Mellékleteink: HUP | Gamekapocs
Keres

Megszületett az első átfogó EU-s IT-biztonsági tervezet

Voith Hunor, 2015. december 10. 12:16
Ez a cikk több évvel ezelőtt születetett, ezért előfordulhat, hogy a tartalma már elavult.
Frissebb anyagokat találhatsz a keresőnk segítségével:

Megegyeztek az EU csúcsszervei, a kritikus infrastruktúrák üzemeltetőire egységes szabályok fognak vonatkozni, és a biztonsági incidensek bejelentését is szigorúan szabályozza majd az uniós direktíva. A szabályozás a nagyobb, kereskedelmi célú online platformokat is megzabolázná, igaz, arról még mindig megy a vita, hogy ebbe a körbe mely szolgáltatások fognak tartozni.

Megegyeztek a hálózat- és információbiztonságról szóló irányelv végleges tervezetének szövegezésében az Európai Bizottság (EB), az Európai Unió Tanácsa (ET) és az Európai Parlament (EP) képviselői - jelentette be az EP. Ehhez több mint három évre volt szüksége az EB-nek, a Bizottság legutóbb még idén nyáron is szigorítani kívánt a tervezeten: hatályát a kritikus infrastruktúrák üzemeltetőin (például közműszolgáltatók, pénzintézetek, közlekedési vállalatok, állami intézmények) felül "digitális platformokra" is ki akarta terjeszteni. Bár arról, hogy pontosan mely online szolgáltatások tartoznának a digitális platform kategóriába, továbbra is megy a vita a digitális piac egységesítése keretében.

A tervezet szerint a kritikus infrastruktúrák (energiaszektor, szállítás, bankok, pénzügyi szolgáltatók, egészségügy, vízellátók) üzemeltetőre Unió-szerte közös megfelelőségi szabályok fognak vonatkozni IT-biztonság tekintetében. A szolgáltatások mögött álló cégeknek  (legyenek azok állami vagy magánkézben) biztosítani kell azt, hogy rendszereik elég robusztusak ahhoz, hogy komoly támadásoknak is ellenálljanak. Arról, hogy a megfelelőséget az EB hogyan tervezi ellenőrizni, még nincs információ, de valószínű, hogy a majdan elfogadott irányelv egy audit keretrendszert is tartalmazni fog, ami alapján a tagországok erre kijelölt szervezetei fognak auditálni.

Arról, hogy mely szolgáltatások és a mögöttük álló üzemeltetők számítanak kritikusnak, a tagországok saját hatáskörben dönthetnek majd, az irányelvben lefektetett követelmények alapján. Például: működése mennyire függ belső információs rendszereitől vagy külső informatikai szolgáltatásoktól, vagy egy IT-biztonsági incidens mekkora hatással lenne a közbiztonságra vagy az ellátási folytonosságra.

Az elfogadott direktíva alapján az EB-nek sikerült keresztülvinnie nyáron kiszivárgott elképzelését az incidensjelentési kötelezettség szigorításáról, így az irányelv hatálya alá a fent említett digitális platformok (például Google kereső, eBay, Amazon) is bekerülnek majd. Az irányelv gyakorlati implementációját a "stratégiai együttműködési csoport" fogja segíteni, valamint minden tagállamnak létre kell hoznia egy IT-biztonsági incidenseket kezelő csapatot (Computer Security Incidents Response Team, CSIRT) is az ilyen események állami szintű kezelésére.

Facebook

Mit gondolsz? Mondd el!

Adatvédelmi okokból az adott hír megosztása előtt mindig aktiválnod kell a gombot! Ezzel a megoldással harmadik fél nem tudja nyomon követni a tevékenységedet a HWSW-n, ez pedig közös érdekünk.