzi, hogy nem egészen egyértelmű a kiberrezilienciáról szóló jogszabály szerinti tanúsító hatóságok és a kiberbiztonság tanúsítására más szabályozási elvárások alapján felhatalmazott szervek közötti kapcsolat. Elvileg ugyanez az operatív koordinációs probléma merül fel az e javaslat által előirányzott felügyeleti hatóságok és az ugyanazon termékekre vonatkozó más jogszabályok alapján már működő felügyeleti hatóságok között is.
1.9Az EGSZB megjegyzi, hogy a javaslat jelentős számú tevékenységet és felelősséget ír elő a tanúsító hatóságok számára, amelyek gyakorlati működését biztosítani kell. Ennek célja annak megakadályozása is, hogy a kiberrezilienciáról szóló jogszabály a bürokratikus terhek növekedéséhez vezessen, és ezáltal hátrányos helyzetbe hozza azokat a gyártókat, akiknek egy sor további tanúsítási követelménynek kell megfelelniük ahhoz, hogy folytathassák tevékenységüket a piacon.
2.A javaslat elemzése
2.1Az Európai Bizottság a kiberrezilienciáról szóló jogszabályra (Cyber Resilience Act – CRA) irányuló javaslattal kívánja átfogó és horizontális módon racionalizálni és újrafogalmazni, ugyanakkor a technológiai újítások fényében aktualizálni is a hatályos kiberbiztonsági jogszabályokat.
2.2A kiberrezilienciáról szóló jogszabály alapvetően négy célkitűzést követ: biztosítani kívánja, hogy a gyártók a tervezés és fejlesztés szakaszában, valamint a teljes életciklus során növeljék a digitális elemeket tartalmazó termékek biztonságát; biztosítaná a kiberbiztonsági szabályok koherens keretét, megkönnyítve a hardver- és szoftvergyártók számára a követelményeknek való megfelelést; javítaná a digitális elemeket tartalmazó termékek biztonsági jellemzőinek átláthatóságát; és lehetővé tenné a vállalkozások és a fogyasztók számára az említett termékek biztonságos használatát. A javaslat lényegében bevezeti a kiberbiztonságra vonatkozó CE-jelölést, és előírja, hogy ezt a jelölést a kiberrezilienciáról szóló jogszabály által szabályozott valamennyi terméken fel kell tüntetni.
2.3Horizontális beavatkozásról van szó, amellyel az Európai Bizottság átfogóan kívánja szabályozni az egész témakört, mivel a hatály gyakorlatilag minden digitális elemeket tartalmazó termékre kiterjed. Csak az orvosi és katonai, valamint a polgári repüléssel és a járművekkel kapcsolatos termékek nem tartoznak ide. A javaslat nem terjed ki az SaaS (cloud) típusú szolgáltatásokra sem, kivéve, ha azokat digitális elemeket tartalmazó termékek feldolgozására használják.
2.4A „digitális elemeket tartalmazó termékek” fogalommeghatározása nagyon tág, és magában foglal minden szoftver- vagy hardverterméket, valamint a termékbe be nem épített, hanem külön forgalomba hozott szoftvert vagy hardvert.
2.5A rendelet kötelező kiberbiztonsági követelményeket vezet be azokra a termékekre, amelyek életciklusuk során digitális alkotóelemeket tartalmaznak, de nem lép a már meglévő követelmények helyébe. Azok a termékek viszont, amelyeket korábban az eleve hatályos uniós szabványoknak megfelelőnek minősítettek, az új rendelet értelmében is „érvényesnek” minősülnek.
2.6Az általános elv szerint Európában csak olyan „biztonságos” termékek kerülhetnek forgalomba, amelyek gyártói olyan módon járnak el, hogy ezek a termékek teljes életciklusuk során végig biztonságosak maradjanak.
