Szélesítené az incidensjelentési kötelezettséget az EB
A hálózat- és információbiztonságról szóló irányelv nagyon lassan halad előre az EU intézményei között. Az Európai Bizottság a direktíva egyik fontos pontját, a biztonsági incidensek bejelentési kötelezettségét a kritikus információs infrastruktúrák üzemeltetőin felül a "digitális platform" kategóriába sorolt cégekre is kiterjesztené.
Az uniós hálózat- és információbiztonságról szóló irányelv kidolgozásának az Európai Bizottság (EB) még az előző ciklusban, három évvel ezelőtt állt neki, most pedig a tagállamok egyhangú támogatását még mindig nélkülöző tervezetet tovább szigorítaná – írja a Reuters a birtokába került dokumentumokra hivatkozva. A hírügynökség szerint a Bizottság azt szeretné elérni, hogy a szabályozás egyik legfontosabb eleme, az információbiztonsági incidensek állami szervek felé történő bejelentési kötelezettség ne csak a kritikus információs infrastruktúrák üzemeltetőire (például közműszolgáltatók, pénzintézetek, közlekedési vállalatok, állami intézmények), hanem az úgynevezett digitális platformokra –például keresők, közösségi és e-kereskedelmi oldalak és felhős szolgáltatások – is kiterjedjen.
Égbe révedő informatikusok: az Időkép-sztori Mi fán terem az előrejelzés, hogy milyen infrastruktúra dolgozik az Időkép alatt, mi várható a deep learning modellek térnyerésével?
Jelenleg ugyanis az Európai Unióban nincs egységes szabályozás, amely garantálná, hogy a biztonsági incidenseket a vállalatoknak nyilvánosságra kellene hozni. Az Egyesült Államokban ezzel szemben az állami és versenyszféra szereplői is kötelesen bejelenteni a súlyos információbiztonsági incidenseket, a Bizottság eltökélt szándéka valamilyen hasonló rendszert bevezetni az Unióban is. Egyelőre csak a hírközlési szektorra van ilyen szabályozás, 2009 óta létezik irányelv, amely kötelezővé teszi az olyan incidensek nyilvánosságra hozását, amely érinti az előfizetők személyes adatait.
A Reuters információi szerint a tervezet elfogadása egyébként éppen azért húzódik, mert a tagállamok közül sokan ellenzik ezt a szigorítást. Egy ilyen szabályozás eredményezhet ugyan átláthatóbb működést és késztetheti az érintett intézményeket, cégeket hatékonyabb biztonságpolitikára, de a végfelhasználói bizalmat is megrendítheti. Ugyanakkor az elmúlt évek hatalmas információbiztonsági botrányaira visszaemlékezve kissé naivnak tűnik az a feltételezés, hogy a fogyasztói bizalom az irányelv hiányában nem szenvedett súlyos károkat.
Az Bizotttság ezért a hírügynökség szerint hajlandó volt engedményeket tenni a tagállamokat tömörítő Tanács felé, eszerint a nem kritikus szereplőkre enyhébb szabályok vonatkoznának – részletek azonban nem szerepelnek abban a dokumentumban, ami a Reuters birtokába került. A tervezet erre vonatkozó része még erősen képlékeny, egyelőre olyan alapvető kérdésben sem sikerült megállapodásra jutni, hogy a digitális platformok körébe pontosan milyen tevékenységű cégeket soroljanak.
A dokumentum szerint az EB a tagállamokat arra kérte, hogy észrevételeiket egy szeptemberre tervezett találkozón tegyék meg, a tervezet végleges szövegezése ezt követően kezdődhetne el. A Bizottság a következő években a fenti irányelv kidolgozása és elfogadtatása mellett az információbiztonság egyéb fontos kérdéseit is rendezné, továbbá az európai digitális piac egységesítésébe is belefogott.
Magyarországon a 2013 nyarán hatályba lépett információbiztonsági törvény értelmében az állami és önkormányzati szerveknek az érdekkörükben "felmerült vagy tudomásra jutott biztonsági eseményeket be kell jelenteni a Hatóság részére". Ez alapesetben a Nemzeti Elektronikus Információbiztonsági Hatóság (NEIH), de a bejelentést meg lehet tenni a Kormányzati Eseménykezelő Központnál (GovCERT) is, a kritikus infrastruktúrák üzemeltetői pedig a Létfontosságú Rendszerek és Létesítmények Informatikai Biztonsági Eseménykezelő Központhoz (LRLIBEK) is fordulhatnak.