Szerző: Voith Hunor

2015. december 10. 12:16

Megszületett az első átfogó EU-s IT-biztonsági tervezet

Megegyeztek az EU csúcsszervei, a kritikus infrastruktúrák üzemeltetőire egységes szabályok fognak vonatkozni, és a biztonsági incidensek bejelentését is szigorúan szabályozza majd az uniós direktíva. A szabályozás a nagyobb, kereskedelmi célú online platformokat is megzabolázná, igaz, arról még mindig megy a vita, hogy ebbe a körbe mely szolgáltatások fognak tartozni.

Megegyeztek a hálózat- és információbiztonságról szóló irányelv végleges tervezetének szövegezésében az Európai Bizottság (EB), az Európai Unió Tanácsa (ET) és az Európai Parlament (EP) képviselői - jelentette be az EP. Ehhez több mint három évre volt szüksége az EB-nek, a Bizottság legutóbb még idén nyáron is szigorítani kívánt a tervezeten: hatályát a kritikus infrastruktúrák üzemeltetőin (például közműszolgáltatók, pénzintézetek, közlekedési vállalatok, állami intézmények) felül "digitális platformokra" is ki akarta terjeszteni. Bár arról, hogy pontosan mely online szolgáltatások tartoznának a digitális platform kategóriába, továbbra is megy a vita a digitális piac egységesítése keretében.

A tervezet szerint a kritikus infrastruktúrák (energiaszektor, szállítás, bankok, pénzügyi szolgáltatók, egészségügy, vízellátók) üzemeltetőre Unió-szerte közös megfelelőségi szabályok fognak vonatkozni IT-biztonság tekintetében. A szolgáltatások mögött álló cégeknek  (legyenek azok állami vagy magánkézben) biztosítani kell azt, hogy rendszereik elég robusztusak ahhoz, hogy komoly támadásoknak is ellenálljanak. Arról, hogy a megfelelőséget az EB hogyan tervezi ellenőrizni, még nincs információ, de valószínű, hogy a majdan elfogadott irányelv egy audit keretrendszert is tartalmazni fog, ami alapján a tagországok erre kijelölt szervezetei fognak auditálni.

Arról, hogy mely szolgáltatások és a mögöttük álló üzemeltetők számítanak kritikusnak, a tagországok saját hatáskörben dönthetnek majd, az irányelvben lefektetett követelmények alapján. Például: működése mennyire függ belső információs rendszereitől vagy külső informatikai szolgáltatásoktól, vagy egy IT-biztonsági incidens mekkora hatással lenne a közbiztonságra vagy az ellátási folytonosságra.

Az elfogadott direktíva alapján az EB-nek sikerült keresztülvinnie nyáron kiszivárgott elképzelését az incidensjelentési kötelezettség szigorításáról, így az irányelv hatálya alá a fent említett digitális platformok (például Google kereső, eBay, Amazon) is bekerülnek majd. Az irányelv gyakorlati implementációját a "stratégiai együttműködési csoport" fogja segíteni, valamint minden tagállamnak létre kell hoznia egy IT-biztonsági incidenseket kezelő csapatot (Computer Security Incidents Response Team, CSIRT) is az ilyen események állami szintű kezelésére.

a címlapról