A 2026. június 10-én kiadott állásfoglalás
Az Eurochambres elviekben támogatja az Európai Unió kiberbiztonsági keretrendszerének megerősítését célzó törekvéseket, de hangsúlyozza, hogy a szabályozásnak tiszteletben kell tartania a jogbiztonságot, az arányosságot és az intézményi egyensúlyt.
A dokumentum a következő főbb területeken fogalmaz meg kritikákat és javaslatokat:
- IKT-ellátási láncok irányítása: A szervezet aggályosnak tartja, hogy a javaslat túl széles körű hatáskört biztosítana az Európai Bizottságnak a kockázatértékelések, a beszállítók és harmadik országok kockázati besorolása, valamint a kockázatcsökkentő intézkedések meghatározása terén. Az ilyen döntések jelentős hatással lehetnek a beruházásokra, a versenyre, a jogbiztonságra és a kritikus ágazatok működésére, ezért objektíven ellenőrizhető kritériumokra, erősebb eljárási garanciákra, valamint a nemzeti hatóságok és a tagállamok hangsúlyosabb bevonására van szükség.
- Az ENISA (Európai Uniós Kiberbiztonsági Ügynökség) szerepe: Bár az ügynökség tanácsadói és koordinációs szerepének megerősítése üdvözlendő, az ENISA nem hozhat létre újabb párhuzamos felügyeleti rétegeket vagy adminisztratív terheket a vállalatok számára, és nem szabad párhuzamos szabványosítási testületté válnia.
- Európai Kiberbiztonsági Tanúsítási Keretrendszer (ECCF): A tanúsításnak – a kifejezetten ágazati előírásokat leszámítva – önkéntesnek kell maradnia. A bürokrácia csökkentése érdekében a keretrendszernek el kell ismernie a már meglévő, bejáratott nemzetközi szabványokat (például az ISO/IEC 27001-et), elkerülve a kettős auditálást.
- Reziliencia és versenyképesség: Az Európai Unió kiberbiztonsági keretrendszerének megerősítését célzó törekvések támogatandók, ugyanakkor a szabályozásnak egyszerre kell növelnie az EU kiberbiztonsági ellenálló képességét és megőriznie az európai vállalkozások versenyképességét. Ennek érdekében a szabályozásnak tiszteletben kell tartania a jogbiztonságot, az arányosságot és az intézményi egyensúlyt.
A NIS2 egyszerűsítése és tagállami alkalmazása
A vállalkozások számára a NIS2 keretrendszer jogbiztonságának növelése létfontosságú, mivel az alkalmazási kör és a kategóriák értelmezése a gyakorlatban továbbra is nehézkes.
Pontos kategóriák: Az olyan új változtatások, mint a kis közepes kapitalizációjú (small mid-cap) kategória bevezetése, érdemben csökkenthetik a terheket. Ugyanakkor el kell kerülni az olyan tág és homályosan definiált kategóriák kiterjesztését, mint a „stratégiai kettős felhasználású infrastruktúra-üzemeltetők”, mivel ez újra jogbizonytalanságot szülne, és vállalatok ezreit kényszerítené újraértékelésre.
A „Gold-plating” korlátozása: A tagállamok hajlamosak túlszabályozni és a harmonizált alapkövetelményeken felül saját, szigorúbb nemzeti előírásokat is bevezetni (ezt hívják gold-platingnek). A határokon átnyúlóan működő vállalkozások számára az eltérő nemzeti kiegészítések halmozott költségeket okoznak, ezért a tagállamoknak csak szigorúan indokolt esetben szabadna eltérniük a közös szabályoktól.
A KKV-k védelme és arányosság
A KKV-k kezelése az egész csomag „lakmuszpapírja” annak megállapítására, hogy megvalósul-e a tényleges egyszerűsítés.
Közvetett terhek: A kisebb vállalkozások nemcsak közvetlen szabályozás útján, hanem az ügyfelek elvárásai, a tanúsítási követelmények és az ellátási láncon belüli nyomás révén is szembesülnek a kiberbiztonsági előírásokkal.
Méret vs kritikalitás: A vállalat mérete önmagában nem mindig megfelelő mérőfoka a rendszer szintű kritikalitásnak. Egy célzottabb, kockázatalapú megközelítés sokkal jobban hozzáigazítaná a szabályozási erőfeszítéseket a tényleges kockázathoz, elkerülve a KKV-k szükségtelen túlterhelését.
Gyakorlati támogatás: Egyértelműbb iránymutatásokra, szabványosított megfelelési sablonokra és a kisebb vállalkozások korlátozott adminisztratív kapacitását tükröző átmeneti időszakokra van szükség.
Zsarolóvírus (Ransomware) incidensek kezelése
Az Eurochambres teljes mértékben támogatja a zsarolóvírus-incidensekre adott operatív válaszlépések javítását, de ennek a jelentési kötelezettségek ésszerűsítésén keresztül kell megvalósulnia, nem pedig új jelentési rétegek létrehozásával.
Kizárólag kiberbiztonsági fókusz: A jelentési kötelezettségeknek szigorúan a kiberbiztonsági célokra kell korlátozódniuk, és az érintett szervezetek számára operatív szempontból hasznos, műszaki információk gyors továbbítására kell fókuszálniuk.
Pénzügyi adatok védelme: Különösen aggályos, ha a szervezeteket olyan fokozottan érzékeny pénzügyi adatok nyilvánosságra hozatalára kötelezik, mint a kifizetett váltságdíjak összege, a kedvezményezettek vagy a fizetési csatornák, hacsak arra nincs egyértelmű szükségesség és jogi keret. A NIS2-nek nem szabad olyan extra jelentéstételi teherré válnia, amely túlmutat az eredeti felügyeleti célján.
Forrás: eurochambres.eu