2.7Egy termék akkor tekinthető „biztonságos”-nak, ha úgy tervezték és gyártották, hogy a használatához kapcsolódó kiberkockázatoknak megfelelő biztonsági szintet érjen el, ha az értékesítés időpontjában nem rendelkezik ismert biztonsági réssel, ha biztonságos default konfigurációval rendelkezik, ha védve van a tiltott kapcsolatokkal szemben, ha védi az általa gyűjtött adatokat, és ha az adatgyűjtés csak a működéséhez szükséges adatokra korlátozódik.
2.8Egy gyártó akkor tekinthető alkalmasnak termékei forgalmazására, ha nyilvánosságra hozza termékei különböző szoftverkomponenseinek listáját, új biztonsági rések esetén gyorsan kiadja az ingyenes javításokat, nyilvánosságra hozza és részletesen ismerteti az általa észlelt és megszüntetett biztonsági réseket, és rendszeresen ellenőrzi az általa forgalmazott termékek „megbízhatóságát”. Ezeket és a kiberrezilienciáról szóló jogszabály által előírt egyéb tevékenységeket a termék teljes élettartama alatt vagy a forgalomba hozatalát követően legalább öt éven keresztül kell végezni. A gyártó rendszeres szoftverfrissítésekkel köteles gondoskodni a biztonsági rések kiküszöböléséről.
2.9A különböző ágazatokban alkalmazott általános elv szerint kötelezettségek terhelik az importőröket és a forgalmazókat is.
2.10A kiberrezilienciáról szóló jogszabály rendelkezik az úgynevezett „alapvető” termékek és szoftverek tágan meghatározott kategóriájáról, amelyek esetében a gyártó önértékelésére lehet hagyatkozni, ahogyan az a CE-jelölésre vonatkozó tanúsítás más típusai esetében eleve történik. Az Európai Bizottság szerint a forgalmazott termékek 90%-a ebbe a kategóriába tartozik.
2.11A szóban forgó termékek azt követően hozhatók forgalomba, hogy a gyártó önértékelést végez kiberbiztonságukról, és benyújtja az erről szóló, a rendelet iránymutatásaiban meghatározott megfelelő dokumentációt. A termék módosítása esetén ugyanannak a gyártónak meg kell ismételnie az értékelést.
2.12A termékek fennmaradó 10%-át két másik kategóriába sorolják (I. osztály: kevésbé veszélyes, és II. osztály: veszélyesebb). Ezek forgalomba hozatala nagyobb körültekintést igényel. Ezek az úgynevezett „digitális elemekkel rendelkező kritikus termékek”, amelyek meghibásodása a biztonsági szabályok más, veszélyes és szélesebb körű megsértését eredményezheti.
2.13Az e két osztályba tartozó termékek esetében az alapvető öntanúsítások csak akkor fogadhatók el, ha a gyártó igazolja, hogy alkalmazta az EU által eleve megadott konkrét piaci szabványokat és biztonsági előírásokat vagy kiberbiztonsági tanúsítványokat. Ellenkező esetben a terméket egy akkreditált tanúsító szervezet tanúsíthatja. Az ilyen tanúsítás a II. osztályú termékek esetében kötelező. A termékek kockázati kategóriákba sorolásának rendszerét a mesterséges intelligenciáról szóló rendeletre irányuló javaslat is tartalmazza.
2.14A termékek kockázati kategóriákba sorolásának rendszerét a mesterséges intelligenciáról szóló rendeletre irányuló javaslat is tartalmazza. Az alkalmazandó rendelkezésekkel kapcsolatos kétségek elkerülése érdekében a kiberrezilienciáról szóló jogszabály a digitális elemekkel rendelkező termékeket olyan termékeknek tekinti, amelyek a javaslat szerint egyidejűleg a „nagy kockázatú MI-rendszerek” kategóriájába tartoznak. Az ilyen termékeknek általában meg kell felelniük az MI-rendeletben meghatározott megfelelőségértékelési eljárásnak, a „kritikus digitális termékek” kivételével, amelyekre a „kiberrezilienciáról szóló jogszabály alapvető követelményei mellett” a kiberrezilienciáról szóló jogszabály megfelelőségértékelési eljárásait kell alkalmazni.
