Az európai parlamenti képviselők csütörtökön fogadták el azokat a szabályokat, amelyek szigorúbb felügyeleti és végrehajtási intézkedéseket írnak elő a tagállamok számára. A 2016-os hálózati és információbiztonságról szóló (NIS) irányelv volt az első uniós szintű kiberbiztonsági jogszabály, amelynek végrehajtása azonban nehézkesnek bizonyult, és a belső piac különböző szinteken történő széttagoltságát eredményezte. Az Európai Parlament oldalán olvasható közlemény szerint az Európai Bizottság a digitalizáció és a kibertámadások fenyegetettségeire válaszul nyújtott be javaslatot az NIS-irányelv felváltására, hogy megerősítse a biztonsági követelményeket és az ellátási láncok biztonságát, egyszerűsítse a jelentési kötelezettségeket, ezzel párhuzamosan pedig szigorúbb felügyeleti intézkedéseket és végrehajtási követelményeket vezessen be, ideértve a szankciók uniós harmonizálását is.

Az EP képviselői és az Európai Tanács májusban állapodtak meg az új kiberbiztonsági kötelezettségekről a kockázatkezelés, a jelentéstételi kötelezettségek és az információmegosztás vonatkozásában. A követelmények kiterjednek az incidensekre adott válaszokra, a titkosításra és a sebezhetőség feltárására is, amelynek nyomán több szervezetnek és ágazatnak kell megfelelő intézkedéseket hoznia önmaga védelmében. Ez utóbbiak közé tartozik az energiaipar, a közlekedés, a bankszektor, az egészségügy, a digitális infrastruktúra, a közigazgatás és az űrágazat is. A korábbinál világosabb és pontosabb szabályokmellett az EP azt is szorgalmazta, hogy a lehető legtöbb kormányzati és állami szerv kerüljön az irányelvek hatálya alá.

Sosem volt még ilyen jó

A közlemény alapján ezek az olyan "fontos ágazatokat" is védik, mint például a postai szolgáltatások, a hulladékgazdálkodás, a vegyipar, az élelmiszeripar, az orvostechnikai eszközök gyártása, az elektronika, a gépek, a gépjárművek és a digitális szolgáltatások, és vonatkoznak majd az ide sorolt összes közép- és nagyvállalata. Fontos, hogy a különböző hatóságok és tagállamok közötti együttműködés és információmegosztás keretei között döntés született egy európai sebezhetőségi adatbázis létrehozásáról. A szöveget a képviselők 577 szavazattal, 6 ellenszavazat és 31 tartózkodás mellett fogadták el, ezt követően pedig a Tanácsnak is hivatalosan rá kel bólintania a törvényre, mielőtt azt az Európai Unió Hivatalos Lapjában is közzétennék.

A bejelentés kapcsán a holland Bart Groothuis EP-képviselőt idézik, aki szerint a zsarolóvírusok és más számítógépes fenyegetések már túl hosszú ideje zsákmányolták ki Európát, ezért cselekedni kellett a vállalkozások, kormányzatok és az európai társadalom ellenállóságának növelésére az ellenséges kiberműveletekkel szemben. A képviselő elmondta, hogy az új irányelv hozzávetőleg 160 ezer szervezetnek segít majd abban, hogy amunkához és az élethez is biztonságosabb hellyé tegye Európát, miközben lehetővé teszi a magánszektorral és a partnerekkel való információmegosztást szerte a világon. Szerinte az ipari léptékű támadásokkal szemben ipari léptékű reakcióra van szükség, a mostani szöveget pedig a valaha volt legjobb európai kiberbiztonsági jogszabálynak nevezte, ami hozzájárul az incidensek proaktív és szolgáltatásorientált kezeléséhez.