Kihirdette biztonsági direktívatervezetét az EU

Az EU kihirdette azt a direktívatervezetet, amelyről lapunk már korábban is írt, és amely kötelezővé teszi a tagországok számára az IT-biztonságért felelős helyi hatóságok kijelölését, illetve számos szervezet számára kockázatelemzést, illetve a biztonsági incidensek bejelentésének kötelezettségét is előírja.

A direktívát, amennyiben az Európai Parlament is elfogadja, a tagországoknak néhány éven belül kötelezően át kell ültetniük a helyi jogszabályokba. Ennek keretében szükség van egy illetékes nemzeti hatóság felállítására, amely központi incidenskezelést végez, valamint fogadja az arra kötelezett szervezetektől származó biztonsági eseményekre vonatkozó bejelentéseket.

Az internet mindenütt ott van

A direktívatervezet bevezetője szerint az internetes hálózatbiztonság (NIS) egyre fontosabb a gazdaság és társadalom szempontjából, az információs rendszereket több okból érheti biztonsági incidens, például emberi hibából, természeti katasztrófából, műszaki okból vagy rosszindulatú támadás miatt. Ezek az incidensek egyre gyakoribbak, összetettebbek és kiterjedtebb hatásúak a dokumentum szerint - egy, az Európai Bizottság megbízásából elvégzett kutatás szerint a válaszadók 57 százaléka találkozott az elmúlt évben olyan IT-biztonsági incidenssel, amely komolyan befolyásolta a tevékenységét.

Az EU tavaly július és október között végzett felmérésére válaszolók 82 százaléka értett egyet azzal, hogy az Uniónak többet kellene tennie a hálózatbiztonság fokozása érdekében és ugyanennyien vélték úgy, hogy az információs rendszerek felhasználói nincsenek tisztában a biztonsági kockázatokkal és incidensekkel. A megkérdezettek 66 százaléka támogatta olyan szabályozási kötelezettségek bevezetését, amelyek növelik az információs hálózatok biztonságát. Az olyan érzékeny szektorokra mint a pénzügy, energia, közlekedés, egészségügy, internetszolgáltatások és közigazgatás, a válaszadók elsöprő többsége támogatta kötelező biztonsági előírások bevezetését.

A jelenlegi szabályozási környezet csak a távközlési szektor számára ír elő kötelező biztonsági kockázatkezelést és az incidensek bejelentését. "Egyre több szektor használt távközlési szolgáltatásokat, amely létfontosságú a gazdaság és a társadalom számára, például az enegia, közlekedés, bankok, egészségügy és kulcsfontosságú internetes cégek. Úgyhogy ezekre a szektorokra is ki kell terjeszteni a bejelentési kötelezettséget - mondta a napokban Neelie Kroes, az EU digitális portfólióért felelős biztosa. "Ahogy az online világ egyre inkább részévé válik mindennek amit csinálunk, ennek a világnak a biztonsága kritikus fontosságú a társadalom számára, hogy biztonságos, prosperáló és szabad maradhasson" - mondta Kroes.

Mit ír elő a direktíva?

Az Európai Unió azt szeretné elérni, hogy a tagországokban a kritikus infrastruktúrákat üzemeltető vállalatok azonos IT-biztonsági irányelvek mentén működjenek és a helyi hatóságokon keresztül központilag koordináható legyen a védekezés az ENISA-n (European Network and Information Security Agency) keresztül, amely az EU legfelsőbb szintű információbiztonsági szervezete.

Az Unió kötelezővé tenné minden tagország számára nemzeti NIS stratégia kidolgozását, amely egyebek mellett kitérne a különféle szervezetek közti kooperációra is, valamint helyi CERT (Computer Emergency Response Team) szervezetek létrehozását, amelyek a nagyobb horderejű biztonsági incidensek kezelését végeznék, illetve segítséget tudnának nyújtani azokhoz. Másrészt, olyan nemzeti hatóságok felállítását is kötelezővé teszi az EU, amelyek az ENISA-val és egymással együtt tudnak működni információcserében, illetve biztonsági fenyegetések felderítésében és az azok elhárításában, esetleg uniós szintű válaszlépések koordinálásában.

A tervezet kinyilvánított célja továbbá a biztonsági kockázatkezelés kultúrájának meghonosítása, illetve fejlesztése a privát és közszférában egyaránt. Ennek érdekében a "kritikus szektorokban" érdekelt vállalatok és a közigazgatási intézmények kötelezően kockázatelemzést kell végezzenek és ennek tükrében megfelelő intézkedéseket kell hozzanak, amelyek révén biztosítható hálózatuk védelme. Ezen szervezetek számára emellett a direktíva kötelezővé teszi az információs rendszereik és  hálózatuk integritását súlyosan érintő, működésük folytatását komolyan megakasztó incidensek jelentését az arra felhatalmazott nemzeti hatóságok felé.

A direktíva célja, az EU általános biztonsági felkészültségének a növelése, a tagállamok számára minimális intézkedések előírása, valamint a tagállamok jobb együttműködésének lehetősége révén. "A cél a tagországok támogatása a magasabb szintű biztonság elérésében, nem pedig a konkrét módszerek diktálása annak megteremtésére."