Az EU kiberbiztonsága: stratégia és kulcsfontosságú szakpolitikák

Az EU kiberbiztonsági stratégiája

2020 októberében az uniós vezetők felszólították a tagállamokat:

• az EU kiberfenyegetésekkel szembeni védelmére
• biztonságos kommunikációs környezet létrehozására, többek között a kvantumtitkosítás révén
• az igazságszolgáltatási és bűnüldözési célú adathozzáférés biztosítására

Ennek hátterében az áll, hogy a nyílt és biztonságos kibertér kiépítését célzó erőteljesebb kiberbiztonsági intézkedések képesek növelni a polgárok által a digitális eszközökbe és szolgáltatásokba vetett bizalmat. A kiberbiztonság a hálózati és információs rendszereknek, az ilyen rendszerek felhasználóinak és a kiberfenyegetések által érintett más személyeknek a védelmét jelenti.

• Az Európai Tanács rendkívüli ülése, 2020. október 1–2.

Az Európai Bizottság és az Európai Külügyi Szolgálat (EKSZ) 2020 decemberében új uniós kiberbiztonsági stratégiát terjesztett elő. A cél megerősíteni Európa kiberfenyegetésekkel szembeni rezilienciáját, valamint biztosítani, hogy minden polgár és vállalkozás megbízható szolgáltatásokat és digitális eszközöket vehessen igénybe, és ezek előnyeit teljes mértékben ki tudja használni.

• Az uniós kiberbiztonsági stratégia (Európai Külügyi Szolgálat)

A Tanács 2021. március 22-én következtetéseket fogadott el a kiberbiztonsági stratégiáról, amelyekben hangsúlyozta, hogy a kiberbiztonság alapvető fontosságú ahhoz, hogy reziliens, zöld és digitális Európát tudjunk építeni. Az uniós tagállamok miniszterei kulcsfontosságú célkitűzésként határozták meg azt, hogy a nyitott gazdaság megőrzése mellett megvalósuljon a stratégiai autonómia. Ennek részeként – az EU digitális vezető szerepének és stratégiai kapacitásainak fokozása mellett – meg kell erősíteni az EU azon képességét, hogy a kiberbiztonság területén autonóm döntéseket hozzon.

• A Tanács következtetéseket fogadott el az uniós kiberbiztonsági stratégiáról (sajtóközlemény, 2021. március 22.)

Fő uniós kiberbiztonsági politikák

Kiberbiztonsági terv

A Tanács 2025. június 6-án elfogadta a kiberbiztonsági válságkezelésre vonatkozó uniós tervet.

A terv a 2017. évi kiberbiztonsági tervre építve átfogó és részletes keretet határoz meg a kiberválságok uniós szintű kezelésére vonatkozóan.

A kiberbiztonsági terv célja, hogy:

• biztosítsa a nagyszabású kiberbiztonsági eseményekre való hatékony és eredményes reagálást
• strukturáltabb együttműködést mozdítson elő a polgári és a katonai szereplők között
• ismertesse a kiberválság fogalmát, valamint a kiberválságokra vonatkozó mechanizmus aktiválásának módját

• Az EU tervet fogadott el az európai kiberbiztonsági válságok és események jobb kezelése céljából (sajtóközlemény, 2025. június 6.)

Az uniós kiberszolidaritási rendelet

A Tanács 2024. december 2-án elfogadta a kiberszolidaritásról szóló rendeletet. E rendelettel olyan uniós szintű képességek jönnek létre, amelyek reziliensebbé és válaszkészebbé teszik Európát a kiberfenyegetésekkel szemben, ugyanakkor az együttműködési mechanizmusokat is erősítik.

Az új szabályok:

• létrehozzák a „kiberbiztonsági riasztási rendszert”, amely páneurópai infrastruktúra nemzeti kiberközpontokból és határokon átívelően működő kiberközpontokból áll, és a kiberbiztonsági fenyegetések és események észleléséhez hivatott támogatást nyújtani
• rendelkeznek egy kiberbiztonsági vészhelyzeti mechanizmus létrehozásáról, amelynek célja fokozni a felkészültséget, valamint biztosítani a kritikus szervezetek és az alapvető szolgáltatások, például a kórházak és a közművek védelmét
• erősítik az uniós szintű szolidaritást, összehangolják a válságkezelési és -elhárítási képességeket a tagállamokban
• hozzájárulnak ahhoz, hogy biztonságos és védett digitális környezet álljon a polgárok és a vállalkozások rendelkezésére

A kiberszolidaritásról szóló rendelet 2025. február 4-én lépett hatályba.

• Kiberbiztonsági csomag: a Tanács új jogszabályokat fogadott el az EU kiberbiztonsági kapacitásainak megerősítése érdekében (sajtóközlemény, 2024. december 2.)

