A napokban fogadták el az Európai Unió belső piacért és a fogyasztóvédelemért felelős bizottságának tagjai azt a tervezetet, amely a kritikus –  energetikai, közlekedési, pénzintézeti, egészségügyi és digitális – szolgáltatásokat nyújtó vállalatok kibervédelmi intézkedéseit szabályozná EU-s szinten. A tervezetre azonban még az Európai Parlamentnek és a Miniszterek Tanácsának is rá kell bólintania – áll brüsszeli közleményben.

Az első összeurópai szabályozás a kiberbiztonságra

Az új direktíva (Network and Information Security Directive – NIS) összeurópai szinten kívánja szabályozni a hálózati és információs rendszerek biztonságát. Jelenleg ugyanis a 28 tagállamban meglehetősen eltérő a szabályozás, jószerivel a 28 tagállam 28-féleképpen értelmezi kiberbiztonságot. A direktíva szerint a létfontosságú szolgáltatói körbe tartozó vállalatoknak pedig a jövőben minden komolyabb biztonsági incidens jelenteniük kellene majd a helyi hatóságoknak.

Az unió által különösen kényes szolgáltatásoknak számít egyebek mellett az online bankolás, az áramszolgáltatás, a repülőtéri irányító rendszerek, amelyeket különféle emberi hibák, technikai malőrök, valamint rosszindulatú támadások is veszélyeztetnek. Az ilyen eseményekből becslések szerint évi 260-340 milliárd eurós kár keletkezik az Unión belül.

A tervezet a tagállami feladatok közé sorolja az érintett szolgáltatói kör listájának összeállítását a direktívában előírt kritériumok alapján. Ilyen kritérium például az, hogy az adott szolgáltatás mennyire kritikus a társadalom és a gazdaság szempontjából, működése mennyire alapul hálózati és információs rendszereken, és egy esetleges kibertámadás milyen hatást gyakorolhat magára a szolgáltatásra, illetve a közbiztonságra.

Néhány digitális szolgáltatónak – ide tartoznak többek között az online piactereket működtető vállalkozások, a keresőmotorok vagy a felhőszolgáltatók is –, meg kell erősíteniük az infrastruktúrájuk biztonságát, és a nagyobb incidenseket nekik is jelenteniük kell a helyi hatóságoknak még akkor is, ha nem EU-s vállalkozásról van szó (Amazon, eBay, Google stb.). A kritikus ágazatokban tevékenykedő mikro- és kisvállalkozásokra nem vonatkoznának ezek az előírások.

Kulcskérdés a tagállamok közötti együttműködés

Ahhoz, hogy az Unióban meg lehessen teremteni a biztonság magas szintjét, és fel lehessen építeni a tagországok közötti bizalmat, a tervezet szerint fel kell állítani egy stratégiai együttműködési csoportot, amely támogatja az információcserét, és segít a tagországok kiberbiztonsági kapacitásainak a kiépítésében. Minden egyes tagországnak rendelkeznie kell elfogadott nemzeti NIS stratégiával is.

Az új szabályokkal összefüggő feladatok közé tartozik még, hogy a tagállamok mindegyikében fel kell állítani egy, a kibertámadásokra szakszerű választ adó szakértői csapatot, az úgynevezett Computer Security Incident Response Teamet (CSIRT). Ez a szakértői csapat kezelné az aktuális incidenseket, a velük járó kockázatokat, megvitatná az aktuális eseménnyel kapcsolatos határon átnyúló biztonsági kérdéseket, és koordinálná a megfelelő válaszlépéseket.

Az Unió hálózati és információbiztonsági ügynöksége, az ENISA (The European Network and Information Security Agency) ugyancsak kulcsszerepet játszik majd a direktívák érvényre juttatásában, de a szervezetre mindenekelőtt a tagországok közti együttműködésben számítanának.

Következő lépésként ún. jogász-nyelvészek ellenőrzik a NIS tervezetet (ők gondoskodnak arról, hogy az új jogszabályok minden európai nyelven ugyanazt jelentsék), mielőtt az a Miniszterek Tanácsa, illetve a Parlament elé kerül. Azt követően hozzák nyilvánosságra az EU hivatalos lapjában, amitől számított 20 nap múlva lép érvénybe. A tagországoknak a nyilvánosságra hozatal után 21 hónapjuk van arra, hogy a direktívát beillesszék a helyi törvények közé, és még további hat hónapjuk, hogy összeállítsák a törvény hatálya alá eső, kritikus szolgáltatásokat végző vállalatok listáját.

Magyarország jól áll, de a listázásnak még csak az elején járunk

Hogyan áll Magyarország a várható feladatok teljesítésével? – erről kérdeztük Krasznay Csaba kiberbiztonsági szakértőt, a Nemzeti Közszolgálati Egyetem adjunktusát.

Krasznay Csaba, kiberbiztonsági szakértő, adjunktus,
Nemzeti Közszolgálati Egyetem

"Fontos előrelépés, hogy egy újabb bizottság hagyta jóvá a tervezetet, ami egyébként már évek óta ott van az Európai Bizottság előtt. Az elfogadás azért húzódik ilyen sokáig, mert a direktíva tartalma eléggé sérti az egyes tagállamok érdekeit. Olyan követelményeket támaszt, amelyek az egyes piaci szereplők számára nem annyira könnyen teljesíthetőnek tűnnek. Kényes téma a tagországok közötti információmegosztás, az incidensek bejelentési kötelezettsége" – emeli ki a szakértő, aki egyébként fontosnak tartja, hogy legyen összeurópai előírás erre a területre.

"Magyarország az unión belül az elsők között halad a kiberbiztonság szabályozásában, legalábbis ami a szabályozási és intézmény rendszer felállítását illeti – hangsúlyozta Krasznay. Például már 2013 óta létezik a lokalizált magyar NIS Nemzeti Kiberbiztonsági Stratégia néven, de az ugyancsak 2013-as információbiztonsági törvény is többé-kevésbé lefedi a direktíva által érintett területeket.

Ami az intézményrendszer kialakítását illeti, 2015. október elsején állt fel a Nemzeti Kibervédelmi Intézet, amelynek a feladata a nemzetközi együttműködés, és ennek a szervezetnek a keretében működik a kormányzati eseménykezelő központ, a GovCERT.
Az információs rendszereket érő incidensek kezelésével rajta kívül még legalább két szervezet foglalkozik, az egyik a hazai katasztrófavédelmen belül működő Létfontosságú Rendszerek és Létesítmények Informatikai Biztonsági Eseménykezelő Központ (LRLIBEK). Ott van továbbá az internetszolgáltatók esetében eljáró és a szóban forgó szolgáltatói kör tanácsa által működtetett Hun-CERT is.

A direktívával összefüggő további feladattal, vagyis az érintett szervezetek listázásával kapcsolatban még nagyon az elején járunk, de a törvényi felhatalmazás már megszületett. "A katasztrófavédelemre vonatkozó 2012-es törvény ugyanis a létfontosságú rendszerelemek mellett előírja a létfontosságú rendszerelemek azonosítását, amelyre hivatkozva az információbiztonsági törvény a kritikus elektronikus információs infrastruktúrák listázását is megköveteli" – mondja Krasznay Csaba.

A szakértő szerint amiben még komoly feladatunk van, az a gyakorlatba való átültetés, az olajozott működtetés kialakítása. Mint mondta, "a legkényesebb kérdés a kötelező információmegosztás, mi a minimális szint, ami még kell az adott incidens kezeléséhez, illetve mi a maximális megosztás, ami még nem sérti a tagállami érdekeket."