2.15A kiberrezilienciáról szóló jogszabálynak való megfelelés biztosítása érdekében minden tagállamnak egy nemzeti hatóságot kell megbíznia a felügyeleti tevékenységgel. Más termékek biztonságára vonatkozó jogszabályokkal összhangban, ha egy nemzeti hatóság szerint egy termék kiberbiztonsági jellemzői nem megfelelőek, a termék forgalmazása az adott államban felfüggeszthető. Az ENISA hatáskörrel rendelkezik a bejelentett termékek részletes értékelésére, és értékelései alapján – amennyiben megállapítást nyer, hogy a termék nem biztonságos – annak EU-n belüli forgalmazása felfüggeszthető.
2.16A kiberrezilienciáról szóló jogszabály szankciós rendszerét számos – a jogsértés súlyosságától függő – büntetés garantálja, amelyek a termék kiberbiztonságára vonatkozó alapvető követelmények megsértése esetén elérhetik a 15 millió eurót vagy az előző pénzügyi év forgalmának 2,5%-át.
3.Megjegyzések
3.1Az EGSZB üdvözli az Európai Bizottság arra irányuló kezdeményezését, hogy a tágabb értelemben vett kiberbiztonsági szabályozásokat egy fontos elemmel egészítse ki a NIS-irányelvvel való összehangolás, illetve annak és a kiberbiztonsági jogszabálynak a kiegészítése érdekében. A magas szintű kiberbiztonsági szabványok valamennyi gazdasági szereplő esetében kulcsszerepet játszanak egy szilárd uniós kiberbiztonsági rendszer létrehozásában, és hasznosak annak biztosításában, hogy az uniós polgárok biztonságosan használhassák valamennyi forgalmazott terméket, illetve erősödjön a digitális világ iránti bizalmuk.
3.2A rendelet tehát két problémával foglalkozik: számos termék alacsony szintű kiberbiztonságával, és ami még fontosabb: azzal, hogy sok gyártó nem biztosít frissítéseket a biztonsági rések kijavítására. Bár a digitális elemeket tartalmazó termékek gyártóinak hírneve sérülhet, ha termékeik nem biztonságosak, a biztonsági rések árát többnyire a professzionális felhasználók és a fogyasztók fizetik meg. Ez korlátozza a gyártók arra irányuló ösztönzőit, hogy biztonságos termékek tervezésébe és fejlesztésébe befektessenek, és biztonsági frissítéseket biztosítsanak. Ezen túlmenően a vállalkozások és a fogyasztók gyakran nem rendelkeznek elegendő és pontos információval a biztonságos termékek kiválasztása során, és gyakran nem tudják, hogyan lehet biztosítani az általuk megvásárolt termékek biztonságos konfigurálását. Az új szabályok e két szempontot kezelik azáltal, hogy foglalkoznak a frissítések kérdésével és az ügyfelek naprakész tájékoztatásával. Az EGSZB úgy véli, hogy – amennyiben megfelelően alkalmazzák – a javasolt rendelet e tekintetben nemzetközi mércévé és modellé válhat a kiberbiztonság terén.
3.3Az EGSZB üdvözli a digitális elemeket tartalmazó termékekre vonatkozó kiberbiztonsági követelmények bevezetésére irányuló javaslatot. El kell azonban kerülni az átfedéseket más, ezzel a témával kapcsolatos hatályos jogszabályokkal, például az új NIS 2 irányelvvel és a mesterséges intelligenciáról szóló rendelettel.
3.4Az EGSZB fontosnak tartja hangsúlyozni, hogy bár üdvözlendő, hogy a kiberrezilienciáról szóló jogszabály gyakorlatilag minden digitális termékre kiterjed, a gyakorlati alkalmazásával kapcsolatban problémák merülhetnek fel, mivel jelentős ellenőrzési és felügyeleti munkát igényel.