Az uniós kiberbiztonsági jogszabály

A Tanács által 2019. áprilisban elfogadott uniós kiberbiztonsági jogszabály a következőket vezette be:

• az EU egészére kiterjedő tanúsítási rendszer
• állandó és erősebb megbízatás az Európai Uniós Kiberbiztonsági Ügynökség (ENISA) számára

Európai tanúsítási rendszerek

Korábban az uniós országok különböző kiberbiztonsági tanúsítási rendszereket alkalmaztak az információs és kommunikációs technológiai (IKT) termékekre vonatkozóan, ami a piac széttagoltságához és szabályozási akadályokhoz vezetett. A kiberbiztonsági jogszabály az EU egészére kiterjedő egységes tanúsítási keretet hozott létre,

amelynek célja, hogy:

• növelje a bizalmat
• ösztönözze a kiberbiztonsági piac növekedését
• Unió-szerte megkönnyítse a kereskedelmet

A keret átfogó szabályrendszert, technikai követelményeket, szabványokat és eljárásokat biztosít.

Az EU 2024 decemberében elfogadta a kiberbiztonsági jogszabály célzott módosítását, hogy lehetővé tegye európai tanúsítási rendszerek létrehozását az „irányított biztonsági szolgáltatásokra” vonatkozóan, melyek magukban foglalják például a biztonsági események kezelését, a behatolási tesztelést, a biztonsági ellenőrzéseket, valamint a technikai támogatáshoz kapcsolódó tanácsadást.

Európai Uniós Kiberbiztonsági Ügynökség

Az athéni (Görögország) székhelyű Európai Uniós Kiberbiztonsági Ügynökség (ENISA) célja, hogy egységesen magas szintű kiberbiztonságot valósítson meg Unió-szerte. Az ügynökség segítséget nyújt a tagállamoknak, az uniós intézményeknek és az egyéb érdekelt feleknek a kiberbiztonság javításában és a kibertámadásokkal szembeni fellépésben.

Az ENISA 2004-ben jött létre, majd az uniós kiberbiztonsági jogszabály révén megerősödött: állandó megbízatást kapott, valamint bővültek forrásai és szerepe.

A Tanács 2024 decemberében következtetéseket hagyott jóvá, amelyek az Uniós Kiberbiztonsági Ügynökség megerősítésére vonatkozó ajánlásokat és javaslatokat tartalmaznak.

• Kiberbiztonsági csomag: a Tanács új jogszabályokat fogadott el az EU kiberbiztonsági kapacitásainak megerősítése érdekében (sajtóközlemény, 2024. december 2.)
• ENISA: a Tanács következtetéseket hagyott jóvá az EU kiberbiztonsági ügynökségének megerősítéséről (sajtóközlemény, 2024. december 6.)
• Európai Uniós Kiberbiztonsági Ügynökség (ENISA)

A kiberrezilienciáról szóló európai rendelet

A kiberrezilienciáról szóló rendelet, amelyet a Tanács 2024. október 10-én fogadott el, kiberbiztonsági követelményeket állapít meg az internethez vagy más eszközökhöz csatlakoztatott, digitális elemeket tartalmazó termékekre vonatkozóan. Ez biztosítja, hogy a forgalomba kerülő termékek, például a csatlakoztatott otthoni kamerák, hűtőszekrények, televíziók és játékok teljes életciklusuk során biztonságosak legyenek.

A jogszabály emellett javítja az átláthatóságot a fogyasztók számára, lehetővé téve, hogy tájékozódjanak az általuk vásárolt és használt termékek kiberbiztonságáról.

• A kiberrezilienciáról szóló rendelet: a Tanács új jogszabályt fogadott el a digitális termékekre vonatkozó biztonsági követelményekről

A hálózati és információs rendszerekről szóló irányelv

A hálózati és információs rendszerek biztonságáról szóló irányelv (NIS-irányelv) az első olyan, Unió-szerte alkalmazandó jogszabály, amely kimondottan azt célozza, hogy a tagállamok szorosabban együttműködjenek a kiberbiztonság területén. A 2016-ban hatályba lépett irányelv biztonsági kötelezettségeket határozott meg egyrészt az alapvető szolgáltatásokat nyújtó (a kritikus ágazatokban, például az energia, a közlekedés, az egészségügy és a pénzügy területén működő) gazdasági szereplők, másrészt a digitális szolgáltatók (az online piacterek, a keresőprogramok és a felhőszolgáltatások) számára.

Az EU 2022-ben elfogadta a 2016-os irányelv helyébe lépő, felülvizsgált kiberbiztonsági irányelvet (NIS 2 irányelv). Az új szabályok a változó fenyegetettségi helyzetre reagálva az Unió egész területén egységesen magas szintű kiberbiztonságról gondoskodnak, és figyelembe veszik a digitális átalakulást, amelyet a Covid19-válság felgyorsított.

A NIS 2 irányelv:

• új minimumszabályokat állapít meg a szabályozási keretre vonatkozóan
• mechanizmusokat határoz meg az egyes uniós országok érintett hatóságai közötti hatékony együttműködéshez
• aktualizálja a kiberbiztonsági kötelezettségek hatálya alá tartozó ágazatok és tevékenységek listáját
• kiterjed a kiberbiztonsági események kezelésére (link az általános adatvédelmi rendelethez)

A tagállamoknak 2024 októberéig kellett teljeskörűen átültetniük és végrehajtaniuk a NIS 2 irányelvet.

