Májustól jelentősen szigorítja a technológiatranszfert az amerikai kormányzat. Mint a Nikkei írja, engedélyhez kötnek minden olyan tranzakciót, amely ellenségesnek minősített országok vállalataival történik.
A szigorítás értelmében minden USA-ban működő vállalatnak engedélyt kell kérnie arra, hogy Kínából, Oroszországból, Észak-Koreából, Iránból, Venezuelából vagy Kubából beszerzett IT-technológiákat használhasson. A rendelet nem nevez meg konkrét vállalatokat, az új szabályok minden olyan gazdasági szervezet informatikai termékeire vonatkozik, amely a hat ország joghatósága vagy irányítása alá tartozik. Az amerikai kormány célja az, hogy elejét vegye nemzetbiztonsági szempontból érzékeny adatok kiszivárgásának ezekbe az országokba.
Bár a technológiai transzferek szigorítása most már hat országot érint, a Nikkei szerint az első számú célpont továbbra is Kína. Ez érthető is, hiszen az amerikai vállalatoknak elsősorban a távol-keleti országgal van erős technológiai jellegű kapcsolata. A szabályozás pikantériája, hogy a szigorítás bevezetéséről még Trumpék döntöttek, Joe Bidenék pedig hagyták, hogy csendben életbe is lépjen.
4,5 millió céget érinthet
A lépés durván növeli a vállalatok bürokratikus terheit, de a kormányzatot is komoly feladat elé állítja. Az USA kereskedelmi minisztériumának becslése szerint az országban mintegy 6 millió vállalkozás működik, és ezek háromnegyede, azaz kb 4,5 millió alkalmaz külföldi technológiát. A rendelet hatása egyébként globális, hiszen értelemszerűen a külföldi vállalatok USA-ban működő egységeire is vonatkoznak, így végső soron azok nem USA-ban működő részeire is.
A minisztérium hatáselemzése szerint a rendeletnek való megfelelés költsége elérheti az évi 10 milliárd dollárt. Ezt jórészt a cégek fizetik meg – az amerikai kereskedelmi kamara már el is kezdett lobbizni, hogy legalább egy időre függesszék fel a végrehajtást, mert aránytalan terhet ró a vállalkozásokra, és a szabályozás nem is egyértelmű. Biztonsági szakértők pedig azért bírálják a rendeletet, mert szerintük nem valószínű, hogy csökkenti az adatszivárgás kockázatát.
A kereskedelmi minisztérium, melynek feladata lesz az engedélyek kiadása, úgy próbálja csökkenteni a kásahegyet, hogy előzetes licenceket ajánl fel majd a cégeknek. A sztenderd folyamat szerint egyébként a vállalkozásoknak kell adatokat szolgáltatniuk minden érintett informatikai eszközről és szolgáltatásról. Ha a minisztérium megtiltja azok alkalmazását, akkor a vállalatok kifogással élhetnek a döntéssel szemben, illetve ha tudnak, tehetnek olyan lépéseket, amikkel a kockázatokat elfogadható szintre csökkentik. A szabályokat megsértőket büntetőjogi szankciók fenyegetik.
A korlátozások érintik többek között a kritikus infrastruktúrában és a telekommunikációs hálózatokban használt hardvereket és szoftvereket, a mesterséges intelligenciát és a kvantumszámítástechnikát. Emellett vonatkozik minden olyan termékre és szolgáltatásra, amely valamilyen módon kezel személyes adatok (felhőszolgáltatások stb.), valamint alkalmas megfigyelésre (pl. térfigyelő kamerák, szenzorok, drónok).
Hol lesz a vége?
Az Egyesült Államok és Kína konfliktusa a távközlési piacon a 2010-es évek eleje óta tart. Akkor egy hosszú kongresszusi vizsgálat jutott arra, hogy a távközlési iparban érdekelt kínai cégek beengedése az USA piacára nemzetbiztonsági kockázatot jelent. Piackorlátozó lépésekre azonban csak az évtized második felében került sor. Először kitiltották a kínai távközlésiberendezés-gyártókat az amerikai piacról, majd minden olyan technológiatranszfer megtiltottak, ami a kormány szerint veszélyezteteti az USA biztonságát.
Azok az intézkedések is nemzetközivé eszkalálódtak, de jobbára még csak az amerikai technológiai iparhoz szorosan kapcsolódó vállalkozásokat érintették (kivéve persze az 5G-hálózatuk építésébe épp belefogó távközlési cégeket). A mostani rendelet globális hatása azonban beláthatatlan, hiszen végső soron akár egy magyar, de amerikai irodával rendelkező vállalkozás üzleti folyamatait is alapvetően befolyásolhatja.
A NIS2-megfelelőség néhány technológiai aspektusa
A legtöbb vállalatnál a megfeleléshez fejleszteni kell a védelmi rendszerek kulcselemeit is.
CIO KUTATÁS
TECHNOLÓGIÁK ÉS/VAGY KOMPETENCIÁK?
Az Ön véleményére is számítunk a Corvinus Egyetem Adatelemzés és Informatika Intézetével közös kutatásunkban »
Kérjük, segítse munkánkat egy 10-15 perces kérdőív megválaszolásával!
Nyílt forráskód: valóban ingyenes, de használatának szigorú szabályai vannak