Az EU megerősíti az ügynökségekre vonatkozó kiberbiztonsági követelményeket
Az Európai Unió rendeletet fogadott el a kötelező kiberhigiéniáról, amelynek célja az uniós kormányzati szervek kiberbiztonságának megerősítése, miközben aggodalmak merültek fel amiatt, hogy a kereskedelmi blokk intézményei nem tudtak lépést tartani a növekvő digitális fenyegetésekkel.
Az Európai Bizottság által 2022-ben javasolt kiberbiztonsági rendelet az uniós intézmények, szervek, hivatalok és ügynökségek számára egységes kibermegfelelési követelményeket állapít meg. A rendelet vasárnap lépett hatályba, és 2024 szeptemberéig minden ügynökségnek lehetőséget ad arra, hogy megfeleljen a rendeletnek, beleértve az ismert kockázatok elleni ellenőrzések elfogadására és a kiberbiztonsági érettség rendszeres értékelésére vonatkozó megbízásokat is.
A rendelet megerősíti a CERT-EU szerepét a kiberbiztonsági segítségnyújtás és információcsere központjaként. Az uniós ügynökségeknek meg kell osztaniuk a szervvel a nem minősített incidensekkel kapcsolatos információkat. Az ügynökség jelenleg mintegy 40 munkatársat foglalkoztat.
Az intézkedés az európai kritikus infrastruktúrák elleni kibertámadásokkal kapcsolatos aggodalmak közepette született, amelyek Oroszország 2022. februári ukrajnai invázióját követően megnőttek.
Egy európai felügyeleti szerv 2022 májusában arra a következtetésre jutott, hogy az európai ügynökségek nem érték el a fenyegetésnek megfelelő szintű kiberfelkészültséget.
Az Európai Számvevőszék egy több mint egy évig tartó vizsgálatot követően megállapította, hogy számos ügynökség nem alkalmazta a helyes kiberbiztonsági gyakorlatokat, beleértve néhány alapvető ellenőrzést. A Számvevőszék szerint számos ügynökség egyértelműen alulköltekezik a kiberbiztonságra. Egy új testület, az Intézményközi Kiberbiztonsági Testület fogja mostantól figyelemmel kísérni a rendelet végrehajtását és felügyelni a CERT-EU-t.
Mivel a hatékony kiberkockázat-kezelés személyes azonosítható adatok, például IP- és e-mail-címek feldolgozásával jár, a rendelet jogi felhatalmazást ad a CERT-EU-nak az ilyen érzékeny információk feldolgozására és megőrzésére. A CERT-EU-nak biztosítania kell, hogy óvintézkedéseket tett az érintett felhasználók magánéletének védelme érdekében.
A rendelet értelmében az új IICB igazgatótanácsnak szeptember 8-ig kell működőképesnek lennie. Az IICB-nek és a CERT-EU-nak ezt követően 2025 januárjában kell benyújtania a szakpolitika végrehajtásának helyzetéről szóló első jelentését.