• Az EU megerősíti a kiberbiztonságot és -reziliencát az Unió egész területén: a Tanács új irányelvet fogadott el

Az 5G-hálózatokkal kapcsolatos uniós eszköztár

Az 5G-hálózatok nemcsak a digitális kommunikációhoz elengedhetetlenek, hanem az olyan kritikus ágazatok működéséhez is, mint az energiaszektor, a közlekedés, a banki szolgáltatások és az egészségügy.

Az 5G kulcsfontosságú szerepet játszik abban is, hogy Európa versenyezni tudjon a globális piacokon, az 5G-hálózatok kiberbiztonsága pedig alapvető jelentőségű az Unió stratégiai autonómiájának biztosítása szempontjából.

Az EU 2020 januárjában jóváhagyott egy eszköztárat, amelynek segítségével közös intézkedéseket lehet kidolgozni az 5G-hálózatokat fenyegető legfontosabb kiberbiztonsági kockázatok enyhítése érdekében, továbbá iránymutatásokat lehet adni ezzel kapcsolatban.

• Az 5G technológia jelentősége és biztonsági kockázatai – A Tanács következtetéseket fogadott el
• Biztonságos 5G-hálózatok: kérdések és válaszok az uniós eszköztárral kapcsolatban

Finanszírozás és kutatás

Az EU több fronton is fellép a kiberreziliencia fokozása, a kommunikáció és az adatok védelme, valamint online társadalmunk és gazdaságunk biztonságának őrzése érdekében. Ez magában foglalja a kutatás támogatását és a kiberbiztonsági innováció finanszírozásának növelését.

Digitális Európa

A 2021 és 2027 közötti időszakra szóló Digitális Európa program keretében az EU vállalta, hogy 1,6 milliárd eurós beruházással támogatja a közigazgatások, a vállalkozások és az egyének kiberbiztonsági kapacitásait, valamint a kiberbiztonsági infrastruktúrák és eszközök széles körű bevezetését Unió-szerte.

• A Tanács zöld utat adott a Digitális Európa programnak (sajtóközlemény, 2021. március 16.)
• Európa digitális beruházásai: a Digitális Európa program (Európai Bizottság)

Horizont Európa

Elengedhetetlen, hogy olyan innovatív megoldásokat találjunk, amelyek segítségével meg tudjuk védeni magunkat a legújabb, legkifinomultabb kiberfenyegetésekkel szemben. A kiberbiztonság ezért fontos eleme az uniós kutatási és innovációs finanszírozási keretprogramoknak – a Horizont 2020-nak és az azt felváltó Horizont Európának. Az EU 2020 májusában 49 millió eurót kötött le a kiberbiztonsági és a magánélet védelmét célzó rendszereket érintő innováció támogatására.

• Horizont Európa
• Az EU közel 49 millió eurót biztosít a kiberbiztonsági és adatvédelmi rendszerek innovációjának fellendítésére (az Európai Bizottság sajtóközleménye, 2020. május 20.)

Digitális évtized 2030 szakpolitikai program

A digitális biztonság arra épül, hogy elegendő olyan szakember álljon rendelkezésre, aki a megfelelő készségekkel rendelkezik. E téren jelenleg komoly hiány mutatkozik, így az EU aktívan beruház a kiberbiztonsági készségek fejlesztésébe.

A Digitális évtized 2030 szakpolitikai program támogatja a beruházásokat az olyan kulcsfontosságú területeken, mint a nagy teljesítményű számítástechnika, a közös adatinfrastruktúra és -szolgáltatások, a blokklánc, az alacsony energiaigényű processzorok, az 5G-folyosók páneurópai bevezetése, a digitális készségekre irányuló csúcstechnológiai partnerségek, a biztonságos kvantuminfrastruktúra és a kiberbiztonsági központok hálózata, a digitális közigazgatás, a tesztelési létesítmények és a digitális innovációs központok.

• A Tanács zöld utat adott a bukaresti székhelyű Kiberbiztonsági Kompetenciaközpont létrehozásának (sajtóközlemény, 2021. április 20.)
• Európai Kiberbiztonsági Ipari, Technológiai és Kutatási Kompetenciaközpont

Kiberbiztonsági Kompetenciaközpont

A Tanács 2021 áprilisában elfogadta azt a rendeletet, amellyel létrejött a bukaresti (Románia) székhelyű Európai Kiberbiztonsági Ipari, Technológiai és Kutatási Kompetenciaközpont, melyet a nemzeti koordinációs központok hálózata támogat.

A központ célja, hogy:

• tovább javítsa a kiberrezilienciát
• hozzájáruljon a legújabb kiberbiztonsági technológia elterjedéséhez
• támogassa a kiberbiztonsági ágazatban működő induló innovatív vállalkozásokat (startupokat) és kkv-ket
• fokozza a kiberbiztonság terén folytatott kutatást és innovációt
• hozzájáruljon a kiberbiztonsági készséghiány megszüntetéséhez