3.5A kiberrezilienciáról szóló jogszabály tárgyi hatálya széleskörű, és minden digitális elemeket tartalmazó termékre kiterjed. A javasolt fogalommeghatározás szerint valamennyi szoftver- és hardvertermékre, valamint a kapcsolódó adatfeldolgozási műveletekre is vonatkozik. Az EGSZB azt javasolja, hogy az Európai Bizottság tisztázza, hogy minden szoftverre vonatkozik-e a szabályozás.
3.6A gyártók kötelesek lesznek jelenteni egyrészt az aktívan kihasznált biztonsági réseket, másrészt a biztonsági eseményeket. Kötelesek lesznek tájékoztatni az ENISA-t valamennyi, a termékben megtalálható, aktívan kihasznált biztonsági résről és (külön) a termék biztonságát befolyásoló minden eseményről, minden esetben a tudomásszerzéstől számított 24 órán belül. E tekintetben az EGSZB megállapítja, hogy az ENISA-nak mind számszerűleg, mind a szakmai háttér tekintetében megfelelő forrásokkal kell rendelkeznie ahhoz, hogy képes legyen a rendelet által rábízott fontos és érzékeny feladatok hatékony ellátására.
3.7Az, hogy a javaslat hatálya alá tartozó számos termékre más, a kiberbiztonsággal kapcsolatos jogszabályi követelmények is vonatkoznak, bizonytalanságot okozhat az alkalmazandó jogszabályt illetően. Bár a kiberrezilienciáról szóló jogszabály várhatóan összhangban lesz a termékekre vonatkozó jelenlegi uniós szabályozási kerettel és az EU digitális stratégiájával összefüggésben jelenleg előkészítés alatt álló egyéb javaslatokkal, egyes – például a magas kockázatú mesterségesintelligencia-termékekre vonatkozó – szabályok átfedésben vannak a személyes adatok feldolgozásáról szóló rendeletben foglalt szabályokkal. Ezzel kapcsolatban az EGSZB azt javasolja, hogy az Európai Bizottság dolgozzon ki iránymutatásokat a gyártók és a fogyasztók számára a kiberrezilienciáról szóló jogszabály megfelelő alkalmazásához.
3.8Az EGSZB megjegyzi, hogy nem egészen egyértelmű a kiberrezilienciáról szóló jogszabály szerinti tanúsító hatóságok és a kiberbiztonság tanúsítására más, hasonlóan alkalmazandó rendeletek alapján felhatalmazott szervek közötti kapcsolat.
3.9Emellett a tanúsító hatóságok jelentős terhet és felelősséget viselnek; gyakorlati működésüket ellenőrizni és biztosítani kell annak érdekében, hogy a kiberrezilienciáról szóló jogszabály ne vezessen az adminisztratív terhek növekedéséhez, amelyek már egyébként is sújtják a piacon jelen lévő gyártókat.
3.10A kiberrezilienciáról szóló jogszabály értelmében a tanúsító hatóságoknak az általuk nyújtott szolgáltatások esetében figyelembe kell venniük a kkv-k sajátos igényeit; az EGSZB azonban rámutat arra, hogy tisztázni kell az alkalmazandó kritériumokat.
3.11Emellett koordinációs probléma merülhet fel az e rendelet által előirányzott felügyeleti hatóságok és az ugyanazon termékekre vonatkozó más szabályozás alapján már működő felügyeleti hatóságok között. Az EGSZB ezért azt javasolja, hogy az Európai Bizottság szólítsa fel a tagállamokat, hogy ezt kövessék nyomon és szükség esetén tegyenek lépéseket ennek orvoslására.
Kelt Brüsszelben, 2022. november 10-én.
Alain Coheur
az „Egységes piac, termelés és fogyasztás” szekció elnöke
_____________
