Az Európai Unió még a múlt év végén jelentőségteljes, új szabályokat fogadott el, illetve kezdeményezett az internetes biztonság területén - írja Tim Starks, a The Washington Post informatikai szakírója. Mi más lehetne ennek hátterében, mint Oroszország agressziója Ukrajna ellen – derül ki Lorena Boix Alonso, az Európai Unió kiberbiztonsági hivatala, az ENISA illetékes vezetőjének szavaiból. Az Európai Bizottság nagyon-nagyon-nagyon sokat foglalkozott ezzel a kérdéssel az elmúlt két évben is, de a háború új helyzetet teremtett. Az ENISA éves jelentéséből kiderül, hogy az internetes támadások 24 százaléka kormányok és közintézmények ellen irányul, 13 százalékuk célpontjai pedig digitális szolgáltatásokat kínáló vállalatok. - idézte a Reuters a dokumentumot.
Az Európai Unió tagállamai májusban szigorították az informatikai biztonsággal kapcsolatos követelményeiket. A kibertámadásoknak különösen kitett szektorok szervezeteinek fel kell becsülniük sérülékenységüket, erről értesíteniük kell a hatóságokat és intézkedéseket kell elfogadniuk a megelőzés érdekében. Amelyek elmulasztják ezt, azok éves globális forgalmuk két százalékát elérő bírságot kockáztatnak.
Felpörgött az EU-s döntéshozatal
Lorena Boix Alonso beszámolója szerint a háború felgyorsította az uniós döntés-előkészítést, ha tetszik, „ambiciózusabbá tette” az Európai Bizottságot az internetes biztonság erősítésében. Két nagy lépés történt az elmúlt hónapokban. Az első az EU 2016-os kiberbiztonsági szabályozásának (NIS) felfrissítése (NIS2). Ezt novemberben fogadta el az unió legfelsőbb döntéshozó testülete, az Európai Tanács. Ennek legfontosabb pontja, hogy minden vállalatnak és intézménynek 24 órán belül jelentenie kell, ha jelentős internetes támadást észlel informatikai rendszerei ellen.
Ezt megelőzően két hónappal, szeptemberben elkészült egy javaslat – amelyet tehát még nem fogadtak el –, ami az informatikai ágazat cégeinek kényelmetlen követelményeket tartalmaz. A Cyber Resilience Act névre keresztelt direktíva ugyanis előírná a hardver- és szoftverfejlesztőknek, hogy a fejlesztés során az uniós elvárásokhoz igazodó biztonsági elemeket építsenek be új termékeikbe.
Keményebb, mint az amerikai szabályozás
Ezek a lépések mélyebben belenyúlnak a vállalatok és az intézmények informatikai tevékenységébe, mint amilyen lépéseket az Egyesült Államokban tettek. A kongresszus például a múlt évben azt a szabályt fogadta el, hogy a vállalatoknak és az intézményeknek csak 72 órán belül kell jelenteniük a jelentős kibertámadásokat IT-rendszereikkel szemben. Egy 2021-es törvény alapján a hardver- és szoftverfejlesztők csak az amerikai kormányzati apparátusnak értékesített termékeiket kötelesek különleges biztonsági képességekkel felruházni.
Alonso szerint a különbség nem olyan nagy, mint amilyennek első látásra látszik. Sok európai szabályt az amerikai eljárásokat utánozva dolgoztak ki. Emellett a végeredmény sem feltétlenül tér el lényegesen a két fél esetében. Például a említett európai szabályozás szerint, miután egy megtámadott szervezet 24 órán belül jelentette, hogy kibertámadás érte, további 48 óra áll rendelkezésére, hogy pontosítsa ennek részleteit. Így már közel áll egymáshoz az európai és a 72 órán belüli jelentési kötelezettséget előíró amerikai szabályozás.
Megszorongatják az informatikai ipart
Nem példa nélküli az internetes biztonság terén, hogy Európa előbb lépett, mint Amerika. Az elhíresült adatszigor, vagyis a GDPR (General Data Protection Regulation) bevezetése után az Európában működő amerikai internetes szolgáltatók is kénytelenek voltak engedélyt kérni felhasználóiktól például a cookyk használatára. Ez a szigorítás tehát Európából indulva jutott el Amerikába.
A Cyber Resilience Act ehhez hasonlóan élenjáróvá teheti az EU-t az új biztonsági előírások bevezetésében. Ez persze nem fog könnyen menni. Alonso úgy látja, hogy a hardver- és szoftverfejlesztők nem eléggé érdekeltek termékeik biztonságának javításában, mert a kibertámadások költségei a felhasználókat terhelik. Emellett, ha a biztonság erősítésére több időt fordítanának a fejlesztés során, az lelassítaná újdonságaik piaci bevezetését.
Ezért nem elég, hogy az új szabályozás előírja a biztonság erősítését, de még az is része kellene, hogy legye, hogy az új hardverek és szoftverek biztonsági auditjait – mármint azt, hogy megfelelnek-e az EU biztonsági előírásainak – külső szakcégeknek kellene elvégezniük. Ez az, ami igazán aggasztja az érintett vállalatokat, mert kiszámíthatatlan késlekedést okozhat termékeik fejlesztésében.
